Mokėjimo kortelių pramonės duomenų saugos standartas (PCI DSS) yra gairių ir geriausios praktikos pavyzdžiai, pateikiami visoms įmonėms ir kitiems subjektams, kurie apdoroja, perduoda arba saugo kredito kortelių duomenis. Šias gaires parengė PCI saugumo standartų taryba (PCI SSC) ir jos skirtos užkirsti kelią duomenų nutekėjimui ir tapatybės vagystei bei sukčiavimui kredito kortelėmis. Vykdomi trys PCI DSS laikymosi etapai: verslo procesų įvertinimas ir galimos rizikos nustatymas, šios rizikos pašalinimas ir ataskaitų apie atitikties pastangas atitinkamiems bankams ir kitiems kredito kortelių išdavėjams teikimas.
Svarbiausia mokėjimo kortelių pramonėje Duomenų saugumo standartų laikymasis yra saugaus kompiuterių tinklo sukūrimas ir priežiūra. Tarp kortelės turėtojo duomenų ir išorinės prieigos prie tinklo turi būti sukurta tvirta ugniasienė. Sistemos slaptažodžiai turėtų būti įdiegti kartu su kitomis saugos priemonėmis kiekviename potencialiame tinklo pažeidžiamumo taške. Visi kortelės turėtojo duomenys turi būti saugiai saugomi, o perduodami viešaisiais tinklais turi būti užšifruoti. Vykdomos priemonės apima antivirusinės programinės įrangos naudojimą ir apribotą personalo fizinę ar kompiuterinę prieigą prie duomenų, kai tai turi žinoti.
Yra daug įrankių ir paslaugų, padedančių organizacijoms susidoroti su PCI DSS. Nors PCI SSC nustato PCI atitikties standartus, visi pagrindiniai kredito kortelių prekės ženklai sukūrė savo standartus dėl šių standartų vykdymo ir atitikties, taip pat kredito kortelių patvirtinimo procedūrų. Kiekviena iš šių įmonių siūlo internetines ir kitas rekomendacijas organizacijoms, kurios priima jų korteles. PCI SSC taip pat vykdo programą, kuri patvirtina kvalifikuotus saugos vertintojus, kurie patvirtina atitiktį Mokėjimo kortelių pramonės duomenų saugos standartui. Organizacijoms, kurios pačios vertina savo atitiktį, PCI SSC teikia kelių formų patvirtinimo įrankius, vadinamus savęs vertinimo klausimynais, kurių kiekviena yra pritaikyta konkrečiai verslo aplinkai.
Pagrindinė prielaida, kad būtų laikomasi Mokėjimo kortelių pramonės duomenų saugos standarto, yra saugoti tik tuos kredito kortelių duomenis, kurie yra būtini organizacijos poreikiams. Saugomiems duomenims turėtų būti taikomi laiko apribojimai, o operacijų autentifikavimo duomenys niekada neturėtų būti saugomi. Visi viešaisiais tinklais perduodami sąskaitų numeriai ir kiti jautrūs duomenys turi būti iš dalies užmaskuoti.
Kitos vykdomos PCI DSS priemonės apima pažeidžiamumo valdymo programos, kuri kuria saugias programas ir programas, sukūrimą ir priežiūrą. Taip pat reikalingas įprastas stebėjimas ir tinklo testavimas, siekiant nustatyti trūkumus. Kiekviena organizacija taip pat turi išlaikyti ir platinti rašytinę saugos politiką visam personalui.