Payment Card Industry Data Security Standard (PCI DSS) är en uppsättning riktlinjer och bästa praxis som tillhandahålls för alla företag och andra enheter som behandlar, överför eller lagrar kreditkortsdata. Dessa riktlinjer har utvecklats av PCI Security Standards Council (PCI SSC) och är avsedda att förhindra dataläckor och resulterande identitetsstöld och kreditkortsbedrägerier. Det finns tre pågående faser involverade i efterlevnaden av PCI DSS: bedömning av affärsprocesser och identifiering av potentiella risker, åtgärdande av dessa risker och rapportering av efterlevnadsinsatser till relevanta banker och andra kreditkortsutgivare.
Paramount i betalkortsindustrins datasäkerhetsstandard är skapandet och underhållet av ett säkert datornätverk. En robust brandvägg måste byggas upp mellan kortinnehavarens data och extern åtkomst till nätverket. Systemlösenord bör implementeras tillsammans med andra säkerhetsåtgärder vid varje potentiell punkt av nätverkssårbarhet. Alla kortinnehavares data måste lagras säkert och när de överförs över offentliga nätverk måste de vara krypterade. Pågående åtgärder inkluderar användning av antivirusprogram och begränsad fysisk åtkomst eller datoråtkomst till data av personal på grund av att företaget behöver veta.
Det finns många verktyg och tjänster tillgängliga för att hjälpa organisationer att hantera PCI DSS. Medan PCI SSC fastställer standarderna för PCI-efterlevnad, har alla de stora kreditkortsmärkena skapat sina egna standarder när det gäller tillämpning och efterlevnad av dessa standarder samt procedurer för kreditkortsvalidering. Vart och ett av dessa företag erbjuder online- och annan vägledning till organisationer som accepterar deras kort. PCI SSC driver också ett program som godkänner kvalificerade säkerhetsbedömare som validerar överensstämmelse med Payment Card Industry Data Security Standard. För organisationer som själv utvärderar sin efterlevnad tillhandahåller PCI SSC valideringsverktyg som kallas Self-Assessment Questionnaires i flera former, var och en skräddarsydd för specifika affärsmiljöer.
En nyckelpremiss för att följa Payment Card Industry Data Security Standard är att endast lagra kreditkortsdata som är väsentliga för organisationens behov. Lagrade data bör underkastas tidsgränser och transaktionsautentiseringsdata bör aldrig lagras. Alla kontonummer och andra känsliga uppgifter som överförs i publika nät ska vara delvis maskerade.
Andra pågående PCI DSS-åtgärder inkluderar skapandet och underhållet av ett sårbarhetshanteringsprogram som skapar säkra applikationer och program. Rutinmässig övervakning och nätverkstestning för att identifiera svagheter krävs också. Varje organisation måste också upprätthålla och distribuera en skriftlig säkerhetspolicy till all personal.