PCI DSS, inglise keeles Payment Card Industry Data Security Standard, on rahvusvaheline infoturbestandard pangakaartide ja kaardimaksete andmete kaitsmiseks. See kehtestab ühtsed turvanõuded kõikidele pangakaartide andmeid hoidvatele, neid töötlevatele või kaardimakseid kasutavatele ettevõtetele.
PCI standardi lõid 2006. aastal viis suuremat kaardimaksete taristu ettevõtet (VISA, Mastecard jt). Standardit ning sellega seotud eeskirju ja dokumente haldab keskne organisatsioon Payment Card Industry Security Standards Council. PCI nõuete alla kuuluvad kaarte väljastavad ja kaardimakseid vahendavad pangad, kaardimakseid kasutavad poed ja teenusepakkujad, mobiili- ja veebirakenduste arendajad, maksete vahendajad ja muud pangakaartidega seotud teenused.[1]
PCI on eeskätt tehniline standard, mille põhiline eesmärk on tagada kaardiandmeid hoidvate või töötlevate süsteemide reaalne turvalisus. PCI kõige olulisemad nõuded puudutavad piiranguid maksekaardi täieliku numbri (PAN) ja turvakoodide (PIN, CVV) salvestamisel, kasutamisel ja töötlemisel. Standardi kuus põhilist osa on järgmised:[2]
Eestikeelne kokkuvõte PCI DSS osadest on saadaval näiteks Swedbank'i PCI vastavuse ja nõuete lehel.[3] Seal on kirjas ka kaupmeestelt nõutud tegevused nende kategooria (aastase kaardimaksete arvu) kaupa.
Lisaks tehnilistele nõuetele kuulub PCI standardi juurde ka auditeerimise ja aruandluse ökosüsteem. Süsteemi osalised võivad sõltuvalt enda rollist ja kaardimaksete mahust enda turvalisust ise hinnata (ingl. self-assessment) või lasta end auditeerida välisel audiitoril. Kvalifitseeritud PCI audiitoritele (ingl. Qualified Security Assessor, QSA)[4] kehtivad omad atesteerimisnõuded ja auditeerimise eeskirjad. Süsteemide tehnilist turvalisust peavad kontrollima sertifitseeritud andmeturbeettevõtted (ingl. Approved Scanning Vendor, ASV).[5]
PCI rakendamist ei kontrolli mitte üks keskne organisatsioon, vaid maksekaartide süsteemi osalised (pangad, maksevahendajad, kaupmehed jne) omavahel ja vastastikku. See on üks osa kaasaegse tarneahela turbe ja vastavushindamise (ingl. compliance) valdkonnast.