Payment Card Industry Data Security Standard, PCI DSS

支付卡行業資料安全標準（Payment Card Industry Data Security Standard, PCI DSS） 適用對象包括發卡銀行、接受信用卡付款的商店。尤其每年的刷卡交易達6百萬筆以上者，還須接受經由認可的第三方單位稽核與安全檢測。 在總計12條的安全標準當中，有些是一般性準則，例如安裝防火牆、安全設備避免使用出廠時的預設值等，但另外也有一些具體的規範，例如針對在開放公共網路上傳輸持卡人資料需使用加密設備；第6.6項條文更指出，為確保網頁應用程式能抵禦攻擊，需採用程式碼檢測（Code Review）或在網頁系統前端部署應用層防火牆。此項要求目前僅視為最佳實踐，但在2008年6月底之後將成為正式標準。 PCI DSS的12項要求標準可分為以下6核心領域： （一） 建立並維護安全的網路 要求1：安裝並維護防火牆，以保護持卡人資料。 要求2：不要使用供應商預設的系統密碼以及其他安全參數。 （二） 保護持卡人資料 要求3：保護儲存下來的持卡人資料。 要求4：持卡人資料在開放、公開的網路中傳輸時必須加密。 （三） 維護漏洞管理的計畫 要求5：使用定期更新的防毒軟體。 要求6：開發並維護安全的系統與應用程式。 （四） 實施強有力的安全存取控制措施 要求7：根據業務需要限制對持卡人資料的存取。 要求8：為每一個存取電腦的使用者分配唯一的ID。 要求9：限制持卡人資料的實體存取保護。 （五） 定期監視並測試網路 要求10：追蹤並監控網路資源與持卡人資料的所有存取。 要求11：定期測試安全系統與程序。 （六） 維護資訊安全政策 要求12：維護一個資訊安全政策。