Video: Ambassadors, Attorneys, Accountants, Democratic and Republican Party Officials (1950s Interviews) 2024
Walaupun belum (mandat undang-undang) Standard Keselamatan Data Industri Kad Pembayaran (PCI DSS) adalah salah satu contoh inisiatif industri untuk memberi mandat dan menegakkan standard keselamatan. PCI DSS terpakai bagi mana-mana perniagaan di seluruh dunia yang menghantar, memproses, atau menyimpan transaksi kad kredit (bermaksud kad kredit) untuk menjalankan perniagaan dengan pelanggan - sama ada perniagaan itu mengendalikan beribu-ribu urus niaga kad kredit sehari atau satu transaksi setahun.
Pematuhan adalah mandat dan dikuatkuasakan oleh jenama kad pembayaran (American Express, MasterCard, Visa dan sebagainya) dan setiap jenama kad pembayaran menguruskan program pematuhan sendiri.
Walaupun PCI DSS adalah piawai industri dan bukannya mandat undang-undang, banyak negeri mula memperkenalkan undang-undang yang akan membuat pematuhan PCI (atau sekurang-kurangnya mematuhi peruntukan tertentu) wajib bagi organisasi yang menjalankan perniagaan di negara tersebut.
PCI DSS menghendaki organisasi menyerahkan taksiran sendiri dan imbasan rangkaian tahunan, atau untuk menyelesaikan penilaian keselamatan data PCI di tapak dan imbasan rangkaian suku tahun. Keperluan sebenar bergantung kepada jumlah urus niaga kad pembayaran yang dikendalikan oleh organisasi dan faktor lain, seperti kejadian kehilangan data sebelum ini.
PCI DSS versi 3. 0 mengandungi enam prinsip teras, disokong oleh 12 keperluan yang disertakan, dan lebih daripada 200 prosedur khusus untuk pematuhan. Ini termasuk
- Prinsip 1: Membina dan mengekalkan rangkaian selamat:
- Keperluan 1: Pasang dan sediakan konfigurasi firewall untuk melindungi data pemegang kad.
- Keperluan 2: Jangan gunakan lalai yang disediakan oleh vendor untuk kata laluan sistem dan parameter keselamatan yang lain.
- Prinsip 2: Lindungi data pemegang kad:
- Keperluan 3: Lindungi data pemegang kad yang disimpan.
- Keperluan 4: Menyulitkan penghantaran data pemegang kad di seluruh rangkaian awam terbuka.
- Prinsip 3: Mengekalkan program pengurusan kelemahan:
- Keperluan 5: Gunakan dan kerap mengemas kini perisian antivirus.
- Keperluan 6: Membangun dan menyelenggara sistem dan aplikasi yang selamat.
- Prinsip 4: Menerapkan langkah kawalan akses yang kuat:
- Keperluan 7: Batasi akses kepada data pemegang kad oleh perniagaan yang perlu diketahui.
- Keperluan 8: Berikan ID unik kepada setiap orang yang mempunyai akses komputer.
- Keperluan 9: Hadkan akses fizikal kepada data pemegang kad.
- Prinsip 5: Memantau dan menguji rangkaian secara rutin:
- Keperluan 10: Mengesan dan memantau semua akses kepada sumber rangkaian dan data pemegang kad.
- Keperluan 11: Menguji sistem dan proses keselamatan secara teratur.
- Prinsip 6: Mengekalkan dasar keselamatan maklumat:
- Keperluan 12: Mengekalkan dasar yang menangani keselamatan maklumat.
Penalti bagi ketidakpatuhan dikenakan oleh jenama kad pembayaran dan termasuk tidak dibenarkan memproses transaksi kad kredit, denda sehingga $ 25,000 per bulan untuk pelanggaran kecil, dan denda sehingga $ 500, 000 untuk pelanggaran yang mengakibatkan data kewangan sebenar yang hilang atau dicuri.