דרישות תקן PCI-DSS מדרג כל חברה הסולקת כרטיסי אשראי, בארבע רמות הנקבעות על ידי מספר הטרנזקציות השנתיות המתבצעות בה וכן על-פי רמת החשיפה של החברה. התקן מחולק ל-12 דרישות האבטחה ומחייב חברות הסולקות כרטיסי אשראי לנקוט פעולות אבטחת מידע בטיפול השוטף במספרי כרטיסי האשראי הן בזמן ביצוע הפעולות והן בשמירת הנתונים.
הקמה ותחזוקה של רשתות מאובטחות
דרישה 1 - יש להתקין ולתחזק באופן שוטף חומת-אש (Firewall)להגנה על נתוני כרטיסי האשראי
דרישה 2 - אין להשתמש בהגדרות ברירת המחדל (defaults) של כל ההתקנים והטכנולוגיות שסופקו ע"י ספקים חיצוני
שמירה על נתוני כרטיסי האשראי
דרישה 3 - יש לשמור ולהגן על נתוני כרטיסי האשראי
דרישה 4 - יש לוודא הצפנה של כל נתוני כרטיסי האשראי הנמצאים ב"תנועה" ברשתות פתוחות וציבוריות
תחזוקה של תוכנית לניהול פגיעויות/חשיפות (Vulnerabilities)
דרישה 5 - יש להשתמש ולעדכן באופן שוטף תוכנת אנטי וירוס
דרישה 6 - נדרש לפתח ולתחזק מערכות ואפליקציות באופן מאובטח
יישום ובקרות של מנגנוני גישה חזקים
דרישה 7 - יש להגביל גישה לנתוני כרטיסי אשראי רק לאותם אנשים אשר נדרשים לכך מתוקף תפקידם
דרישה 8 - כל עובד הנדרש לגישה לנתוני כרטיסי אשראי נדרש לזיהוי ייחודי חד-ערכי בכניסה לכל המערכות והאפליקציות המטפלות בכרטיסי האשראי
דרישה 9 - יש להגביל את הגישה הפיזית לנתוני כרטיסי האשראי
ניטור שוטף ובחינה של רשתות המיחשוב
דרישה 10 - נדרש לבצע מעקב וניטור שוטף לכל הגישות למשאבי רשתות המיחשוב ולנתוני כרטיסי אשראי
דרישה 11 - באופן שוטף נדרש לבדוק את מערכות ומנגנוני אבטחת המידע והתהליכים הנלווים
מדיניות אבטחת מידע
דרישה 12 - יש ליישם בארגון מדיניות אבטחת מידע לכל העובדים וקבלני המשנה של הארגון
