Payment Card Industry Data Security Standards (PCI -DSS oder PCI kurz) ist eine Reihe von Compliance-Vorschriften von großen Finanzinstituten wie VISA , Mastercard, American Express und Discover angenommen. Diese Vorschriften regeln , dass Unternehmen oder Shop-Verwaltung Kunden identifizierbaren Daten , wie Kreditkartennummern , Bankverbindungen und Sozialversicherungsnummern . Was sind die Compliance-Anforderungen ?
PCI -DSS- Anforderungen ist in 12 , die alles regeln von Netzwerk-Konfiguration und Segregation , Passwort und Antiviren-Richtlinien , die Verschlüsselung und das Unternehmen die Software-Entwicklungszyklus gebrochen , wenn sie Entwicklung von Anwendungen in -house.
Erstellung und Wartung eines sicheren Netzwerks
die ersten beiden Anforderungen befassen sich mit einer Firmen-Firewall -Konfiguration und Ändern Anbieterstandardeinstellungen , wie die Standard-Passwörter auf Software nutzt das Unternehmen .
Schutz von Karteninhaberdaten
Bedarf drei und vier befassen sich mit Verschlüsselung von Daten , wo es gespeichert wird und die Verschlüsselung von Daten , während es ist übertragen. Dies sind wichtige Anforderungen und sind in der Regel durch PCI Abschlussprüfer geprüft . Sie müssen sicherstellen, dass Sie eine gute Verschlüsselung Politik , diese beiden Anforderungen zu decken.
Pflegen eine Vulnerability Management Program
Anforderungen fünf und sechs befassen sich mit Anti-Viren- Wartung und Software-Entwicklung . Für die ehemalige , benötigen Sie ein Anti-Virus -Politik, die in der Regel nicht lange und kann in der Sicherheitspolitik in Anforderung 12 gerollt werden. Voraussetzung sechs ist einer der größten Abschnitte des PCI -DSS Audit und sollte eine dokumentierte Software Development Lifecycle haben . Anforderung 6.6 betrifft auch Penetration Testing von Web -Anwendungen, die die PCI Auditor tun müssen, bevor sie eine Compliance- Zertifikat. Es gibt Werkzeuge , wie Hagelschauer oder AppScan , die diese Anforderung erfüllen sollte .
Implementierung starker Access Control Maßnahmen
Anforderungen sieben bis neun befassen sich mit Beschränkung des Zugriffs auf Karteninhaberdaten nur solche mit need- to-know- Aufgaben , die Zuweisung einer eindeutigen Identifikationsnummer für jede Person mit Zugriff auf Karteninhaberdaten beschränken und physischen Zugriff auf das Rechenzentrum, in dem Karteninhaber Informationen gespeichert sind. Einige Unternehmen sind in der Lage, rund neun Anforderung , indem er eine PCI -konformen , managed Host-Provider speichern die Daten für sie zu bekommen.
Regelmäßig zu überwachen und Testen von Netzwerken
Anforderungen 10 und 11 befassen sich mit der Anmeldung Netzzugang in der Karteninhaberdaten-Umgebung und eine regelmäßige Prüfung Zeitplan für alle Systeme und Prozesse.
pflegen Sie eine Information Security Policy
Anforderung 12 betrifft die Sicherheitspolitik , die können und sollten alle anderen 11 Anforderungen der PCI -DSS umfassen . Dies ist das größte Stück der Dokumentation , die hergestellt werden muss, und es ist hilfreich, um eine professionelle technische Schriftsteller zu mieten , dies zu tun .
