En 2004, le Payment Card Industry Security Standards Council a créé 6 objectifs de contrôle et 12 exigences spécifiques pour protéger les données des cartes de crédit. Collectivement, les objectifs de contrôle et les exigences spécifiques sont connus sous le nom de PCI DSS. Toutes les grandes sociétés de cartes de crédit ont exigé que les membres, les commerçants et les fournisseurs de services qui stockent, traitent ou transmettent les données des titulaires de cartes démontrent comment ils respectent les exigences. Tout manquement à cette obligation peut entraîner des amendes ou la résiliation des privilèges de traitement des cartes de crédit. Construire et gérer un réseau en toute sécurité Exigence 1 : installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de cartes Exigence 2 : ne pas utiliser les valeurs par défaut fournies par le fournisseur pour les mots de passe système et autres paramètres de sécurité Protéger les données des titulaires de cartes Exigence 3 : protéger les données stockées des titulaires de cartes Exigence 4 : chiffrer la transmission des données des titulaires de cartes sur les réseaux ouverts et publics Maintenir un programme de gestion des vulnérabilités Exigence 5. Utilisez régulièrement un logiciel anti-virus et tenez-le à jour Exigence 6 : Développez et maintenez des systèmes et des applications sécurisés Mettez en place des mesures de contrôle d'accès solides Exigence 7 : Limitez l'accès aux données des titulaires de cartes par besoin professionnel d'en connaître Exigence 8 : Attribuez un identifiant unique à chaque personne ayant accès à un ordinateur Exigence 9 : Limitez l'accès physique aux données des titulaires de cartes Surveillez et testez régulièrement vos réseaux Exigence numéro 10 : Surveillez et suivez tous les accès des titulaires de cartes aux ressources des réseaux. Exigence 11 : Testez régulièrement les systèmes et processus de sécurité Tenez à jour une politique de sécurité de l'information Exigence 12 : Maintenez une politique de sécurité de l'information