PCI DSS
Any organization that plays a role in processing credit and debit card payments must comply with the strict PCI DSS compliance requirements for the processing, storage and transmission of account data. And, while PCI DSS requirements aren’t new, organizations’ technological environments and the threats that have to be combatted continue to evolve as do PCI DSS guidelines.
Dymar solutions can help organizations working with cardholder data achieve compliance with several PCI DSS 3.2.1 requirements, including:
- Protect cardholder data at rest
- Encrypt cardholder data in motion
- Restrict access to cardholder data
- Identify and authenticate access to systems storing cardholder data
- Track and monitor all access to cardholder data
Setiap organisasi yang berperan dalam memproses pembayaran kartu kredit dan debit harus mematuhi persyaratan kepatuhan PCI DSS yang ketat untuk pemrosesan, penyimpanan, dan transmisi data akun. Dan, meskipun persyaratan PCI DSS bukanlah hal baru, lingkungan teknologi organisasi dan ancaman yang harus dilawan terus berkembang seperti halnya pedoman PCI DSS. Solusi Dymar dapat membantu organisasi yang bekerja dengan data pemegang kartu memenuhi beberapa persyaratan PCI DSS 3.2.1, termasuk: Lindungi data pemegang kartu saat istirahat Enkripsi data pemegang kartu bergerak Batasi akses ke data pemegang kartu Identifikasi dan autentikasi akses ke sistem yang menyimpan data pemegang kartu Lacak dan pantau semua akses ke data pemegang kartu
- Failure to comply with PCI DSS compliance requirements can result in fines, increased fees, or even the termination of your ability to process payment card transactions.
- Complying with the PCI DSS cannot be considered in isolation; organizations are subject to multiple security mandates and data breach disclosure laws or regulations. On the other hand, PCI compliance projects can easily be side-tracked by broader enterprise security initiatives.
- Guidance and recommendations linked to PCI DSS requirements include common practices that are likely to be already in place. However some aspects, specifically those associated with encryption, might be new to the organization and implementations can be disruptive, negatively impacting operational efficiency if not designed correctly.
- It is all too easy to end up with a fragmented approach to security based on multiple proprietary vendor solutions and inadequate technologies that are expensive and complex to operate.
- Opportunities exist to reduce the scope of PCI DSS compliance obligations and therefore reduce cost and impact; however, organizations can waste time and money if they do not exercise care to ensure that new systems and processes will in fact be accepted as PCI DSS compliant.
Kegagalan untuk mematuhi persyaratan kepatuhan PCI DSS dapat mengakibatkan denda, peningkatan biaya, atau bahkan penghentian kemampuan Anda untuk memproses transaksi kartu pembayaran. Mematuhi PCI DSS tidak dapat dianggap terpisah; organisasi tunduk pada berbagai mandat keamanan dan undang-undang atau peraturan pengungkapan pelanggaran data. Di sisi lain, proyek kepatuhan PCI dapat dengan mudah diabaikan oleh inisiatif keamanan perusahaan yang lebih luas. Panduan dan rekomendasi yang terkait dengan persyaratan PCI DSS mencakup praktik umum yang mungkin sudah ada. Namun beberapa aspek, khususnya yang terkait dengan enkripsi, mungkin baru bagi organisasi dan implementasinya dapat mengganggu, berdampak negatif pada efisiensi operasional jika tidak dirancang dengan benar. Terlalu mudah untuk berakhir dengan pendekatan keamanan yang terfragmentasi berdasarkan beberapa solusi vendor berpemilik dan teknologi yang tidak memadai yang mahal dan rumit untuk dioperasikan. Ada peluang untuk mengurangi cakupan kewajiban kepatuhan PCI DSS dan oleh karena itu mengurangi biaya dan dampak; namun, organisasi dapat membuang waktu dan uang jika mereka tidak berhati-hati untuk memastikan bahwa sistem dan proses baru akan diterima sebagai sesuai dengan PCI DSS.
Protect cardholder data at rest
Enable organizations to centrally manage encryption keys and deliver a variety of encryption, tokenization and data masking solutions to protect cardholder data in files, folders, applications and databases in both traditional and cloud or virtualized environments.
Encrypt cardholder data in motion
Encrypt all data that traverses open networks between point-of-sale devices and systems that process cardholder data.
Develop and maintain secure system and applications
Enable organizations to securely store signing material in a trusted hardware device, thus ensuring the authenticity and integrity of any application code files.
Implement strong access control measures
Can be setup for unique, multifactor administrative access to systems that store cardholder data.
Enables you to centrally manage unique user identities, risk-based authentication policies, and add/revoke access to systems in your Cardholder Data Environment (CDE).
Track and monitor all access to cardholder data
Produce audit records that log any encryption key lifecycle operations (creation/deletion/rotation/revocation) and other administrative functions that can be used to reconstruct events.
Lindungi data pemegang kartu saat istirahat Memungkinkan organisasi untuk mengelola kunci enkripsi secara terpusat dan memberikan berbagai solusi enkripsi, tokenisasi, dan penyamaran data untuk melindungi data pemegang kartu dalam file, folder, aplikasi, dan database di lingkungan tradisional dan cloud atau virtual. Manajer Kepercayaan Thales Cipher Modul Keamanan Perangkat Keras (HSM) Thales Luna Enkripsi data pemegang kartu bergerak Enkripsi semua data yang melintasi jaringan terbuka antara perangkat tempat penjualan dan sistem yang memproses data pemegang kartu. Thales Encryptors Berkecepatan Tinggi (HSE) Mengembangkan dan memelihara sistem dan aplikasi yang aman Memungkinkan organisasi untuk menyimpan materi penandatanganan dengan aman di perangkat keras tepercaya, sehingga memastikan keaslian dan integritas file kode aplikasi apa pun. Thales Luna HSMs Terapkan langkah-langkah kontrol akses yang kuat Dapat diatur untuk akses administratif multifaktor yang unik ke sistem yang menyimpan data pemegang kartu. Platform Keamanan Data Thales CipherTrust Memungkinkan Anda untuk mengelola identitas pengguna yang unik secara terpusat, kebijakan otentikasi berbasis risiko, dan menambah/mencabut akses ke sistem di Lingkungan Data Pemegang Kartu (CDE). Konfirmasi Pembayaran Airome Lacak dan pantau semua akses ke data pemegang kartu Menghasilkan catatan audit yang mencatat operasi siklus hidup kunci enkripsi (pembuatan/penghapusan/rotasi/pencabutan) dan fungsi administratif lainnya yang dapat digunakan untuk merekonstruksi peristiwa. Platform Keamanan Data Thales CipherTrust
Integrated products and services that enable your organization to protect:
- Stored cardholder data
- Encrypt it for transfer
- Restrict access on a need-to-know basis
Produk dan layanan terintegrasi yang memungkinkan organisasi Anda melindungi: Data pemegang kartu yang tersimpan Enkripsi untuk transfer Batasi akses berdasarkan kebutuhan
Achieving PCI DSS Compliance with Thales Data Protection
Consumers’ payment data continues to be a compelling target for criminals, and IT security defenses enacted to guard these assets continue to be circumvented. Virtually every major financial institution, retailer, and scores of payment processors have been the victims of devastating data breaches.
Compliance with the Payment Card Industry Data Security Standard (PCI DSS) is critical for any business that stores, processes and transmits payment card information and the service providers that enable their businesses. This paper looks in detail at many of the vital PCI DSS 3.2.1 requirements2 set out for securing sensitive cardholder data, and reveals how the encryption, key management, and access control products from the Thales Data Protection portfolio address them to streamline your compliance needs.
Data pembayaran konsumen terus menjadi target yang menarik bagi para penjahat, dan pertahanan keamanan TI yang diberlakukan untuk menjaga aset-aset ini terus dielakkan. Hampir setiap lembaga keuangan besar, pengecer, dan sejumlah pemroses pembayaran telah menjadi korban pelanggaran data yang menghancurkan. Kepatuhan terhadap Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) sangat penting untuk bisnis apa pun yang menyimpan, memproses, dan mengirimkan informasi kartu pembayaran dan penyedia layanan yang memungkinkan bisnis mereka. Makalah ini membahas secara rinci banyak persyaratan penting PCI DSS 3.2.12 yang ditetapkan untuk mengamankan data pemegang kartu yang sensitif, dan mengungkapkan bagaimana produk enkripsi, manajemen kunci, dan kontrol akses dari portofolio Thales Data Protection mengatasinya untuk merampingkan kebutuhan kepatuhan Anda .