Compliance • Artikel
29 mars, 2021
Här är nyheterna i version 3.0 av PCI DSS
Från och med den första januari 2015 måste företag som lagrar, hanterar eller överför kreditkortsinformation uppfylla version 3.0 av Payment Card Industry Data Security Standard (PCI DSS 3.0). Kraven skapades av betalkortsföretagen 2006 och är avsedda att skydda privatpersoner från kreditkortsbedrägerier.
5 utmaningar med version 3.0 enligt PCI själva
Enligt Stephen Orfei, chef för PCI Security Standards Council (PCI SSC), finns det 5 grundutmaningar som företag måste förhålla sig till om de vill hantera betalkortsuppgifter och uppnå kraven i 3.0. Nedan följer de 5 utmaningarna:
-
Säkerhet är något man arbetar med 24/7
En del företag tar inte säkerhet på allvar och gör endast minsta möjliga för att kunna checka i externa granskares krav. Säkerhet ett pågående arbete och poängen med kraven är att hålla kriminella borta, säger Orfei. -
Mer utbildning och bättre lösenordshantering
Lösenordshantering har länge varit en svag punkt för de som hanterar betalkortsuppgifter.
– Företag måste ha säkra lösenord som ändras och detta måste hanteras dagligen som en del av företagens genetiska kod, säger Orfei. -
Leverantörsgranskningen skärps
Efter ett antal större intrång i USA, bland annat det mot butikskedjan Target, så har PCI SSC insett att de måste skärpa leverantörsgranskningen. De vill nu begränsa att affärspartners eller andra externa aktörer påverkar säkerheten. -
Regelbundna penetrationstester
Från att tidigare haft en rekommendation om ett årligt återkommande penetrationstest ligger nu kraven på kvartalsvisa granskningar. Det finns nu än mer information om vilka delar som ett penetrationstest bör innefatta för en godkänd granskning. -
Bättre systemrevisioner
Det går inte längre att negligera system som inte innehåller betalkortsuppgifter. Numera täcker kraven även system som inte nödvändigtvis lagrar data, men som kan göra det möjligt för andra att få åtkomst.
Utmaningar som Sentor möter hos kunder
Första året: Sentor upplever att första året präglas av förändringar. Om företaget har en enklare affärsprocess så som webbhandel eller via godkända betalterminaler så blir det mindre anpassningar. Om företaget har kortnummer som en integrerad del av betalprocessen så kan det bli ett omfattande förändringsarbete.
Andra året: Att kunna visa upp att företaget, vid alla tillfällen, följer och agerar efter PCI DSS. Enligt statistiken så klarar sig endast ett av nio företag utan anmärkningar andra året. Vi lever i en projektkultur och först efterföljande år brukar det flyta på utan större insatser inför den årliga uppföljningen.
Nya krav som blir obligatoriska från årsskiftet
Mer konkret innebär den nya versionen av PCI DSS en rad nya krav som vi går igenom lite närmare nedan.
- Krav 5.1.2 – Hot från skadlig kod ska utvärderas, även för de system som bedöms ha låg risk att drabbas av attacker.
- Krav 8.2.3 – För bättre lösenordshantering ska företag implementera metoder som maximerar lösenordsstyrkan samtidigt som låg lösenordskomplexitet främjas. Dessutom ska det erbjudas alternativ för ökad flexibilitet.
- Krav 8.5.1 – Service Providers med tillgång till kunders system måste använda unika autentiseringsuppgifter för varje kund.
- Krav 8.6 – Autentiseringsmekanismer (som exempelvis säkerhetspoletter, smarta kort och certifikat) måste länkas till ett individuellt konto för att säkerställa att inte obehöriga får access.
- Krav 9.3 – Kontrollera fysisk access till känsliga områden för personal på plats, inkludera en process för att autentisera sig för access till dessa områden och återkalla access när anställda lämnar företaget.
- Krav 9.9 – Skydda enheter som kan fånga upp kreditkortsinformation genom direkt fysisk interaktion med kortet från manipulation och substitution.
- Krav 11.3 och 11.3.4 – Utökade krav på penetrationstest: Handlare som använder segmentering för att reducera hanteringen av kreditkortsinformation måste nu penetrationstesta segmenteringsgränserna för att säkerställa att det inte finns säkerhetsbrister. Genom utförande regelbundna penetrationstester hittas säkerhetsbrister i infrastrukturen innan kriminella hinner utnyttja dem.
- Krav 11.5.1 – Implementera en process för svara på varningar som genererats av mekanismer för upptäcka förändringar i filsystem.
- Krav 12.8.5 – Underhåll information gällande vilka PCI-krav som är skötta av respektive service provider eller hanterade av företaget själva.
- Krav 12.9 – Service providers måste tillhandahålla ett skriftligt avtal där det framgår att de är ansvariga för säkerheten för kortdata de hanterar.
Hur kan Sentor bidra för att mitt företag ska uppnå PCI DSS 3.0?
Vi på Sentor har gedigen erfarenhet av att hjälpa företag att efterleva kraven i PCI DSS. Vi kan bistå med samtliga aspekter kring PCI, från rådgivning och införande av kontroller, till stöd inför själva PCI-certifieringen. Dessutom kan vi via vårt Security Operations Center (SOC) leverera managerade säkerhetstjänster 24/7 för att säkerställa en hög nivå av säkerhet dygnet runt, året om.
Kontakta oss
Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.
08-545 333 00
Vi svarar dygnet runtinfo@sentor.se
För generella förfrågningarsoc@sentorsecurity.com
Använd vår PGP-nyckel