PCI DSS

Payment card industry Data security standard

  • mezinárodní bezpečnostní standardy (normy), jejichž cílem je zamezit únikům citlivých dat o držitelích platebních karet a kartovým podvodům vyplývajícím ze zneužití těchto dat
  • v podstatě se jedná o 12 požadavků
  • určeny pro organizace, které zpracovávají, přenášejí nebo uchovávají data o držitelích platebních karet a kartových transakcích (zejména banky, autorizační centrály, poskytovatelé služeb, obchodníci akceptující platební karty)
  • konkrétní bezpečnostní doporučení jak chránit údaje o platebních kartách a jejich držitelích
    • dodržování by mělo být, je a bude, pravidelně prověřováno u všech subjektů zpracovávajících kartová data s tím, že úroveň prověření závisí na počtu a typu kartových transakcí za rok
    • bezpečnost nakládání s kartovými daty je v rámci bank a specializovaných organizací (vč. autorizačních center) zajišťována a prověřována, totéž je nutností pro ostatní zapojené subjekty
    • bezpečnost nakládání s kartovými daty u poskytovatelů služeb a obchodníků musí být také prověřována a podléhá uvedeným standardům
      • roční audit – mohou vykonávat pouze certifikovaní auditoři
      • čtvrtletní externí testování zranitelnosti – mohou provádět pouze certifikované společnosti
      • vlastní sebehodnocení SAQ – může provádět povinný subjekt / obchodník sám
  • podrobnosti na www.pcisecuritystandards.org a vybrané informace na www.pcistandard.cz