Vad är PCI DSS och vad förväntas av dig?
PCI Data Security Standard (PCI DSS) är ett krav som ställs mot all hantering av betalkortsdata. Som handlare kan du ta emot betalningar via kort. Som tjänsteleverantör kan du hjälpa handlaren med betalningar, stödja privatpersoner, handlare eller företag med deras betalkortstransaktioner. Banker kan ge ut betalkort eller fungera som inlösare av transaktioner. Alla dessa har gemensamt att betalkortstransaktioner behöver hanteras på ett säkert sätt, skyddat mot dagens och morgondagens cyberhot.
PCI Security Standards Council grundades av American Express, Discover Financial Services, JCB International, MasterCard, och Visa Inc., för att ha en gemensam standard för att skydda sina kunders betalkortsuppgifter. PCI DSS är den mest omfattande och specifika uppsättning av säkerhetskontroller som någonsin sammanställts till en stor industristandard eller lag. Så fort betalkortsuppgifter hanteras så kommer betalkortsföretagen och inlösande banker alltid i sina avtal mot företag att ställa kravet på att uppfylla PCI DSS.
Du har en affärsidé där hantering av betalkortsuppgifter ingår och du vet att det ska vara säkert, men vad innebär det och vad förväntas av dig?
För det första vill du försöka göra allt du kan för att begränsa omfattningen av betalkortshanteringen. Desto mindre omfattning desto färre krav som behöver uppfyllas i onödan. Exempel på frågor du bör ställa dig är:
-
Behöver du verkligen hantera eller spara betalkortsuppgifter eller finns det smarta sätt för att undvika det?
-
Ska du göra allt själv eller kan en PCI DSS-validerad betalkortstjänsteleverantör användas?
-
Vad är minsta antalet betalkortsuppgifter som krävs?
-
Vad är minsta antalet system och närverk som behövs för att det ska fungera?
-
Vad är den kortaste tiden som krävs att de hanteras och sparas?
När du har landat i en så begränsad omfattning av betalkortshantering som du kan behöver du bl.a. välja en säker arkitektur, segmentera nätverk och system samt lagra betalkortsuppgifter med bra kryptering. Har du redan en befintlig miljö kan det ibland bli lite mer komplext.
PCI DSS ställer också krav på att personalen är välutbildad och väl medveten om nödvändig säkerhet för sitt dagliga arbete och att hantera incidenter. Vidare behöver organisationen periodiskt granska både sin miljö och personalens efterlevnad av PCI DSS.
Informationssäkerhetsföretag som är ackrediterade av PCI Security Standards Council erbjuder personal som har breda erfarenheter och djup kunskap i cybersäkerhet och PCI DSS. Den personal som utför granskningar mot PCI DSS-kraven har personcertifieringen QSA som årligen bekräftar yrkeskunnande, kompetens och erfarenhet.
Max Korkkinen är seniorkonsult inom säkerhet på Knowit och har mer än 30 års erfarenhet som revisor av IT-organisationer. Max tog civilingenjörsexamen 1981 och har därefter kompletterat sin examen med en MBA samt certifieringar inom Informationssäkerhetsrevision, ISO 27001 Lead Auditor, IT-säkerhet, CISSP, och säkerhet för kortdata, QSA. Idag är han engagerad med utbildningar och granskningar för att visa överensstämmelse med lagar, avtal och standarder inom området informationssäkerhet (GDPR, ISO 27001 och PCI DSS).