Apr 14 2008

Vilka krav ställer PCI DSS på din organisation?

Publicerad av under Säkerhet,Standards

Har ni fått krav på er att leverera tjänster i enlighet med PCI DSS (Payment Card Industry Data Security Standard) och vad innebär detta egentligen och vilka krav ställs på en organisation eller för den delen en leverantör av IT-tjänster för betalningssystem som måste följa standarden?

PCI DSS är en gemensam industri standard som lanserades av American Express, Discover Financial Services, JCB International, MasterCard Worldwide, och Visa Inc för att säkra upp hanteringen av kreditkorts transaktioner. Inte minst kom detta i fokus i samband med att det avslöjades att amerikanska TJX Companies Inc’s förlorade kunddata till 48 miljoner kunder samt information om 455 000 butiker/handlare som var uppkopplat till TJX centrala transaktions system för betal och kreditkorts hantering. Standarden gäller för alla som handskas med betalnings transaktioner för betalkort och kreditkort.

Nu var det i och för sig inte enbart händelsen med TJX Companies Inc’s som tvingade fram standarden då kreditkortsbolagen sedan tidigare haft riktlinjer kring hanteringen av kort transaktioner och hur dessa skall lagras. Dock så synliggjordes behovet av en tydlig standard för samtliga betalnings kanaler; detaljhandel, postorder, telefon samt e-handel.

Vilka är då kraven som PCI DSS ställer på organisationer som hanterar eller är involverad i att leverera tjänster kring själva hanteringen av kort transaktioner? Följande 12 krav har definierats enligt följande:

Konstruktion och underhåll av säkert nätverk;
1. Installera och underhålla en brandväggskonfiguration för att skydda kortinnehavares data
2. Att ej använda tillverkares standard konfiguration för system lösenord och andra säkerhets parameters.

Skyddande av kortinnehavarens data;
3. Skyddande av kortinnehavares data som lagrats.
4. Kryptering av kortinnehavarens data vid överföring över öppna publika nätverk.

Aktiv sårbarhetshantering;
5. Använda och regelbundet uppdatera antivirus mjukvara eller program.
6. Utveckla och underhålla säkra system och applikationer.

Implementering av stark kontroll access åtgärder;
7. Begränsa access till kortinnehavares data baserat enligt affärs behov.
8. Tilldela unikt ID till samtliga individer med dator access.
9. Begränsa fysisk access till kortinnehavare data.

Regelbundet monitorera och testa nätverk;
10. Spåra och övervaka all access till nätverks resurser och kortinnehavare data.
11. Regelbundet testa säkerhetssystem och processer.

Aktivt underhålla en informations säkerhets policy;
12. Underhålla en policy som adresserar informations säkerhet för anställda och underleverantörer.

Utöver ovan krav finns det även tre steg som samtliga handlare och leverantörer måste genomgå för att uppfylla kraven.

Steg 1. Krav på att säkra all insamlad log data och att denna lagras på ett sådant sätt att det ej går att manipulera samt finnas tillgänglig för analys.

Steg 2. Samtliga företag skall kunna bevisa att de uppfyller ställda krav vid en granskning och uppvisa bevis för att det finns kontroller på plats för skydd av data.

Steg 3. Det måste finnas ett kontrollsystem på plats som automatiskt larmar och övervakar access och användning av data samt varnar vid problem och otillåten access av kort och log data för att kunna åtgärda dessa incidenter direkt.

Tydlig dokumentation och bevis måste finnas för att samtliga ovan tre steg utförs på ett korrekt sätt och i enlighet med standarden.

Vidare så gör man även skillnad mellan handlare och tjänsteleverantör av betalningssystem. För handlare finns det fyra olika nivåer som baseras på antalet årliga transaktioner:

Nivå 1: Handlare med mer än 6 miljoner korttransaktioner samt även handlare som tidigare har förlorat kortdata.

Nivå 2: Handlare med 1 till 6 miljoner korttransaktioner.

Nivå 3: Handlare med 20 000 till 1 miljon korttransaktioner.

Nivå 4: Övriga handlare.

Handlare på nivå 1 måste genomföra en årlig säkerhetsgranskning på plats, dessa utförs av s.k. Qualified Security Assessors (QSA), samt genomföra nätverksskanning kvartalsvis. För övriga nivåer är det nog med att fylla i en självdeklaration där man garanterar att man uppfyller de uppsatta kraven i enlighet med standarden. Dock skall det även genomföras skanning av nätverket kvartalsvis av extern godkänd skannings leverantör, en s.k. Approved Scan Vendor (ASV).

För tjänsteleverantörer inklusive underleverantörer av tekniska lösningar för betalningssystem finns det tre nivåer:

Nivå 1: Alla centrala kortinlösens företag.

Nivå 2: Alla tjänsteleverantörer som inte tillhör nivå 1, men med fler än 1 miljon kreditkorts konton eller årliga transaktioner.

Nivå 3: Tjänsteleverantörer som inte tillhör nivå 1, samt med färre än 1 miljon kreditkorts konton eller årliga transaktioner.

För tjänsteleverantörer krävs det att verksamheten överensstämmer med och kan demonstrera att man uppfyller de 12 kraven på hantering av korttransaktioner. Vidare så gäller det för nivå 1 och 2 leverantörer att man klarar av en årlig säkerhets granskning samt kvartalsvis nätverks skanning medan nivå 3 leverantörer kan genomföra årlig självdeklaration samt kvartalsvis skanning av nätverket. Självdeklaration kan genomföras internt av den egna personalen medan nätverksskanning måste utföras av externt godkänd ASV.

När en organisation väl har uppnått kraven för PCI DSS och fått certifikat att man uppfyller kraven gäller det att arbeta vidare med att löpande förbättra interna processer och aktiviteter för hantering av korttransaktioner. Att bli godkänd enligt PCI DSS standarden handlar inte om att få en stämpel och att man därefter kan ta det lugnt och en gång om året påvisa att man uppfyller standarden. Detta är något som är ett löpande arbetsmoment och att man kan påräkna att en granskning kan göras att man uppfyller nämnda krav samt en arbetsprocess som löpande förbättras och förfinas för att inte tappa koncentrationen och därmed inte riskera att kompromettera kortdata och därmed dess innehavare.

Kim Haverblad

En kommentar än så länge

En kommentar till “Vilka krav ställer PCI DSS på din organisation?”

  1. […] av kortdata och kortterminaler? Branschen i sig har sedan tidigare infört branschstandarden PCI-DSS (Payment Card Industry Data Security Standard) för att ställa högre krav kring hanteringen av […]

Trackback URI | Kommentars RSS

Lämna kommentar

Du måste vara inloggad för att lämna kommentar.