June 1
Pagamenti con carta Industry Data Security Standard (PCI-DSS, o PCI in breve) è un insieme di normative di conformità adottate dalle maggiori istituzioni finanziarie come Visa, Mastercard, American Express e Discover. Il presente regolamento disciplina le società che gestiscono i dati dei clienti o identificabili negozio, come carta di credito, conto bancario e numeri di previdenza sociale.
PCI-DSS è suddiviso in 12 requisiti che governano tutto, dalla configurazione di rete e la segregazione, politiche di password e anti-virus, crittografia e del ciclo di vita di sviluppo del software della società, se si stanno sviluppando applicazioni in-house.
I primi due requisiti che fare con la configurazione del firewall di un'azienda e mutevoli impostazioni predefinite del fornitore, come ad esempio le password di default, sul software l'azienda utilizza.
Requisiti tre e quattro trattare con la crittografia dei dati, dove viene stoccato e la crittografia dei dati durante la sua trasmissione. Questi sono requisiti critici e di solito sono esaminati da revisori PCI. È necessario assicurarsi di avere una buona politica di cifratura per coprire questi due requisiti.
Requisiti cinque e sei accordo con manutenzione anti-virus e di sviluppo software. Per i primi, avrete bisogno di una politica anti-virus, che di solito non è lungo e può essere arrotolato nella politica di sicurezza nel requisito 12. Requisito sei è uno dei più grandi sezioni della verifica PCI-DSS e dovrebbe avere un documentata del ciclo di vita di sviluppo del software. Requisito 6.6 riguarda anche test di penetrazione delle applicazioni web, che il revisore PCI avrà bisogno di fare prima di rilasciare un certificato di conformità. Ci sono strumenti, come Hailstorm o AppScan, che dovrebbero soddisfare questo requisito.
Requisiti di sette a nove accordo con limitare l'accesso ai dati dei titolari di carta solo a coloro che hanno responsabilità della necessità di sapere, l'assegnazione di un identificativo univoco per ogni persona con l'accesso ai dati dei titolari di carta e limitare l'accesso fisico al centro dati in cui sono memorizzate le informazioni del titolare della carta. Alcune aziende sono in grado di andare in giro requisito nove avendo un PCI-compliant, gestito ospite negozio di fornitore di dati per loro.
Requisiti 10 e 11 trattano l'accesso alla rete di registrazione nell'ambiente dati dei titolari e di un programma di test regolari di tutti i sistemi e processi.
Requisito 12 riguarda la politica di sicurezza, che può e deve comprendere tutti gli altri 11 requisiti di PCI-DSS. Questo è il più grande pezzo di documentazione che deve essere prodotta ed è utile ad assumere uno scrittore tecnico professionista per fare questo.