Der Payment Card Industry Data Security Standard (PCI DSS) ist eine Reihe von Richtlinien und Best Practices, die allen Unternehmen und anderen Einrichtungen zur Verfügung gestellt werden, die Kreditkartendaten verarbeiten, übertragen oder speichern. Diese Richtlinien wurden vom PCI Security Standards Council (PCI SSC) entwickelt und sollen Datenlecks und daraus resultierenden Identitätsdiebstahl und Kreditkartenbetrug verhindern. Die Einhaltung des PCI DSS umfasst drei fortlaufende Phasen: Bewertung von Geschäftsprozessen und Identifizierung potenzieller Risiken, Beseitigung dieser Risiken und Meldung von Compliance-Maßnahmen an relevante Banken und andere Kreditkartenaussteller.
Von größter Bedeutung bei der Einhaltung des Datenschutzstandards der Zahlungskartenindustrie ist die Einrichtung und Wartung eines sicheren Computernetzwerks. Zwischen Karteninhaberdaten und externem Zugriff auf das Netzwerk muss eine robuste Firewall aufgebaut werden. Systempasswörter sollten zusammen mit anderen Sicherheitsmaßnahmen an jeder potenziellen Schwachstelle im Netzwerk implementiert werden. Alle Karteninhaberdaten müssen sicher gespeichert und bei der Übertragung über öffentliche Netzwerke verschlüsselt werden. Zu den laufenden Maßnahmen gehören die Verwendung von Antivirensoftware und eingeschränkter physischer oder Computerzugriff auf Daten durch das Personal auf der Grundlage des geschäftlichen Bedarfs.
Es stehen zahlreiche Tools und Dienste zur Verfügung, die Organisationen beim Umgang mit dem PCI DSS unterstützen. Während der PCI SSC die Standards für die PCI-Compliance festlegt, haben alle großen Kreditkartenmarken ihre eigenen Standards in Bezug auf die Durchsetzung und Einhaltung dieser Standards sowie Kreditkartenvalidierungsverfahren geschaffen. Jedes dieser Unternehmen bietet Organisationen, die ihre Karten akzeptieren, Online- und andere Anleitungen an. Der PCI SSC betreibt auch ein Programm, das qualifizierte Sicherheitsprüfer genehmigt, die die Einhaltung des Datensicherheitsstandards der Zahlungskartenindustrie validieren. Für Organisationen, die ihre Compliance selbst bewerten, bietet der PCI SSC Validierungstools namens Self-Assessment Questionnaires in verschiedenen Formen, die jeweils auf bestimmte Geschäftsumgebungen zugeschnitten sind.
Eine wichtige Prämisse bei der Einhaltung des Datensicherheitsstandards der Payment Card Industry besteht darin, nur Kreditkartendaten zu speichern, die für die Anforderungen des Unternehmens unbedingt erforderlich sind. Gespeicherte Daten sollten zeitlich begrenzt sein und Transaktionsauthentifizierungsdaten sollten niemals gespeichert werden. Alle Kontonummern und andere sensible Daten, die in öffentlichen Netzen übertragen werden, müssen teilweise maskiert werden.
Andere laufende PCI-DSS-Maßnahmen umfassen die Erstellung und Pflege eines Schwachstellen-Management-Programms, das sichere Anwendungen und Programme erstellt. Routinemäßige Überwachung und Netzwerktests zur Identifizierung von Schwachstellen sind ebenfalls erforderlich. Jede Organisation muss außerdem eine schriftliche Sicherheitsrichtlinie pflegen und an alle Mitarbeiter verteilen.
SmartAsset.