Compliance • Artikel
29 mars, 2021
Vad är PCI DSS?
Payment Card Industry Data Security Standard (PCI DSS) är en allmänt accepterad uppsättning riktlinjer och rutiner som syftar till att optimera säkerheten kring användningen av kredit- och bankkort.
Vad är PCI DSS och varför skapades det?
PCI DSS togs fram av de fem stora kreditkortsföretagen; Visa, Mastercard, Discover, JCB och American Express. Standarden inrättades för att hjälpa företag att göra processen kring kortbetalningar så säker som möjligt, samt minska risken för kortbedrägerier.
I dagsläget gäller version 3.2.1, PCI SSC arbetar med att ta fram version 4.0 som inkluderar förändringar såsom mer valbara kontroller samt en mer detaljerad riskanalys. Mer detaljer publiceras när PCI SSC kommit längre i versionsuppdateringen.
Vilka omfattas av PCI DSS?
Egentligen kan man säga att alla parter som på något sätt kommer i kontakt med kortnummer omfattas av regelverket.
Det kan röra sig om betalningsförmedlare, leverantörer, e-handlare, m.m. Men regelverket omfattar även aktörer som hanterar kort i den fysiska världen, som exempelvis leverantörer av programvaror, terminalleverantörer, nätverksleverantörer och andra.
Beroende på vilket sätt du omfattas av PCI DSS skiljer sig kraven. Reglerna för en betalningsförmedlare (Payment Service Provider) skiljer sig exempelvis markant från de regler som gäller för en handlare (Merchant). Men det kan också vara stora skillnader baserade på hur många korttransaktioner företaget i fråga hanterar.
PCI DSS omfattar sex huvudområden
1. Säkerheten i nätverket
Ett säkert nätverk måste upprätthållas, i vilket transaktioner kan utföras. Detta krav innebär att man använder brandväggar som är tillräckligt robusta för att vara effektiva, utan att orsaka onödiga olägenheter för kortinnehavare och leverantörer. Dessutom ska autentiseringsuppgifter, personliga identifieringsnummer (PIN) och lösenord kunna bytas ofta och bekvämt av kunderna själva.
2. Skydda kortinformationen
Kortinnehavarens information måste skyddas oavsett var den lagras. Arkiv med data såsom födelsedatum, personnummer, postadress, telefonnummer etc. måste säkras från dataintrång. När kortdata överförs via allmänt nät måste dessa uppgifter krypteras på ett effektivt sätt. Digital kryptering är viktigt vid alla former av betalkortstransaktioner, men i synnerhet för e-handel.
3. Skydd mot sårbarheter
System bör skydda verksamheten mot illvilliga hackare med hjälp av frekvent uppdaterade antivirusprogram, anti-spyware och anti-malware-lösningar. Operativsystem (OS) och patchar som erbjuds som programvara från leverantörer bör installeras och uppdateras regelbundet för att säkerställa acceptabel säkerhetsnivå.
4. Behörighetskontroll
Tillgång till systeminformation och verksamhet bör begränsas och kontrolleras. Varje person som använder en dator i systemet måste tilldelas ett unikt och konfidentiellt identifikationsnamn eller nummer.
5. Övervakning och test
Ett nätverk måste ständigt övervakas och testas regelbundet för att säkerställa att alla säkerhetsåtgärder och processer finns på plats, fungerar korrekt och hålls up-to-date.
6. Användning av säkerhetspolicy
Det krävs också att man tar fram en formell informationssäkerhetspolicy, samt att denna underhålls och efterföljs av alla berörda parter. Bristande uppföljning och efterlevnad kan få konsekvenser.
Varje organisation måste efterleva de 12 kraven i PCI DSS
De organisationer som hanterar betalkort behöver efterleva de 12 kraven direkt eller genom kompenserande kontroller. Dessa kompenserande kontroller måste dock godkännas av en ackrediterad revisor (PCI QSA).
De 12 kraven inom PCI DSS är följande:
1. Installera och upprätthåll en brandväggskonfiguration för att skydda betalkortsdata
2. Använd inte default-inställningar för gällande lösenord och andra säkerhetsparametrar till system
3. Skydda lagrad betalkortsdata
4. Kryptera överföringen av betalkortsdata över öppna publika nätverk
5. Använd och uppdatera regelbundet antivirus-programvara
6. Utveckla och upprätthåll säkra system och applikationer
7. Begränsa accesser till betalkortsdata enligt business need-to-know
8. Tilldela varje person som har tillgång till dator ett unikt ID
9. Begränsa fysisk tillgång till betalkortsdata
10. Spåra och övervaka all tillgång till nätverksresurser och betalkortsdata
11. Testa säkerhetssystem och processer regelbundet
12. Upprätthåll en policy som adresserar informationssäkerhet
Vilka blir konsekvenserna av att inte efterleva kraven?
Att vara compliant med PCI DSS innebär att man har gjort sitt bästa för att hålla sina kunders värdefulla information så säker som möjligt. Slarv med korthanteringen öppnar upp för att företag och kortanvändare kommer att utsättas för bedrägerier.
Skulle ett företag förlora kortuppgifter via ett dataintrång, samtidigt som det inte är compliant enligt PCI DSS så väntar kraftiga böter. Genom att inte efterleva kraven bedöms man vara ansvarig för att bedrägeriet har kunnat uppstå, och får förutom direkta böter stå för operativa kostnader som uppstår i samband med byte av konton och dylikt.
Framkommer det att organisationen inte har gjort sitt yttersta för att skydda informationen kan man räkna med att kunder kommer vända en ryggen och det kommer bli svårt att vinna tillbaka förtroendet.
I de fall där det går att klarlägga ett företag har grovt misskött sig kan PCI dra in möjligheten för organisationen att erbjuda köp via kort. En konsekvens som naturligtvis skulle kunna få stora inverkningar för många företag.
Hur sannolikt är det att något händer oss?
Tyvärr förekommer dataintrång regelbundet och företag som hanterar kortuppgifter är frekventa mål för hackare, eftersom de lätt kan utnyttjas alternativt säljas vidare. Undvik därför att tro att det inte kommer att drabba just er organisation – eftersom konsekvenserna att blunda för problemet kan stå er dyrt.
I USA där det finns en meddelandeplikt gällande dataintrång har det rapporterats om mängder av dataintrång där det förekommer stölder av kortdata. Några av de mest uppmärksammade fallen i närtid är Target, Hilton Hotel och Home Depot som alla blivit av med stora mängder kortuppgifter.
Vill du veta mer om PCI DSS? Vi kan hjälpa dig!
Vi på Sentor har gedigen erfarenhet av att hjälpa företag att efterleva kraven i PCI DSS. Vi kan bistå med samtliga aspekter kring PCI, från rådgivning och införande av kontroller, till stöd inför själva PCI-certifieringen.
Kontakta oss
Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.
08-545 333 00
Vi svarar dygnet runtinfo@sentor.se
För generella förfrågningarsoc@sentorsecurity.com
Anv änd vår PGP-nyckel