PCI DSS

Overzicht over: Payment Card Industry Data Security Standard

De Payment Card Industry Data Security Standard (PCI DSS) is een algemeen aanvaarde reeks beleidsregels en procedures die bedoeld zijn om de veiligheid van creditcard-, debet- en pinpastransacties te optimaliseren en kaarthouders te beschermen tegen misbruik van hun persoonlijke gegevens. De PCI DSS werd in 2004 gezamenlijk opgericht door vier grote creditcardmaatschappijen: Visa, MasterCard, Discover en American Express.

De PCI DSS specificeert en werkt zes hoofddoelstellingen uit.

Ten eerste moet er een beveiligd netwerk worden onderhouden waarin transacties kunnen worden uitgevoerd. Deze vereiste omvat het gebruik van firewalls die robuust genoeg zijn om effectief te zijn zonder onnodig ongemak voor kaarthouders of verkopers te veroorzaken. Er zijn gespecialiseerde firewalls beschikbaar voor draadloze LAN's, die zeer kwetsbaar zijn voor afluisteren en aanvallen door kwaadwillende hackers. Bovendien mogen authenticatiegegevens zoals persoonlijke identificatienummers (PIN's) en wachtwoorden geen standaardinstellingen bevatten die door de leveranciers zijn verstrekt. Klanten moeten dergelijke gegevens gemakkelijk en regelmatig kunnen wijzigen.

Ten tweede moet de kaarthouderinformatie worden beschermd, waar deze ook wordt opgeslagen. Opslagplaatsen met essentiële gegevens zoals geboortedata, meisjesnamen van moeders, burgerservicenummers, telefoonnummers en postadressen moeten beveiligd zijn tegen hacking. Wanneer kaarthoudergegevens via openbare netwerken worden verzonden, moeten die gegevens op een effectieve manier worden versleuteld. Digitale versleuteling is belangrijk bij alle vormen van creditcardtransacties, maar vooral bij e-commerce op internet.

Ten derde moeten systemen worden beschermd tegen de activiteiten van kwaadwillende hackers door regelmatig bijgewerkte antivirussoftware, antispywareprogramma's en andere antimalwareprogramma's te gebruiken. Alle applicaties moeten vrij zijn van bugs en kwetsbaarheden die de deur kunnen openen voor exploits waarbij gegevens van kaarthouders kunnen worden gestolen of gewijzigd. Patches die worden aangeboden door leveranciers van software en besturingssystemen (OS) moeten regelmatig worden geïnstalleerd om het hoogst mogelijke niveau van kwetsbaarheidsbeheer te garanderen.

Ten vierde moet de toegang tot systeeminformatie en bewerkingen worden beperkt en gecontroleerd. Kaarthouders hoeven geen informatie aan bedrijven te verstrekken, tenzij die bedrijven die informatie moeten kennen om zichzelf te beschermen en een transactie effectief uit te voeren. Elke persoon die een computer in het systeem gebruikt, moet een unieke en vertrouwelijke identificatienaam of -nummer toegewezen krijgen. De gegevens van kaarthouders moeten zowel fysiek als elektronisch worden beschermd. Voorbeelden zijn het gebruik van papiervernietigers, het vermijden van onnodige duplicatie van papieren documenten en sloten en kettingen aan afvalcontainers om criminelen te ontmoedigen die anders door de prullenbak zouden snuffelen.

Fifth, networks must be constantly monitored and regularly tested to ensure that all security measures and processes are in place, are functioning properly, and are kept up-do-date. For example, anti-virus and anti-spyware programs should be provided with the latest definitions and signatures. These programs should scan all exchanged data, all applications, all random-access memory (RAM) and all storage media frequently if not continuously.

Ten zesde moet een formeel informatiebeveiligingsbeleid te allen tijde en door alle deelnemende entiteiten worden gedefinieerd, gehandhaafd en gevolgd. Handhavingsmaatregelen zoals audits en sancties bij niet-naleving kunnen nodig zijn.

Elke organisatie die betaalkaarten verwerkt, inclusief debet- en kredietkaarten, moet rechtstreeks of via een compenserende controle aan de 12 vereisten voldoen. Compenserende controles zijn echter niet altijd toegestaan ​​en moeten geval per geval worden goedgekeurd door een PCI QSA. Het niet voldoen aan de PCI DSS 12-vereisten kan leiden tot boetes of beëindiging van creditcardverwerkingsrechten.

De PCI DSS 12-vereisten zijn als volgt:

1. Installeer en onderhoud een firewallconfiguratie om kaarthoudergegevens te beschermen.

2. Gebruik geen door leveranciers geleverde standaardinstellingen voor systeemwachtwoorden en andere beveiligingsparameters.

3. Bescherm opgeslagen kaarthoudergegevens.

4. Versleutel de overdracht van kaarthoudersgegevens via open, openbare netwerken.

5. Gebruik en werk antivirussoftware regelmatig bij.

6. Ontwikkelen en onderhouden van veilige systemen en toepassingen.

7. Beperk de toegang tot kaarthoudergegevens per zakelijke need-to-know.

8. Wijs een unieke id toe aan elke persoon met computertoegang.

9. Beperk fysieke toegang tot gegevens van kaarthouders.

10. Volg en bewaak alle toegang tot netwerkbronnen en kaarthoudergegevens.

11. Test regelmatig beveiligingssystemen en -processen.

12. Houd een beleid aan dat betrekking heeft op informatiebeveiliging.

X