استاندارد PCI DSS (Payment Card Industry Data Security Standard) مجموعه‌ای از الزامات امنیتی جهت افزایش سطح امنیت اطلاعات در فرآیندها و تراکنش‌های مالی می‌باشد که توسط مؤسسه PCI Council امریکا انتشار یافته است. این استاندارد با هدف تأمین امنیت اطلاعات در مبادلات پولی و بانکی، این اطمینان را ایجاد می‌کند که از اطلاعات دارندگان کارت محافظت نماید و رعایت الزامات آن در کلیه شرکت‌ها و سازمان‌هایی که در پردازش، ذخیره‌سازی و انتقال داده‌های کارت‌های پرداخت فعالیت می‌نمایند، همچون بانک‌ها، مؤسسات مالی و اعتباری، شرکت‌های PSP و تجارت الکترونیک و سایر شرکت‌های فعال در حوزه پرداخت الکترونیک کاربرد دارد. الزامات امنیتی شرکت شاپرک نیز براساس الزامات استاندارد PCI DSS تدوین گردیده است.

این استاندارد همچنین با الزامات سایر استانداردهای بین‌المللی در حوزه امنیت اطلاعات همچون ISO 27001 انطباق دارد. لذا سازمان‌های فعال در حوزه کارت‌های پرداخت که سیستم مدیریت امنیت اطلاعات (ISMS) مبتنی بر استاندارد ISO 27001 را  پیاده‌سازی کرده اند، به راحتی و با انجام حداقل اقدامات اضافی می‌توانند استاندارد PCI DSS را نیز در سازمان خود، پیاده‌سازی نمایند.

شرکت امن پرداز با بهره‌گیری از کارشناسان متخصص و مجرب و تجربه چندین ساله فعالیت در حوزه امنیت اطلاعات، آماده ارائه خدمات مشاوره طراحی و استقرار استاندارد PCI DSS به شرکت‌های فعال در حوزه پرداخت الکترونیک می‌باشد.

اهداف و الزامات استاندارد PCI DSS:

اهداف الزامات
ایجاد و حفظ شبکه و سیستم امن
  1. ‫‏‫نصب و پیکربندی فایروال جهت حفاظت ازا طلاعات مربوط به دارندگان کارت پرداخت الکترونیک
  2. عدم استفاده از تنظیمات پیش فرض انجام شده توسط فروشندگان و سازندگان تجهیزات مانند کلمه عبور و دیگر پارامترهای امنیت
حفاظت از اطلاعات دارنده کارت
  1. ‫‏‫محافظت از داده‌های ذخیره شده مربوط به دارندگان کارت
  2. رمزنگاری اطلاعات دارندگان کارت در هنگام انتقال در شبکه های عمومی
استفاده از برنامه‌های مدیریت آسیب پذیری
  1. ‫‏‫حفاظت از کل سیستم در برابر بدافزارها و نصب نرم افزار آنتی‌ویروس و به‌روزرسانی مداوم آن
  2. توسعه و نگهداری سیستم‌های ایمن و برنامه‌های کاربردی امن
اعمال تمهیدات قوی در کنترل دسترسی‌ها
  1. ‫‏‫محدود کردن دسترسی به اطلاعات دارندگان کارت براساس حد نیاز
  2. شناسایی و احراز هویت دسترسی به اجزای سیستم
  3. محدود کردن دسترسی فیزیکی به اطلاعات دارندگان کارت
پایش و ارزیابی مداوم شبکه
  1. ‫‏‫پایش و ردیابی مداوم هر گونه دسترسی به منابع اطلاعاتی، تجهیزات شبکه و همچنین اطلاعات مربوط به دارندگان کارت
  2. ارزیابی و بازدید دوره‌ای و منظم امنیت سیستم‌ها و فرآیندهای امنیتی لحاظ شده
اتخاذ یک سیاست امنیت اطلاعات
  1. ‫‏‫اتخاذ سیاست‌ها و خط مشی‌های امنیت اطلاعات برای هدایت تمام پرسنل