Definição – O que significa o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS)?
O padrão de segurança de dados da indústria de cartões de pagamento é um padrão proprietário para todas as organizações que processam, transmitem ou armazenam dados do portador do cartão de pagamento.
O padrão fornece uma estrutura com tecnologias e práticas que precisam ser seguidas para proteger e proteger os dados do portador do cartão. As marcas de cartão estão em conformidade com os padrões incorporados pelo padrão de segurança de dados da indústria de cartões de pagamento e é um dos principais requisitos técnicos para seus programas de conformidade de segurança de dados.
Definirtec explica o padrão de segurança de dados da indústria de cartões de pagamento (PCI DSS)
O padrão de segurança de dados da indústria de cartões de pagamento é gerenciado pelo conselho de padrões da indústria de cartões de pagamento. A validação da conformidade pelas organizações é feita por meio de uma varredura de rede periódica, bem como por meio de uma auditoria anual de segurança.
Ao cumprir os padrões de segurança de dados do setor de cartões de pagamento, as organizações se beneficiam ao obter mais confiança e negócios dos clientes. O padrão também ajuda indiretamente as organizações a cumprir padrões similares do setor, melhorando a eficiência da infraestrutura de TI, além de fornecer uma base para diferentes estratégias de segurança. O conjunto completo de padrões pode ser baixado do site do conselho de padrões de segurança da indústria de cartões de pagamento.
O padrão pode ser agrupado em seis categorias com 12 requisitos, que são os seguintes:
- Construir e manter uma rede segura.
- Requisito 1: Para proteger os dados, instalar e manter uma configuração de firewall.
- Requisito 2: evitar padrões fornecidos pelo fornecedor para parâmetros de segurança e senhas do sistema.
- Requisitos de proteção de dados do titular do cartão
- Requisito 3: proteger os dados armazenados.
- Requisito 4: Em todas as redes públicas, todas as informações confidenciais e dados do titular do cartão precisam ser criptografados antes da transmissão.
- Disponibilidade de um programa de gerenciamento de vulnerabilidade
- Requisito 5: software antivírus precisa ser usado e atualizado regularmente.
- Requisito 6: sistemas e aplicativos seguros precisam ser desenvolvidos e mantidos.
- Medidas fortes de controle de acesso precisam ser implementadas
- Requisito 7: Restrição de dados com controles de acesso adequados.
- Requisito 8: fornecer um ID exclusivo para cada usuário com acesso de computação
- Requisito 9: Restrição dos dados do titular do cartão fisicamente.
- Teste periódico e monitoramento das redes
- Requisito 10: Todo o acesso aos dados e recursos do portador do cartão na rede precisa ser monitorado e rastreado.
- Requisito 11: Teste periódico de processos e ambientes de segurança.
- Utilização e manutenção de uma Política de Segurança da Informação
- Requisito 12: Manutenção de padrões de política que auxiliam no tratamento de todos os processos e questões relacionadas à segurança da informação.