PCI DSS(Payment Card Industry Data Security Standard) é uma norma de segurança de dados de cartões de pagamento criada pelo Payment Card Industry Security Standards Council (PCI SSC). Esta norma foi criada para proteger os dados do titular do cartão de pagamento e garantir a segurança das transações com cartão.
Todas as empresas que armazenam, processam ou transmitem dados de cartões de pagamento Visa, MasterCard, American Express, Discover ou JCB devem aderir a esta norma para proteger os dados do cartão contra fraudes, acesso não autorizado e roubo.
Os principais requisitos que a norma inclui:
- instalar e manter uma configuração de firewall para proteger os dados do titular do cartão;
- proteger os dados armazenados do titular do cartão através da encriptação, cumprir as políticas de armazenamento de dados;
- encriptar a transmissão de dados do titular do cartão em redes públicas abertas;
- proteger todos os sistemas contra malware e atualizar regularmente o software antivírus;
- identificar e autenticar o acesso aos componentes do sistema. Inclui um requisito para autenticação multifator (2FA);
- monitorizar e registar todo o acesso aos recursos de rede e dados do titular do cartão (registos de acesso, sistemas SIEM, armazenamento de registos).