Video: Cecilie, 18/25-kunde i Sydbank, der lige har holdt et sabbatår 2024
Selvom det endnu ikke er et lovligt mandat, Betalingskortindustriens datasikkerhedsstandard (PCI DSS) er et eksempel på et industriinitiativ til mandat og håndhævelse af sikkerhedsstandarder. PCI DSS gælder for enhver virksomhed i verden, der overfører, behandler eller gemmer betalingskort (dvs. kreditkort) transaktioner til at drive forretning med kunder - om den virksomhed håndterer tusindvis af kreditkorttransaktioner om dagen eller en enkelt transaktion om året.
Overholdelse er mandat og håndhævet af betalingskortmærkerne (American Express, MasterCard, Visa osv.) Og hvert betalingskortmærke styrer sit eget complianceprogram.
Selv om PCI DSS er en industristandard snarere end et lovligt mandat, begynder mange stater at indføre lovgivning, der ville gøre PCI-overholdelse (eller i det mindste overholdelse af visse bestemmelser) obligatorisk for organisationer, der driver forretning i den pågældende stat.
PCI DSS kræver, at organisationer indsender en årlig selvvurdering og netværksscanning, eller for at gennemføre PCI-datasikkerhedsvurderinger og kvartalsvise netværksscanning. De faktiske krav afhænger af antallet af betalingskorttransaktioner, der håndteres af en organisation og andre faktorer, såsom tidligere datatabsincidenter.
PCI DSS version 3. 0 består af seks kerneprincipper, understøttet af 12 ledsagende krav og mere end 200 specifikke procedurer for overholdelse. Disse omfatter
- Princip 1: Byg og vedligehold et sikkert netværk:
- Krav 1: Installer og vedligehold en firewallkonfiguration for at beskytte kortindehaverdata.
- Krav 2: Brug ikke standardleverancer til systemadgangskoder og andre sikkerhedsparametre.
- Princip 2: Beskyt kortindehaverdata:
- Krav 3: Beskyt gemte kortindehaverdata.
- Krav 4: Krypter transmission af kortindehaverdata på tværs af åbne, offentlige netværk.
- Princip 3: Vedligeholde et sårbarhedsstyringsprogram:
- Krav 5: Brug og opdater regelmæssigt antivirusprogrammet.
- Krav 6: Udvikle og vedligeholde sikre systemer og applikationer.
- Princip 4: Implementer stærke adgangskontrolforanstaltninger:
- Krav 7: Begræns adgang til kortindehaverdata ved hjælp af forretningsbehov.
- Krav 8: Tildel et unikt id til hver person, der har computeradgang.
- Krav 9: Begræns fysisk adgang til kortindehaverdata.
- Princip 5: Regelmæssigt overvåge og teste netværk:
- Krav 10: Spor og overvåge al adgang til netværksressourcer og kortindehaverdata.
- Krav 11: Test regelmæssigt sikkerhedssystemer og processer.
- Princip 6: Vedligeholde en informationssikkerhedspolitik:
- Krav 12: Vedligeholde en politik, der omhandler informationssikkerhed.
Bøder for manglende overholdelse opkræves af betalingskortmærkerne og omfatter ikke tilladelse til at behandle kreditkorttransaktioner, bøder op til $ 25.000 pr. Måned for mindre overtrædelser og bøder op til $ 500.000 for overtrædelser, der resulterer i faktiske tabte eller stjålne økonomiske data.
