Payment Card Industry Data Security Standard

Międzynarodowy standard bezpieczeństwa teleinformatycznego, stworzony przez największe organizacje płatnicze (m.in. Visa, Mastercard, American Express), którego celem jest zapewnienie wysokiego poziomu ochrony danych posiadaczy kart płatniczych. Norma ta definiuje zbiór rygorystycznych procedur i wymagań technicznych, które muszą spełniać wszystkie podmioty procesujące, przechowujące lub przesyłające dane kartowe – od wielkich banków po małe sklepy internetowe.

Standard składa się z 12 głównych wymagań zgrupowanych w 6 celów kontrolnych, obejmujących takie aspekty jak budowa bezpiecznej sieci (np. instalacja firewalli), szyfrowanie transmitowanych danych, regularne aktualizowanie oprogramowania antywirusowego oraz fizyczne ograniczenie dostępu do danych wrażliwych. W zależności od rocznej liczby transakcji, firmy przypisywane są do jednego z czterech poziomów (Level 1–4), co determinuje sposób weryfikacji ich zgodności ze standardem – od prostych samoocen po pełne audyty przeprowadzane przez zewnętrznych audytorów (QSA).

Brak zgodności z PCI DSS wiąże się z poważnym ryzykiem. W przypadku wycieku danych firma nieposiadająca certyfikatu może zostać obciążona dotkliwymi karami finansowymi, kosztami odszkodowań, a w skrajnych przypadkach – całkowitym odebraniem możliwości przyjmowania płatności kartą, co dla wielu biznesów oznacza koniec działalności.