защиты данных клиентов можно использовать криптографию и протоколы безопасности, такие как SSL/TLS или IPSec.
* Защита сохраненных данных держателей карт.
Конфиденциальные данные на магнитном чипе карты не должны храниться. В случае, если PAN необходимо сохранить, он должен храниться в нечитаемом формате. Ограничьте продолжительность хранения данных о держателях карт.
3) Сопровождение программы управления уязвимостями, которая включает в себя:
* Использование и регулярное обновление антивирусных программ на всех системах.
Вредоносные вирусы могут проникать в сеть пользователя через электронную почту и другие онлайн-действия. Антивирусное программное обеспечение является эффективным инструментом для защиты компьютерных систем от внешних атак.
* Разработка и сопровождение защищенных систем и приложений.
Уязвимости безопасности в системе и приложениях могут позволить киберпреступникам получить доступ к PAN и другим защищенным данным. Убедитесь, что все системы и приложения обновлены последним патчем безопасности от поставщика.
4) Меры безопасного контроля доступа, которые включают в себя:
* Ограничение доступа бизнеса к информации о держателях карт.
Ограничьте доступ к конфиденциальным данным держателей карт только тем пользователям, работа которых требует этой информации. Кроме того, ограничьте доступ к наименьшему количеству данных, необходимых для бизнес – целей.
* Присвоение уникального идентификатора каждому человеку с доступом к компьютеру.
Это важно, чтобы иметь возможность отслеживать, был ли доступ к критическим данным выполнен только уполномоченными лицами.
5). Ограничение физического доступа к данным держателей карт.
Физический доступ к данным держателей карт должен быть ограничен всем персоналом, посетителями и всеми бумажными и электронными носителями.
6) Регулярный мониторинг и тестирование сетей, которое включает в себя:
* Отслеживание и мониторинг всех точек доступа к сетевым ресурсам и данным держателей карт.
Использование механизмов ведения журнала и отслеживания действий пользователя включены.
* Регулярное тестирование процедур и процессов безопасности.
Периодическое тестирование средств контроля безопасности важно наряду с внутренним и внешним сканированием сети.
7) Ведение политики информационной безопасности, которая включает:
* Поддержание политики компании, направленной на обеспечение информационной безопасности.
Это включает в себя создание политики безопасности, которая учитывает все требования PCI-DSS, а также ежегодный процесс обнаружения любой уязвимости.
Этот набор требований является обязательным для компаний, производящих
