Czym jest PCI DSS? Jaki jest zakres moich obowiązków jako sprzedawcy akceptującego karty płatnicze?

Payment Card Industry Data Security Standard (PCI DSS) jest zestawem wymogów technicznych i operacyjnych opracowanych przez główne instytucje sektora płatniczego w celu ochrony danych posiadaczy kart płatniczych. PCI DSS ma zastosowanie do wszystkich podmiotów, które przechowują, przetwarzają lub przekazują dane posiadacza karty. Akceptanci muszą spełniać następujące wymogi, które stanowią domyślną kontrolę bezpieczeństwa ich działalności:

Zbudowanie i utrzymanie bezpiecznej sieci i systemów	zainstalowanie i utrzymanie konfiguracji zapory sieciowej w celu ochrony danych posiadacza karty nieużywanie domyślnych haseł systemowych i innych parametrów bezpieczeństwa dostarczanych przez dostawców
Ochrona danych posiadacza karty	zabezpieczenie przechowywanych danych posiadacza karty szyfrowanie transmisji danych posiadaczy kart w otwartych, publicznych sieciach
Utrzymanie programu zarządzania podatnością na zagrożenia	korzystanie i regularna aktualizacja oprogramowania antywirusowego rozwój i utrzymanie bezpiecznych systemów oraz aplikacji
Wdrożenie surowych środków kontroli dostępu	ograniczenie dostępu do danych posiadaczy kart według zasady ograniczonego dostępu ze względu na konieczność ich weryfikacji przez przedsiębiorstwa identyfikacja i uwierzytelnienie dostępu do komponentów systemu ograniczenie fizycznego dostępu do danych posiadacza karty
Regularne monitorowanie i testowanie sieci	śledzenie i monitorowanie całego dostępu do zasobów sieciowych i danych posiadaczy kart płatniczych oraz dostępu do nich systematyczne testowanie systemów i procesów bezpieczeństwa
Utrzymanie polityki bezpieczeństwa informacji	utrzymywanie polityki dotyczącej bezpieczeństwa informacji dla całego personelu