Safon Diogelwch Data y Diwydiant Cardiau Talu

O 6 Ebrill 2010, bydd Swyddfa Comisiynydd Gwybodaeth y DU (ICO) yn dechrau cyflwyno dirwyon hyd at £500,000 am achosion difrifol o dorri diogelwch data. Bydd maint y ddirwy yn dibynnu ar ganlyniad ymchwiliad sy’n asesu pa mor fawr a difrifol yw’r achos o dorri diogelwch, a yw’n ddamweiniol, sefyllfa ariannol y sefydliad yr effeithiwyd arno, a faint o drafferth a achosodd hynny. Rydym yn gobeithio y bydd y gosb ariannol yn annog sefydliadau i gydymffurfio â Deddf Diogelu Data 1998 a Safon Diogelwch Data y Diwydiant Cardiau Talu.

Safon Diogelwch Data y Diwydiant Cardiau Talu (PCI DSS)

PCI DSS yw’r safon ddiogelwch fyd-eang a ddatblygwyd gan frandiau talu gwreiddiol Cyngor Safonau Diogelwch y Diwydiant Cardiau Talu (PCI), gan gynnwys American Express, Discover Financial Services, JCB International, MasterCard Worldwide a Visa Inc. International, er mwyn helpu sefydliadau i gymryd camau i ddiogelu data cyfrifon cwsmeriaid, fel rhifau cardiau credyd a debyd a manylion personol deiliaid cardiau.

Mae’r safon hon yn berthnasol i unrhyw sefydliad sy’n storio, trosglwyddo neu brosesu manylion deiliaid cardiau; o fasnachwr, proseswr trydydd parti neu gaffaelwr. Mae PCI DSS yn cynnwys gofynion o ran rheoli diogelwch, polisïau, a gweithdrefnau diogelwch i saernïaeth y rhwydwaith, cynllunio meddalwedd a mesurau diogelu pwysig eraill.

Mae’r PCI DSS yn cynnwys chwe egwyddor sy’n cwmpasu 12 o ofynion penodol. Mae’r gofynion hyn yr un mor berthnasol i unrhyw sefydliad sy’n cadw gwybodaeth bersonol, a’r bwriad yw lleihau’r perygl i rywun dorri diogelwch data'r sefydliad.

• Adeiladu a chynnal rhwydwaith ddiogel

Gofyniad 1: Gosod a chynnal ffurfwedd wal dân i ddiogelu data deiliad y cerdyn

Gofyniad 2: Peidiwch â defnyddio rhagosodiadau’r cyflenwr ar gyfer cyfrineiriau a dulliau diogelwch eraill y system

• Diogelu data deiliad y cerdyn

Gofyniad 3: Diogelu data deiliad y cerdyn sydd wedi’i storio

Gofyniad 4: Amgryptio data deiliad y cerdyn wrth ei drosglwyddo dros rwydweithiau agored, cyhoeddus

• Cynnal rhaglen rheoli gwendidau

Gofyniad 5: Defnyddio a diweddaru meddalwedd gwrth-feirws yn rheolaidd

Gofyniad 6: Datblygu a chynnal systemau a rhaglenni diogel

• Gweithredu mesurau cryf i reoli mynediad

Gofyniad 7: Cyfyngu mynediad i ddata deiliad y cerdyn i faterion busnes yn unig

Gofyniad 8: Neilltuo rhif adnabod (ID) unigryw i bob person sy’n defnyddio cyfrifiadur

Gofyniad 9: Cyfyngu ar y rhai sy’n cael gweld data deiliad y cerdyn

• Monitro a phrofi rhwydweithiau’n rheolaidd

Gofyniad 10: Olrhain a monitro pob mynediad i adnoddau’r rhwydwaith a data deiliad y cerdyn

Gofyniad 11: Profi systemau a phrosesau diogelwch yn rheolaidd

• Cynnal polisi diogelwch gwybodaeth

Gofyniad 12: Cynnal polisi sy’n mynd i’r afael â diogelwch gwybodaeth

Cydymffurfio â Safon Diogelwch Data Diwydiant y Cardiau Talu (PCI DSS)

Mae Cyngor Safon Diogelwch PCI yn annog busnesau sy’n cadw data talu i gydymffurfio â PCI DSS a chael eu hardystio er mwyn helpu i leihau’r peryglon ariannol wrth ddefnyddio data. Er hynny, y cynlluniau cardiau talu fel MasterCard neu Visa sy’n rheoli’r rhaglen gydymffurfio mewn gwirionedd. Yn ymarferol, mae hyn yn golygu mai’r caffaelwyr sy’n rheoli’r rhaglen, a dylech gysylltu â’ch banc i gael cyngor ynglŷn â’ch gofynion cydymffurfio penodol, a sut y gallwch chi ardystio’ch busnes.

Os na fyddwch chi’n ardystio’ch busnes bob blwyddyn, gall problemau godi os bydd rhywun yn torri’ch systemau diogelwch ac yn dwyn manylion cardiau eich cwsmeriaid. Gall hyn arwain at gosbau ariannol a chostau sylweddol, yn dibynnu ar faint o gardiau yr effeithiwyd arnynt. Hyd yn oed os yw masnachwr wedi’i ardystio, nid yw hyn yn ei ddiogelu rhag cosbau ariannol posibl os penderfynir mai ei weithredoedd ef - trwy esgeulustod, methiant neu ddamwain - sydd wedi cyfrannu at dorri’r system ddiogelwch.

I gael rhagor o wybodaeth am gydymffurfio neu sut i ardystio’ch busnes, ewch i www.pcisecuritystandards.org (yn Saesneg).