Payment Card Industry Data Security Standards

Payment Card Industry Data Security Standards (PCI DSS) er en ny standard utviklet av de store kredittkortselskapene i fellesskap, for å hjelpe brukersteder med å beskytte kortkunde-konti, samt forhindre kredittkortsvindel, datainnbrudd og andre sikkerhetsbrudd.

Av Morgan G. Lindström
Samsvar med PCI-standarden er påkrevd fra og med 1. oktober, for alle brukersteder som lagrer, behandler eller overfører informasjon om kortholdere. Alle ehandelsaktører må derfor benytte en PCI-sertifisert tjenestetilbyder eller bevise sitt eget samsvar med PCI DSS.



Vanligvis skilles det mellom to ulike e-handelsløsninger:

Hosted løsning
·
All kortinformasjon lagres, behandles og overføres i et miljø hos en PSP som er PCI DSS sertifisert
·
Brukerstedet håndterer ikke kortinformasjon
Ikke hosted løsning
·
Kortinformasjon lagres, behandles og overføres hos brukerstedet eller annen part
·
Benevnes ofte som API løsning

PCI-standardens konformitetskrav

Den gjeldene versjonen av PCI-standarden (v1.2) er nedfelt i 12 konformitets-krav, kalt "kontrollpunkter" (control objectives). Disse er inndelt i 6, logisk relaterte grupper:

Bygging og vedlikehold av et sikkert nettverk
01
Installasjon og vedlikehold av brannmurkonfigurasjon for å beskytte kortinnehaverdata
02
Utskifting av leverandør-installerte standardinstillinger for system passord og andre sikkerhetsparametere
Beskyttelse av kortinnehaver-data
03
Beskyttelse av lagrede kortinnehaver-data
04
Kryptering av overføring av kortholder-data på tvers av åpne, offentlige nettverk
Drift av et Vulnerability Management Program
05
Bruk og jevnlig oppdatering av antivirus-programvare på alle systemer som vanligvis berøres av malware
06
Utvikling og vedlikehold av sikre systemer og applikasjoner
Implementering
av sikker tilgangskontroll
07
Begrensing av tilgang til kortinnehaver-data til hva bedriften trenger å vite
08
Tildeling av unike IDer til alle personer med PC-tilgang
09
Fysisk begrensning av tilgang til kortinnehaverdata
Regelmessig overvåking/testing av nettverket
10
Sporing og overvåking av all tilgang til nettverksressurser og kortinnehaver-data
11
Regelmessig testing av sikkerhetssystemer og prosesser
Opprettholdelse
av vedvarende informasjons-sikkerhetsrutiner
12
Opprettholdelse av en praksis som tar vare på informasjonssikkerheten
Sertifisering ved egenerklæring
Ved hjelp av en egenerklæring, oppbygget for systematisk gjennomgang av brukernes systemer, kan den enkelte nettbutikk selv gjennomgå sine systemer og kontrollere om de oppfyller PCI-kravene. De forhold som eventuelt ikke er kompatible vil bli avslørt og kan rettes opp, før egenerklæringen endelig fylles ut og undertegnes.
Egenerklæringsskjemaene også kalt SAQ (Self-Assessment Questionnaire) finner du på adressen:
Dersom du har en Hosted løsning skal du benytte SAQ skjema A.
Dersom du har en Ikke-hosted løsning skal du benytte SAQ skjema D.
Requirements and Security Assessment Procedures
Til hjelp i prosessen med å tilpasse seg PCI-standarden, er det utviklet et dokument som kan lastes ned:
Dokumentet er et verktøy som er fundert på de tolv PCI DSS-kravene, og forbinder disse med korresponderende test-prosedyrer. Dokumentet er beregnet for teknisk sakkyndige som skal hjelpe nettbutikker å oppnå konformitet med PCI-standarden, og/eller verifisere at denne blir vedvarende opprettholdt.

Litteratur
Det er allerede utgitt en del litteratur om PCI DSS, som kan være til god hjelp. En del av denne litteraturen er skrevet på et mindre formelt og teknisk språk enn det som er benyttet i dokumentene fra PCI Security Standards Council.

PCI4Dummies
PCI Compliance for Dummies · Gratis e-Book!

Ved å klikke på bildet til høyre kan du gratis laste ned PCI Compliance for Dummies fra Qualys®.
Denne boken kan være et godt utgangspunkt for alle som er ferske i sitt kjenskap til PCI-standarden - særlig for dem som ikke har mye kunnskaper om nettverk fra før. Hovedpunkter i innholdet er:

  • What PCI is all about
  • The twelve requirements of the PCI standard
  • How to comply with PCI
  • Ten best practices for PCI compliance
VM for Dummies · Gratis e-Book!

VM4DummiesVed å klikke på bildet til høyre kan du gratis laste ned Vulnerability Management for Dummies fra Qualys®.
Denne boken er en quick-guide til forståelse av hvordan du kan beskytte nettverket ditt med VM - fra å avdekke sikkerhets-trusler, til å peke ut en løsning som hjelper deg med raskt å oppdage og rette opp svakheter.

  • Why organizations need VM
  • Options for VMd
  • How to get the best VM solution for your business
  • A four-step program for VM

Bøker

Vi har plukket ut følgende fire bøker om PCI-standarden som har fått gode omtaler. Ved å klikke på bildene, får du mer informasjon, og kan bestille dem på Amazon.com.

  • PCI Compliance: Understand and Implement Effective PCI Data Security Standard Compliance
  • Payment Card Industry Data Security Standard Handbook
  • Achieving PCI Compliance: Understanding And Complying With The Data Security Standard For Merchant Levels 2, 3 And 4
  • PCI DSS: A practical guide to implementation

Book_PCI-Compliance

 DIBS 

Book_AchievingPCI-Complianc

 Bysant 


Ressurser på nettet
Logo-Wikipaedia
Artikkel med tittel Payment Card Industry Data Security Standard som gir en oversikt over PCI DSS.
Blogg med artikler om PCI-standarden.
Logo-PCI-ComplianceORG
Nettsted med nyheter og ressurser knyttet til PCI DSS-problematikken.
© NNO 2009