Целите и изискванията, необходими за постигане на съответствие с PCI, включват следните категории, които ще обясним по-долу.
Изграждане и поддържане на защитена мрежа
Това до голяма степен е отговорност на доставчика на уеб хостинг услуги.
Цели за сигурност:
- Инсталиране и поддръжка на защитна стена за създаване на защитена частна мрежа
- Създаване, поддържане и актуализиране на системни пароли, които отговарят или надвишават индустриалните стандарти
Защита на данните на картодържателя
Това е споделена отговорност, въпреки че доставчикът на уеб хостинг трябва да бъде в челните редици на защитеното съхранение и предаване на всички чувствителни данни.
Цели за сигурност:
- Доставчиците на уеб хостинг трябва да използват сигурен модел за защита на данните, който съчетава множество слоеве от физически и виртуални защитни процедури. Те включват ограничаване на достъпа до сървъри и центрове за данни, както и принудително удостоверяване на пароли и протоколи за оторизация
- Данните на картодържателя, включително кодовете за валидиране и ПИН кодовете, трябва да бъдат криптирани, когато се предават през отворена или обществена мрежа
Поддържане на програма за управление на уязвимости
Отговорността се отнася предимно за доставчиците на уеб хостинг услуги. Въпреки това, вниманието към уязвимостите в сигурността също трябва да привлече вниманието на търговците и техния екип за уеб разработка.
Цели за сигурност:
- Антивирусният софтуер трябва да се актуализира редовно или от ИТ екипа на търговеца, ако неговите сървъри се управляват самостоятелно, или от хостинг доставчика, ако данните се съхраняват или обработват на външни или управлявани сървъри
- От доставчиците на уеб хостинг услуги се очаква рутинно да наблюдават и актуализират своите системи, за да се борят с новооткритите уязвимости в сигурността
Прилагане на строги мерки за контрол на достъпа
Отговорна страна:
Този един от аспектите на съответствието с PCI е до голяма степен отговорност на собственика на бизнеса и неговия екип за уеб разработка, тъй като се отнася до сигурността на данните на по-локализирано ниво.
Цели за сигурност:
- Ограничете достъпа до данните на картодържателя само до упълномощен персонал
- Задайте уникални идентификатори на членове на персонала с достъп до чувствителни данни, като използвате най-добрите практики за криптиране на пароли, удостоверяване и ограничения за влизане
- Ограничаване на физическия достъп до данните на картодържателите — това се отнася предимно за доставчиците на уеб хостинг, които трябва да ограничат достъпа на място до своите центрове за данни само до оторизиран персонал
Редовно наблюдавайте и тествайте мрежите
Това е споделена отговорност между доставчиците на уеб хостинг и екипа за уеб разработка на търговеца.
Цели за сигурност:
- Достъпът до мрежовите ресурси и данните на картодържателя трябва редовно да се следи за възможни пробиви или уязвимости в сигурността. Системите за регистриране трябва да проследяват активността на потребителите и достъпа до съхранените архиви
- Доставчиците на уеб хостинг услуги трябва редовно да тестват и наблюдават системите и процесите за сигурност, за да гарантират постоянната безопасност на чувствителните данни
Поддържане на политика за информационна сигурност
Както уеб хостинг услугите, така и уеб разработчиците се нуждаят от добре дефинирани политики за сигурност, които очертават:
- Оперативни процедури за сигурност
- Приемливо използване на технологията
- Основни административни задачи и предпазни мерки
- Подробни данни за анализ на риска