Die Anforderungen für PCI-Compliance

Payment Card Industry Data Security Standards (PCI-DSS oder kurz PCI) ist ein Satz von Compliance-Vorschriften angenommen durch große Finanzinstitute wie VISA, Mastercard, American Express und Discover. Dieses Reglement regelt Unternehmen, die verwalten oder Kunden identifizierbare Daten, z. B. Kreditkarte, Bankkonto und Sozialversicherungsnummern zu speichern.

Was sind die Compliance-Anforderungen?

PCI-DSS gliedert sich in 12 Anforderungen, die alles von der Netzwerkkonfiguration und Segregation, Kennwort und Antiviren-Richtlinien, Verschlüsselung und des Unternehmens-Software-Entwicklungszyklus, Regeln, wenn sie eigene Anwendungen entwickeln.

Aufbau und Pflege eines sicheren Netzwerks

Die ersten beiden Anforderungen befassen sich mit der Firewall-Konfiguration und ändern Kreditor Standardeinstellungen, wie z. B. die Standardkennwörter eines Unternehmens, auf Software die Firma verwendet.

Schutz von Karteninhaberdaten

Anforderungen 3 und 4 beschäftigen sich mit Verschlüsselung Daten dort gespeichert und Verschlüsseln von Daten, während sie übertragen werden. Dies sind wichtige Anforderungen und sind in der Regel von PCI-Prüfern geprüft. Sie müssen sicherstellen, dass Sie eine gute Verschlüsselung Politik diese beiden Anforderungen abdecken.

Aufrechterhaltung eines Schwachstellen-Management-Programms

Fünf und sechs Anforderungen befassen sich mit Anti-Virus-Wartung und Software-Entwicklung. Für erstere benötigen Sie eine Antiviren-Richtlinie, die nicht in der Regel lang und kann in der Sicherheitsrichtlinie in Anforderung 12 gerollt werden. Anforderung 6 ist einer der größten Abschnitte des PCI-DSS Audits und eine dokumentierte Software-Entwicklungszyklus haben sollte. Anforderung 6.6 betrifft auch Penetrationstests von Webanwendungen, die die PCI-Prüfer vor der Ausgabe ein Übereinstimmungszertifikat tun muss. Gibt es Tools wie Hagel oder AppScan, die diese Anforderung erfüllen sollte.

Strenge Kontrollmaßnahmen zu implementieren

Anforderungen sieben bis neun befassen sich mit beschränken des Zugriffs auf Karteninhaberdaten auf solche mit Need-to-know Verantwortlichkeiten zuweisen eine eindeutige Kennung für jede Person mit Zugriff auf Karteninhaberdaten und einschränkenden physischen Zugriff auf das Rechenzentrum, die dem Karteninhaber Informationen gespeichert sind. Einige Unternehmen sind in der Lage zu umgehen Voraussetzung, dass neun mit einem PCI-konforme, verwalteten Host-Provider die Daten für sie speichern.

Regelmäßig überwachen und Testen von Netzwerken

Anforderungen 10 und 11 befassen sich mit der Anmeldung Netzwerkzugriff in der Datenumgebung Karteninhaber und testen regelmäßig alle Systeme und Prozesse.

Aufrechterhaltung einer Informationssicherheitsrichtlinie

Anforderung 12 betrifft die Sicherheitsrichtlinie, und sollte alle anderen 11 Anforderungen des PCI-DSS umfassen kann. Dies ist das größte Stück der Dokumentation, die produziert werden muss, und es ist hilfreich, einen professionellen technischen Schriftsteller dazu zu mieten.