Sertalink

sales@sertalink.com  BE: +32(0)3/337.17.01.    LUX: +352(0)27/94.06.59.

Sertalink

PCI DSS

Homepage / Data Governance & Compliance / PCI DSS

Overview about: Payment Card Industry Data Security Standard

Overview about: Payment Card Industry Data Security Standard

De Payment Card Industry Data Security Standard (PCI DSS) is een algemeen aanvaarde reeks beleidsregels en procedures die bedoeld zijn om de veiligheid van creditcard-, debet- en pinpastransacties te optimaliseren en kaarthouders te beschermen tegen misbruik van hun persoonlijke gegevens. De PCI DSS werd in 2004 gezamenlijk opgericht door vier grote creditcardmaatschappijen: Visa, MasterCard, Discover en American Express.

De PCI DSS specificeert en werkt zes hoofddoelstellingen uit.

Ten eerste moet er een beveiligd netwerk worden onderhouden waarin transacties kunnen worden uitgevoerd. Deze vereiste omvat het gebruik van firewalls die robuust genoeg zijn om effectief te zijn zonder onnodig ongemak voor kaarthouders of verkopers te veroorzaken. Er zijn gespecialiseerde firewalls beschikbaar voor draadloze LAN's, die zeer kwetsbaar zijn voor afluisteren en aanvallen door kwaadwillende hackers. Bovendien mogen authenticatiegegevens zoals persoonlijke identificatienummers (PIN's) en wachtwoorden geen standaardinstellingen bevatten die door de leveranciers zijn verstrekt. Klanten moeten dergelijke gegevens gemakkelijk en regelmatig kunnen wijzigen.

Second, cardholder information must be protected wherever it is stored. Repositories with vital data such as dates of birth, mothers’ maiden names, Social Security numbers, phone numbers and mailing addresses should be secure against hacking. When cardholder data is transmitted through public networks, that data must be encrypted in an effective way. Digital encryption is important in all forms of credit-card transactions, but particularly in e-commerce conducted on the Internet.

Ten derde moeten systemen worden beschermd tegen de activiteiten van kwaadwillende hackers door regelmatig bijgewerkte antivirussoftware, antispywareprogramma's en andere antimalwareprogramma's te gebruiken. Alle applicaties moeten vrij zijn van bugs en kwetsbaarheden die de deur kunnen openen voor exploits waarbij gegevens van kaarthouders kunnen worden gestolen of gewijzigd. Patches die worden aangeboden door leveranciers van software en besturingssystemen (OS) moeten regelmatig worden geïnstalleerd om het hoogst mogelijke niveau van kwetsbaarheidsbeheer te garanderen.

Ten vierde moet de toegang tot systeeminformatie en bewerkingen worden beperkt en gecontroleerd. Kaarthouders hoeven geen informatie aan bedrijven te verstrekken, tenzij die bedrijven die informatie moeten kennen om zichzelf te beschermen en een transactie effectief uit te voeren. Elke persoon die een computer in het systeem gebruikt, moet een unieke en vertrouwelijke identificatienaam of -nummer toegewezen krijgen. De gegevens van kaarthouders moeten zowel fysiek als elektronisch worden beschermd. Voorbeelden zijn het gebruik van papiervernietigers, het vermijden van onnodige duplicatie van papieren documenten en sloten en kettingen aan afvalcontainers om criminelen te ontmoedigen die anders door de prullenbak zouden snuffelen.

Fifth, networks must be constantly monitored and regularly tested to ensure that all security measures and processes are in place, are functioning properly, and are kept up-do-date. For example, anti-virus and anti-spyware programs should be provided with the latest definitions and signatures. These programs should scan all exchanged data, all applications, all random-access memory (RAM) and all storage media frequently if not continuously.

Ten zesde moet een formeel informatiebeveiligingsbeleid te allen tijde en door alle deelnemende entiteiten worden gedefinieerd, gehandhaafd en gevolgd. Handhavingsmaatregelen zoals audits en sancties bij niet-naleving kunnen nodig zijn.

Elke organisatie die betaalkaarten verwerkt, inclusief debet- en kredietkaarten, moet rechtstreeks of via een compenserende controle aan de 12 vereisten voldoen. Compenserende controles zijn echter niet altijd toegestaan ​​en moeten geval per geval worden goedgekeurd door een PCI QSA. Het niet voldoen aan de PCI DSS 12-vereisten kan leiden tot boetes of beëindiging van creditcardverwerkingsrechten.

De PCI DSS 12-vereisten zijn als volgt:

1. Installeer en onderhoud een firewallconfiguratie om kaarthoudergegevens te beschermen.

2. Gebruik geen door leveranciers geleverde standaardinstellingen voor systeemwachtwoorden en andere beveiligingsparameters.

3. Bescherm opgeslagen kaarthoudergegevens.

4. Versleutel de overdracht van kaarthoudersgegevens via open, openbare netwerken.

5. Gebruik en werk antivirussoftware regelmatig bij.

6. Ontwikkelen en onderhouden van veilige systemen en toepassingen.

7. Beperk de toegang tot kaarthoudergegevens per zakelijke need-to-know.

8. Wijs een unieke id toe aan elke persoon met computertoegang.

9. Beperk fysieke toegang tot gegevens van kaarthouders.

10. Volg en bewaak alle toegang tot netwerkbronnen en kaarthoudergegevens.

11. Test regelmatig beveiligingssystemen en -processen.

12. Houd een beleid aan dat betrekking heeft op informatiebeveiliging.

X