Video: Cecilie, 18/25-kunde i Sydbank, der lige har holdt et sabbatår 2024
Selv om det ikke er et lovlig mandat, Betalingskortindustrien Datasikkerhetsstandard (PCI DSS) er et eksempel på et industriinitiativ for å mandat og håndheve sikkerhetsstandarder. PCI DSS gjelder for enhver bedrift over hele verden som overfører, behandler eller lagrer betalingskort (som betyr kredittkort) -transaksjoner for å drive forretninger med kunder - om virksomheten håndterer tusenvis av kredittkorttransaksjoner om dagen eller en enkelt transaksjon i året.
Overholdelse er påbudt og håndheves av betalingskortmerkene (American Express, MasterCard, Visa, osv.) Og hvert betalingskort merke klarer sitt eget compliance program.
Selv om PCI DSS er en industristandard i stedet for et lovlig mandat, begynner mange stater å innføre lovgivning som vil gjøre PCI-samsvar (eller i det minste i samsvar med visse bestemmelser) obligatorisk for organisasjoner som driver virksomhet i denne staten.
PCI DSS krever organisasjoner å levere en årlig selvvurdering og nettverkssøk, eller for å fullføre PCI-datasikkerhetsvurderinger og kvartalsviste nettverksskanninger. De faktiske kravene er avhengig av antall betalingskorttransaksjoner som håndteres av en organisasjon og andre faktorer, for eksempel tidligere tap av data.
PCI DSS versjon 3. 0 består av seks kjerneprinsipper, støttet av 12 ledsagende krav og mer enn 200 spesifikke prosedyrer for overholdelse. Disse inkluderer
- Prinsipp 1: Bygg og vedlikehold et sikkert nettverk:
- Krav 1: Installer og vedlikehold en brannmurkonfigurasjon for å beskytte kortholderdata.
- Krav 2: Ikke bruk standardleverandører for systempassord og andre sikkerhetsparametere.
- Prinsipp 2: Beskytt kortholderdata:
- Krav 3: Beskytt lagrede kortholderdata.
- Krav 4: Krypter overføring av kortinnehaverdata på tvers av åpne, offentlige nettverk.
- Prinsipp 3: Opprettholder et sårbarhetsadministrasjonsprogram:
- Krav 5: Bruk og oppdater regelmessig antivirusprogramvare.
- Krav 6: Utvikle og vedlikeholde sikre systemer og applikasjoner.
- Prinsipp 4: Implementer sterke tilgangskontrollmålinger:
- Krav 7: Begrens tilgang til kortinnehaverdata ved hjelp av forretningsbehov.
- Krav 8: Tilordne en unik ID til hver person som har tilgang til datamaskinen.
- Krav 9: Begrens fysisk tilgang til kortinnehaverdata.
- Prinsipp 5: Kontroller og test nettverk regelmessig:
- Krav 10: Spor og overvåk all tilgang til nettverksressurser og kortholderdata.
- Krav 11: Kontroller regelmessig sikkerhetssystemer og prosesser.
- Prinsipp 6: Vedlikeholde en informasjonssikkerhetspolicy:
- Krav 12: Opprettholde en policy som omhandler informasjonssikkerhet.
Bøter for manglende overholdelse belastes av betalingskortmerkene og inkluderer ikke tillatelse til å behandle kredittkorttransaksjoner, bøter opptil $ 25 000 per måned for mindre brudd, og bøter opp til $ 500 000 for brudd som resulterer i faktiske tapte eller stjålne økonomiske data.