O que é PCI?
A missão Payment Card Industry Standards Council 's é minimizar comerciante baseados em vulnerabilidades que ameaçam o ecossistema de processamento de cartões, e criar um fórum aberto global para o desenvolvimento contínuo, valorização, divulgação e aplicação de normas de segurança para a proteção de dados de contas de clientes.

Por que eu deveria me importar sobre o cumprimento do PCI?
O conselho PCI estabeleceu julho de 2010 como a data para começar a aplicar todos os comerciantes que aceitam ou processar cartões de pagamento para processar transações em conformidade com PCI e do PCI DSS. Se o comerciante não cumprir o acordo, o fornecedor de processamento de cartão de crédito pode optar por interromper seus serviços até que o comerciante satisfaz PCI Compliance.

Que iniciativas tem conselho PCI estabelecido?
A fim de reforçar a segurança dos dados da conta, o PCI Security Standards Council traçou o seguinte conjunto de práticas:

Construir e manter uma rede segura
1. Instale e mantenha uma configuração de firewall para proteger os dados do portador de cartão
2. Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança

Proteja os Dados do Portador de Cartão
3. Proteger os dados armazenados do portador de cartão
4. Criptografar a transmissão dos dados do portador de cartão em redes abertas e públicas

Manter um programa de gerenciamento de vulnerabilidades
5. Use e atualize regularmente o software antivírus ou programas
6. Desenvolver e manter sistemas e aplicações seguras

Implementar medidas de controle de acesso
7. Restringir o acesso aos dados do titular do cartão precisa de saber
8. Atribua um ID único para cada pessoa com acesso ao computador
9. Restrinja o acesso físico aos dados do portador de cartão

Regularmente Monitorar e testar as redes
10. Acompanhar e monitorar todos os acessos aos recursos da rede e dados do portador de cartão
11. Teste regularmente os sistemas e processos de segurança

Manter uma Política de Segurança da Informação
12. Mantenha uma política que atenda à segurança da informação para funcionários e prestadores

O que é PCI DSS?
PCI DSS inclui um conjunto abrangente de padrões de segurança que espelham as práticas estabelecido pelo PCI Security Standards Council. Ele foi adotado por American Express, MasterCard Worldwide, Inc. A Visa International, Discover Financial Services, JCB e internacionais e estabelece as bases para o estabelecimento da adoção universal de medidas de segurança de dados em todos os comerciantes que armazenam, processam e / ou conta de cliente de trânsito dados. Organizações que aceitam ou processar cartões de pagamento devem cumprir com o PCI DSS.

Os requisitos são como se segue:
Requisito 1: Instalar e manter um firewall e configuração do roteador para proteger os dados do portador de cartão
Firewalls são dispositivos que o tráfego de computador de controle permitidos dentro e fora da rede de uma organização, e em áreas sensíveis dentro de sua rede interna. Os roteadores são de hardware ou software que conecta duas ou mais redes.

Requisito 2: Não use padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança
A maneira mais fácil para um hacker acessar sua rede interna é tentar senhas padrão ou exploits baseados em configurações padrão do sistema de software em sua infra-estrutura de cartões de pagamento. Muito frequentemente, os comerciantes não alterar as senhas padrão ou configurações na implantação. Este é semelhante a sair de sua loja física desbloqueado quando você vai para casa à noite. Senhas e configurações padrão para a maioria dos dispositivos de rede são amplamente conhecidos. Essa informação, combinada com as ferramentas de hackers que mostram quais dispositivos estão em sua rede pode fazer a entrada não autorizada de uma tarefa simples - se você não conseguiu mudar os padrões.

Requisito 3: Proteger os dados armazenados do portador de cartão
Em geral, não há dados do titular do cartão deve sempre ser armazenado a menos que seja necessário para satisfazer as necessidades do negócio. Os dados sensíveis sobre a tarja magnética ou chip nunca deve ser armazenado. Se a sua organização armazena PAN, é fundamental para torná-lo dados ilegíveis, bem como dados transmitidos em uma rede.

Requisito 4: Criptografar a transmissão dos dados do portador de cartão em redes abertas e públicas
Criminosos cyber pode ser capaz de interceptar as transmissões de dados do portador do cartão em redes abertas e públicas, é importante de modo a evitar a sua capacidade para ver estes dados. A criptografia é uma tecnologia usada para processar os dados transmitidos ilegíveis por qualquer pessoa não autorizada.

Requisito 5: Use e atualize regularmente o software antivírus ou programas
Muitas das vulnerabilidades e vírus maliciosos entram na rede através dos funcionários de e-mail e outras atividades on-line. Anti-virus software deve ser utilizado em todos os sistemas afetados pelo malware para proteger os sistemas contra ameaças atuais e em evolução de software malicioso.

Requisito 6: Desenvolver e manter sistemas e aplicações seguras
Vulnerabilidades de segurança em sistemas e aplicativos podem permitir que os criminosos para acessar dados do portador de cartão PAN e outros. Muitas destas vulnerabilidades são eliminados através da instalação fornecido pelo fabricante patches de segurança, que realizam um trabalho de reparo rápido para uma parte específica do código de programação. Todos os sistemas críticos devem ter os patches de software mais recentemente liberados para impedir a exploração. Práticas seguras de codificação para o desenvolvimento de aplicações de pagamentos, procedimentos de controle de mudanças e outras práticas de desenvolvimento de software seguro deve sempre ser seguido.

Requisito 7: Restringir o acesso aos dados do portador de necessidade de saber negócio
Para garantir que os dados críticos só podem ser acessados ??por pessoal autorizado, sistemas e processos devem estar no local para limitar o acesso com base na necessidade de saber e de acordo com as responsabilidades do trabalho. Precisa de saber é quando os direitos de acesso são concedidos apenas a menor quantidade de dados e privilégios necessários para realizar um trabalho.

Requisito 8: Atribua um ID único para cada pessoa com acesso ao computador
Atribuir uma identificação (ID) único para cada pessoa com acesso assegura que as ações tomadas em dados e sistemas críticos são realizados por, e pode ser atribuída a, usuários conhecidos e autorizados.

Requisito 9: Restringir o acesso físico aos dados do portador de cartão
Qualquer acesso físico aos dados ou sistemas que os dados do portador do cartão proporciona a oportunidade para as pessoas a acessar e / ou remover dispositivos, dados, sistemas ou cópias, e deve ser devidamente restritos.

Requisito 10: Acompanhar e monitorar todos os acessos aos recursos da rede e dados do portador de cartão
Estabelecer um processo para vincular todo o acesso aos componentes do sistema para cada usuário individual - especialmente o acesso realizado com privilégios administrativos.

Requisito 11: Teste regularmente os sistemas e processos de segurança
As vulnerabilidades são continuamente descobertas por indivíduos mal-intencionados e pesquisadores, e sendo introduzidas por novos softwares. Componentes do sistema, processos e softwares customizados devem ser testados freqüentemente para garantir a segurança é mantida ao longo do tempo. Testes de controles de segurança é especialmente importante para as alterações ambientais, como a implantação de um novo software ou alterar as configurações do sistema.

Requisito 12: Manter uma Política de Segurança da Informação
Uma política de segurança forte dá o tom para a segurança afetando empresa inteira de uma organização, e informa aos funcionários de suas funções esperadas relacionadas à segurança. Todos os funcionários devem estar cientes da sensibilidade dos dados do portador de cartão e suas responsabilidades em protegê-la.


Como isso me afeta?
Se você estiver utilizando o processamento de cartão de crédito integrado no nosso sistema POS, oferecemos uma versão compatível com PCI. Fazer a transição para esta versão irá aliviar o risco de vulnerabilidades que ameaçam a segurança de dados de seu cartão de cliente de pagamento e também irá garantir que você perfeitamente receber os serviços de processamento de cartões de crédito a partir de seu provedor, que pode optar por interromper os serviços, se você não está em PCI Compliance. O prazo é em julho de 2010 para as empresas de processamento de cartões de crédito para exigir esses mandatos de todos os comerciantes que aceitam ou processar cartões de pagamento. Nós recomendamos fortemente que você proteger o seu sistema POS para minimizar o risco de mercador à base de vulnerabilidades.

Onde posso encontrar mais informações sobre este?
Para ler mais sobre PCI Compliance:

Arbelsoft PCI-DSS Guia de Implementação  

PCI Security Standards Council Web site
www.pcisecuritystandards.org

Perguntas mais frequentes (FaQ)
www.pcisecuritystandards.org/faq/

Informação sobre Associação
www.pcisecuritystandards.org/participation/join.shtml

Webinars
www.pcisecuritystandards.org/news_events/events.shtml

Formação (para avaliadores)
QSAs : www.pcisecuritystandards.org/education/qsa_training.shtml
PA-DSS : www.pcisecuritystandards.org/education/pa-dss_training.shtml

PTS dispositivos aprovados
Transação PIN de Segurança (PTS) Dispositivos: www.pcisecuritystandards.org/security_standards/ped/pedapprovallist.html
Aplicativos de pagamento: www.pcisecuritystandards.org/security_standards/pa_dss.shtml

Segurança de Dados PCI versão padrão 1.2 (PCI DSS)
O Padrão: www.pcisecuritystandards.org/tech/download_the_pci_dss.htm
Documentos de Apoio: www.pcisecuritystandards.org/security_standards/pci_dss_supporting_docs.shtml
Assessores aprovados e Fornecedores de Digitalização: www.pcisecuritystandards.org/about/resources.shtml


Navegando no padrão: www.pcisecuritystandards.org/security_standards/pci_dss_supporting_docs.shtml
Questionário de Auto-Avaliação: www.pcisecuritystandards.org/saq/index.shtml
Glossário: www.pcisecuritystandards.org/security_standards/pci_dss_supporting_docs.shtml
Aprovado QSAs: www.pcisecuritystandards.org/qsa_asv/find_one.shtml
Aprovado ASVs: www.pcisecuritystandards.org/qsa_asv/find_one.shtml