Nwlapcug.com


I requisiti per la conformità PCI

Payment Card Industry Data Security Standards (PCI-DSS, o PCI per breve) è un insieme di normative di conformità adottato dalle maggiori istituzioni finanziarie quali VISA, Mastercard, American Express e Discover. Il presente regolamento disciplina le società che gestiscono o memorizzare dati cliente-identificabili, quali carta di credito, conto bancario e numeri di previdenza sociale.

Quali sono i requisiti di conformità?

PCI-DSS è suddiviso in 12 requisiti che regolano tutto da configurazione di rete e segregazione, password e criteri antivirus, crittografia e ciclo di sviluppo del software dell'azienda, lo sviluppo di applicazioni in-House.

Costruire e mantenere una rete sicura

I primi due requisiti affare con configurazione del firewall e modifica dei valori predefiniti del fornitore, ad esempio la password di default dell'azienda, il software utilizza l'azienda.

Proteggere i dati dei titolari

Requisiti di tre e quattro trattano con crittografia dei dati dove viene immagazzinato e crittografia dei dati mentre vengono trasmesse. Questi sono requisiti critici e solitamente sono controllati da revisori PCI. È necessario assicurarsi di che avere una politica di crittografia buona per coprire questi due requisiti.

Mantenere un programma di gestione delle vulnerabilità

Requisiti di cinque e sei affrontare lo sviluppo di software e di manutenzione di anti-virus. Per il primo, avrete bisogno di una politica di anti-virus, che non è solitamente lungo e può essere arrotolata in criteri di protezione nel requisito 12. Requisito 6 è una delle sezioni più grandi dell'audit PCI-DSS e dovrebbe avere un ciclo di sviluppo software documentato. Requisito 6.6 riguarda anche il test di penetrazione delle applicazioni web, che il revisore PCI sarà necessario fare prima di rilasciare un certificato di conformità. Ci sono strumenti, come la grandine o AppScan, che dovrebbe soddisfare questo requisito.

Attuare misure di controllo di accesso forti

Requisiti da sette a nove affrontare limitando l'accesso ai dati del titolare della carta solo a quelli con necessità di conoscere le responsabilità, assegnazione di un'identificazione univoca per ogni persona con accesso ai dati del titolare della carta e limitare l'accesso fisico al centro dati in cui sono memorizzate informazioni sui titolari di carta. Alcune aziende sono in grado di aggirare il requisito nove avendo un PCI compatibile, host gestito provider memorizzano i dati per loro.

Monitorare regolarmente e reti Test

Requisiti 10 e 11 trattano con accesso alla rete accedendo l'ambiente di dati del titolare della carta e un regolare programma di test di tutti i sistemi e processi.

Mantenere un criterio di protezione di informazioni

Requisito 12 riguarda la politica di sicurezza, che può e dovrebbe comprendere tutti gli altri 11 requisiti di PCI-DSS. Questo è il pezzo più grande della documentazione che deve essere prodotta ed è utile assumere un technical writer professionista per farlo.