Payment Card Industry
Santrumpa
PCI
Žodis Lietuviškai
Mokėjimo kortelių pramonė
Apibrėžimas
PCI (Payment Card Industry) – mokėjimo kortelių pramonė. Terminas apima debeto, kredito, išankstinio apmokėjimo korteles, elekronines pinigines, ATM (Automated Teller Machine arba Automated Bankig Machine (ABM)) ir POS (Point of Sale) ir su tuo susijusį verslą.
Paaiškinimai
Terminas dažnai siejamas su mokėjimo kortelių pramonės saugumo standarto taryba. Nepriklausoma taryba buvo suformuota American Express, Discover Financial Services, JCB, MasterCard Worldwide ir Visa International 2006 metų rugsėjo 7 dieną, su tiklsu valdyti sparčiai besivystantį mokėjimo kortelių industrijos duomenų saugumo standartą (Payment Card Industry Data Security Standard – PCI DSS). Šis standartas buvo sukutas mokėjimo kortelių industrijos organizacijoms, kad būtų užkirstas kelias sukčiavimams susijusiais su kredito kortelėmis. Standartas taikomas visoms organizacijoms, kurios laiko arba keičiasi kortelių savininkų informacija. Dabartinio standarto versija yra 2.0, išleista 2010 metų spalio 26 diena. Nuo 2011 metų sausio 1 dienos visos organizacijos, susijusios su kortelių apmokėjimo, turi pereiti prie PCI DSS 2.0 versijos, o nuo 2012 metų sausio 1 dienos visi vertinimai bus atliekami tik pagal šį standartą. Žemiau esanti lentelė apibendrina skirtumus tarp 1.2 (2008 metų spalio 1 diena) ir 2.0 versijų, bei nurodo dvylika reikalavimų suskirstytų į šešias grupes, kurios vadinamos „kontrolės tikslai“. 1 lentelė. 1.2 ir 2.0 PCI DSS versijų skirtumų lentelė.
Kontrolės tikslas |
PCI DSS reikalavimai |
Sukurti ir išlaikyti saugų tinklą |
Instaliuoti ir palaikyti ugniasienę, kuri apsaugotų kortelių savininkų duomenis |
|
Nenaudokite pardavėjo automatiškai nustatytų sistemos slaptažodžių ir kitų parametrų |
|
|
Apsaugoti kortelių savininkų duomenis |
Saugoti sukauptus kortelių savininkų duomenis |
|
Koduoti perduodamus kortelių savininkų duomenis per atvirą viešą tinklą |
|
|
Išlaikyti pažeidžiamumo valdymo programą |
Naudoti ir reguliariai atnaujinti antivirusinę programinę įrangą |
|
Vystyti ir palaikyti saugią sistemą ir programas |
|
|
Įdiegti saugios prieeigos valdymo preimones |
Riboti prieeigą prie klientų duomenų |
|
Priskirti unikalius ID kiekvienam asmeniui turinčiam kompiuterinę prieeigą |
|
Riboti fizinę prieeigą prie kortelės turėtojų duomenų |
|
|
Reguliariai stebėti ir testuoti kompiuterinį tinklą |
Sekti ir stebėti visas prieeigas prie tinklo resursų ir duomenų |
|
Reguliariai testuoti sistemos saugumą ir procesus |
|
|
Palaikyti informacijos saugumo politiką |
Vystyti politiką, kuri sprestų informacijos saugumą |