Video: Vad är MobilePay och hur använder jag det? 2024
Även om det inte ännu är ett lagligt mandat, Betalningskortindustrin Datasäkerhetsstandard (PCI DSS) är ett exempel på ett industriinitiativ för mandat och tillämpning av säkerhetsstandarder. PCI DSS gäller för alla affärer över hela världen som överför, bearbetar eller lagrar betalkortstransaktioner (vilket innebär kreditkort) för att bedriva affärer med kunder - oavsett om affären hanterar tusentals kreditkortstransaktioner per dag eller en enda transaktion om året.
Överensstämmelse är mandat och verkställt av betalkortsmärkena (American Express, MasterCard, Visa osv.) Och varje betalkortsmärke hanterar sitt eget complianceprogram.
Även om PCI DSS är en industristandard snarare än ett juridiskt mandat, börjar många stater införa lagstiftning som skulle göra PCI-efterlevnad (eller åtminstone efterlevnad av vissa bestämmelser) obligatorisk för organisationer som bedriver verksamhet i det landet.
PCI DSS kräver att organisationer lämnar in en årlig självbedömning och nätverkssökning, eller för att slutföra PCI-datasäkerhetsbedömningar och kvartalsvisa nätverksskanningar. De faktiska kraven beror på antalet betalkortstransaktioner som hanteras av en organisation och andra faktorer, såsom tidigare dataförlustolyckor.
PCI DSS version 3. 0 består av sex kärnprinciper, stöds av 12 kompletterande krav och mer än 200 specifika förfaranden för överensstämmelse. Dessa inkluderar
- Princip 1: Bygg och behåll ett säkert nätverk:
- Krav 1: Installera och behåll en brandväggskonfiguration för att skydda kortinnehavarens data.
- Krav 2: Använd inte standardleverantörer för systemlösenord och andra säkerhetsparametrar.
- Princip 2: Skydda korthållardata:
- Krav 3: Skydda lagrade korthållardata.
- Krav 4: Kryptera överföring av kortinnehavsdata över öppna, offentliga nätverk.
- Princip 3: Håll ett program för sårbarhetshantering:
- Krav 5: Använd och uppdatera regelbundet antivirusprogram.
- Krav 6: Utveckla och behålla säkra system och applikationer.
- Princip 4: Använd starka åtkomstkontrollåtgärder:
- Krav 7: Begränsa tillgången till kortinnehavarens data med hjälp av företagsbehov.
- Krav 8: Tilldela ett unikt ID till varje person som har datoråtkomst.
- Krav 9: Begränsa fysisk åtkomst till kortinnehavarens data.
- Princip 5: Kontrollera regelbundet och test nätverk:
- Krav 10: Spåra och övervaka all tillgång till nätverksresurser och kortinnehavsdata.
- Krav 11: Kontrollera regelbundet säkerhetssystem och processer.
- Princip 6: Håll en informationssäkerhetspolitik:
- Kravet 12: Håll en policy som behandlar informationssäkerhet.
Påföljder för bristande efterlevnad tas ut av betalningskortets varumärken och inkluderar inte tillåtelse att behandla kreditkortstransaktioner, böter upp till $ 25 000 per månad för mindre överträdelser och böter upp till 500 000 000 kronor för överträdelser som resulterar i faktiska förlorade eller stulna finansiella data.
