Video: Step 4 Getting Your First Bitcoin 2024
Hoewel dit (nog) geen wettelijk mandaat is, de Payment Card Industry Data Security Standard (PCI DSS) is een voorbeeld van een industrie-initiatief voor het verplicht stellen en handhaven van beveiligingsstandaarden. PCI DSS is van toepassing op elk bedrijf over de hele wereld dat betaalkaart (dit wil zeggen creditcard) transacties verzendt, verwerkt of opslaat om zaken met klanten te doen - ongeacht of dat bedrijf duizenden creditcardtransacties per dag of één transactie per jaar verwerkt.
Compliantie is opgelegd en gehandhaafd door de merken van betaalkaarten (American Express, MasterCard, Visa, enzovoort) en elk betaalkaartmerk beheert zijn eigen nalevingsprogramma.
Hoewel PCI DSS een industriestandaard is in plaats van een wettelijk mandaat, beginnen veel staten wetgeving in te voeren die naleving van de PCI (of op zijn minst naleving van bepaalde bepalingen) verplicht zou maken voor organisaties die zaken doen in die staat.
PCI DSS vereist dat organisaties jaarlijks een zelfevaluatie en netwerkscan indienen of onsite PCI-gegevensbeveiligingsbeoordelingen en driemaandelijkse netwerkscans invullen. De werkelijke vereisten zijn afhankelijk van het aantal transacties met betaalkaarten dat door een organisatie wordt verwerkt en andere factoren, zoals eerdere incidenten met gegevensverlies.
PCI DSS-versie 3. 0 bestaat uit zes kernprincipes, ondersteund door 12 begeleidende vereisten en meer dan 200 specifieke procedures voor naleving. Deze omvatten
- Principe 1: Bouw en onderhoud een beveiligd netwerk:
- Vereiste 1: Installeer en onderhoud een firewallconfiguratie om gegevens van kaarthouders te beschermen.
- Vereiste 2: Gebruik geen door de leverancier geleverde standaardwaarden voor systeemwachtwoorden en andere beveiligingsparameters.
- Principe 2: Gegevens van kaarthouders beschermen:
- Vereiste 3: Gegevens van opgeslagen kaarthouders beschermen.
- Vereiste 4: Codeer de overdracht van kaarthoudergegevens via open, openbare netwerken.
- Principe 3: Een kwetsbaarheidsbeheersysteem onderhouden:
- Eis 5: Gebruik en update regelmatig antivirussoftware.
- Eis 6: Veilige systemen en toepassingen ontwikkelen en onderhouden.
- Beginsel 4: Voer krachtige toegangscontrolemaatregelen uit:
- Voorwaarde 7: Beperk de toegang tot gegevens van kaarthouders door zakelijke need-to-know.
- Voorwaarde 8: Wijs een uniek ID toe aan elke persoon die toegang tot de computer heeft.
- Eis 9: Beperk fysieke toegang tot kaarthoudergegevens.
- Principe 5: Regelmatig netwerken monitoren en testen:
- Vereiste 10: Alle toegang tot netwerkbronnen en kaarthoudergegevens volgen en bewaken.
- Eis 11: Test beveiligingssystemen en -processen regelmatig.
- Principe 6: Handhaven van een informatiebeveiligingsbeleid:
- Eis 12: Een beleid handhaven dat betrekking heeft op informatiebeveiliging.
Sancties voor niet-naleving worden opgelegd door de merken van de betaalkaart en omvatten het niet mogen verwerken van creditcardtransacties, boetes tot $ 25.000 per maand voor kleine schendingen en boetes tot $ 500.000 voor overtredingen die resulteren in daadwerkelijk verloren of gestolen financiële gegevens.