Payment Card Industry Security Standards données ( PCI -DSS, ou PCI pour faire court) est un ensemble de règles de conformité adoptées par les institutions financières majeures telles que Visa, MasterCard, American Express et Discover. Le présent règlement régit les entreprises qui gèrent ou stocker des données client - identifiables , comme les cartes de crédit, de compte bancaire et les numéros de sécurité sociale. Quelles sont les exigences de conformité ?
PCI -DSS est divisé en 12 exigences qui régissent tout, de la configuration du réseau et des politiques , le chiffrement et le cycle de vie du développement logiciel de la société ségrégation , mot de passe et anti- virus , si elles sont le développement d'applications en interne.
Comment construire et maintenir un réseau
sécurisé aux deux premières exigences traitent de la configuration du pare-feu de l'entreprise et l'évolution des défaillances de fournisseurs, tels que les mots de passe par défaut , le logiciel de l'entreprise utilise .
protéger les données
Exigences trois et quatre traitent de cryptage de données où elle est stockée et le chiffrement des données pendant qu'il est transmettre. Ce sont des exigences essentielles et sont généralement examinées par des auditeurs PCI. Vous devez vous assurer d'avoir une bonne politique de chiffrement pour couvrir ces deux exigences.
Maintenir une vulnérabilité Programme de gestion
Exigences cinq et six traitent de l'entretien anti- virus et le développement de logiciels . Pour les premiers, vous aurez besoin d'une politique anti- virus , ce qui n'est généralement pas longtemps et peut être roulé dans la politique de sécurité dans l'exigence 12. Exigence six est l'une des plus grandes sections de l'audit PCI -DSS et devrait avoir un cycle de vie de développement logiciel documenté . Exigence 6.6 concerne également des tests de pénétration des applications web , dont l'auditeur PCI devra faire avant de délivrer un certificat de conformité. Il existe des outils , tels que grêle ou AppScan , qui devrait satisfaire à cette exigence.
En œuvre un contrôle d'accès robuste Mesures
Exigences sept à neuf face à limiter l'accès aux données des titulaires pour que ceux qui ont besoin de connaître les responsabilités , l'attribution d'une identification unique à chaque personne ayant accès aux données des titulaires et restreindre l'accès physique au centre de données où l'information est stockée titulaire . Certaines entreprises sont en mesure de se déplacer exigence neuf en ayant , un magasin de fournisseur d'hébergement géré compatible PCI les données pour eux.
Surveiller régulièrement et tester les réseaux
Exigences 10 et 11 traitent de l'exploitation forestière accès au réseau dans l'environnement des données des titulaires et un calendrier de tests réguliers de tous les systèmes et les processus.
Maintenir une sécurité de l'information politique
Exigence 12 concerne les politique de sécurité, qui peuvent et doivent englober tous les 11 autres exigences de PCI -DSS . C'est la plus grande partie de la documentation qui doit être produite et il est utile d' embaucher un rédacteur technique professionnel pour ce faire.