PCI -DSS se divide en 12 requisitos que rigen todo, desde la configuración de red y las políticas , encriptación y del ciclo de vida de desarrollo de software de la compañía de la segregación , contraseña y anti -virus, si son desarrollo de aplicaciones en la casa .
construir y mantener una red segura
los dos primeros requisitos de acuerdo con la configuración del firewall de la empresa y el cambio de valores por defecto de los proveedores, tales como las contraseñas predeterminadas , el software utiliza la empresa.
Proteja los datos del titular
Requisitos tres y cuatro se ocupan de la encriptación de datos donde se almacena y el cifrado de datos mientras se está transmitida . Estos son los requisitos esenciales y por lo general son examinadas por los auditores de PCI. Usted necesita asegurarse de que tiene una buena política de cifrado para cubrir estos dos requisitos .
Mantener una vulnerabilidad de Gestión Programa
Requisitos cinco y seis se refieren al sustento de antivirus y desarrollo de software . En el primer caso , se necesita de una política anti -virus , que no suele ser largo y se puede rodar en la política de seguridad en el requisito 12 . Requisito seis es uno de los mayores sectores de la auditoría de PCI -DSS y debe tener un ciclo de vida de desarrollo de software documentado . Requisito 6.6 también se refiere a las pruebas de penetración de aplicaciones web , que necesitará el auditor PCI que hacer antes de la emisión de un certificado de cumplimiento. Existen herramientas , como tormenta de granizo o AppScan , que debe satisfacer este requisito.
Implementar fuerte control de acceso Mide
Requisitos siete al nueve tratan de limitar el acceso a los datos de titulares de tarjetas sólo a los que tienen necesidad-de - saber responsabilidades , asignar una identificación única a cada persona que tenga acceso a los datos de titulares de tarjetas y restringir el acceso físico a los centros de datos donde se almacena la información de los tarjetahabientes . Hay empresas que son capaces de moverse por requerimiento nueve por tener un proveedor de alojamiento administrado tienda PCI compatible con los datos de ellos.
Supervise y pruebe las redes
Requisitos 10 y 11 de acuerdo con el registro de acceso de red en el entorno de datos del titular de la tarjeta y un horario de las inspecciones periódicas de todos los sistemas y procesos.
Mantener una Política de Seguridad de la Información
Requisito 12 se refiere a las la política de seguridad , que puede y debe abarcar a todos los otros 11 requerimientos de PCI -DSS . Esta es la mayor parte de la documentación que debe ser producido y es útil para contratar a un escritor técnico profesional para hacer esto .