Normas Payment Card Industry Data Security (PCI- DSS , ou PCI para o short) é um conjunto de normas de conformidade adotados pelas principais instituições financeiras como Visa, Mastercard, American Express e Discover. Estes regulamentos governar empresas que administram ou dados de identificação do cliente da loja, tais como cartão de crédito, conta bancária e números de Segurança Social . Quais são os requisitos de conformidade ?
PCI- DSS é dividido em 12 requisitos que governam tudo, desde a configuração da rede e da segregação , senha e anti- vírus políticas , criptografia e de ciclo de vida de desenvolvimento de software da empresa, se eles são desenvolvimento de aplicativos in-house .
construir e manter uma rede segura
os dois primeiros requisitos lidar com configuração de firewall de uma empresa e mudar os padrões do fornecedor , tais como as senhas padrão , no software que a empresa utiliza .
proteger os dados do portador do cartão
Requisitos três e quatro lidam com criptografia de dados onde é armazenada e criptografia de dados enquanto ele estiver sendo transmitido . Estes são requisitos críticos e geralmente são examinados por auditores PCI. Você precisa ter certeza de que você tem uma política de criptografia bom para cobrir estes dois requisitos .
Manter um Programa de Gerenciamento de Vulnerabilidade
Requisitos cinco e seis lidam com manutenção anti- vírus e desenvolvimento de software. Para o primeiro, você vai precisar de uma política anti -vírus, o que não é geralmente longo e pode ser enrolado na Política de Segurança na exigência 12. Requisito seis é um dos maiores setores da auditoria do PCI -DSS e deve ter um ciclo de vida de desenvolvimento de software documentado. Requisito 6.6 também se refere a testes de penetração de aplicações web , que o auditor PCI precisa fazer antes de emitir um certificado de conformidade. Existem ferramentas , como Tempestade de granizo ou AppScan , que devem satisfazer este requisito.
Implementar medidas de controle de acesso
Requisitos de sete a nove lidam com a limitação do acesso aos dados do portador de cartão somente para aqueles com necessidade de ter conhecimento responsabilidades , a atribuição de uma identificação única para cada pessoa com acesso aos dados do portador de cartão e restringir o acesso físico para o centro de dados em que as informações do titular do cartão são armazenados. Algumas empresas são capazes de dar a volta exigência de nove por ter um PCI -compliant , conseguiu acolhimento provedor de armazenamento de dados para eles.
Regularmente Monitorar e testar as redes
Requisitos 10 e 11 de acordo com o acesso à rede de registro para o ambiente de dados do titular do cartão e um cronograma de testes regulares de todos os sistemas e processos.
Manter uma Política de Segurança da Informação
Requisito 12 diz respeito ao política de segurança, que pode e deve abranger todos os outros 11 requisitos do PCI- DSS. Esta é a maior parte da documentação que precisa ser produzido e é útil para contratar um escritor técnico profissional para fazer isso.
