Standard bezpieczeństwa kart płatniczych poddany ocenie użytkowników

PCI Security Standard Council, grupa administrująca Payment Card Industry Security Standard (PCI DSS), chce uzyskać od użytkowników ocenę, jak sprawdza się w praktyce bieżąca wersja standardu, udostępniona w październiku 2008 r.

Sprzedawcy, instytucje finansowe i inne organizacje obsługujące karty płatnicze będą miały możliwość dostarczenia online, w okresie od 1 lipca do 1 grudnia br., swojej opinii dotyczącej zmian wprowadzanych w wersji 1.2 standardu PCI DSS.

Uwagi te zostaną szczegółowo rozpatrzone w celu określenia, jakie nowe zmiany konieczne są do wprowadzenia w kolejnej wersji standardu, która ma pojawić się w roku przyszłym. Ponadto PCI Security Standars Council (PCI SSC) zleciła firmie konsultingowej PricewatehouseCooper opracowanie raportu na temat wpływu różnych technologii, takich jak szyfrowanie end-to-end czy "tokenizacja" (tworzenie substytutu rzeczywistych danych płatniczych), na istniejące standardy PCI i konieczności włączenia ich jako elementu wymagań PCI w przyszłości.

Standardy PCI opracowane przez Visa, MasterCard i innych czołowych wydawców kart płatniczych, są administrowane przez PCI SSC. Wszystkie organizacje akceptujące karty płatnicze muszą spełniać wymogi bezpieczeństwa określone w tych standardach, przy czym duże firmy podlegają znacznie ściślejszej kontroli spełniania wymogów bezpieczeństwa niż mniejsze.

Zwrócenie się o opinie i powierzenie PricewatehouseCooper zadania przeglądu technologii pojawia się w momencie nasilającej się krytyki pod adresem PCI SSC. Są to przede wszystkim głosy dużych sprzedawców nawołujące do zaprojektowania bardziej otwartego standardu, sugerujące, aby PCI SSC przyjęła proces tworzenia standardów stosowany przez otwarte ciała standaryzacyjne, takie jak ANSI. Sugerowano także, aby dawać sprzedawcom więcej czasu na zaimplementowanie zmian. Postulowano również zmniejszenie liczby wymagań stawianych przez PCI.

Najnowsza inicjatywa PCI SSC ma być jednym z etapów usprawnienia procesu standaryzacji i sprzężenia zwrotnego z organizacjami zobowiązanymi do stosowania wymagań wynikających z tych standardów.