PCI DSS

Payment card industry Data security standard

  • mezinárodní bezpečnostní standardy (normy), jejichž cílem je zamezit únikům citlivých dat o držitelích platebních karet a kartovým podvodům vyplývajícím ze zneužití těchto dat
  • v podstatě se jedná o 12 požadavků
  • určeny pro organizace, které zpracovávají, přenášejí nebo uchovávají data o držitelích platebních karet a kartových transakcích (zejména banky, autorizační centrály, poskytovatelé služeb, obchodníci akceptující platební karty)
  • konkrétní bezpečnostní doporučení jak chránit údaje o platebních kartách a jejich držitelích
  • dodržování by mělo být, je a bude, pravidelně prověřováno u všech subjektů zpracovávajících kartová data s tím, že úroveň prověření závisí na počtu a typu kartových transakcí za rok
  • bezpečnost nakládání s kartovými daty je v rámci bank a specializovaných organizací (vč. autorizačních center) zajišťována a prověřována, totéž je nutností pro ostatní zapojené subjekty
  • bezpečnost nakládání s kartovými daty u poskytovatelů služeb a obchodníků musí být také prověřována a podléhá uvedeným standardům
    • roční audit - mohou vykonávat pouze certifikovaní auditoři
    • čtvrtletní externí testování zranitelnosti - mohou provádět pouze certifikované společnosti
    • vlastní sebehodnocení SAQ - může provádět povinný subjekt / obchodník sám
  • podrobnosti na www.pcisecuritystandards.org a vybrané informace na www.pcistandard.cz