Oron bland företag som på något sätt hanterar kortinformation sprider sig inför årsskiftet då nya regler träder i kraft, men experter på området anser att oron till stor del beror på kunskapen både hos kunder och leverantörer.
Den nya standarden för hantering av betalkort, PCI DSS 3.0, som träder i kraft den 1 januari har vållat både diskussion och skapat oro i synnerhet hos mindre företag, som på ett eller annat sätt hanterar kortinformation. Vad är det som gäller, vilka berörs och vad är det som krävs för att uppfylla kraven? Det är några av frågorna som cirkulerar och har fått Victor Langåssve att reagera. Han är säkerhetsexpert på Knowit. Han är också till viss del orolig och hans oro beror på att branschen inte riktigt verkar veta vad den ska fokusera på.
– Oron blir ju inte mindre av att inte ens de som ska vara experter vet vad den nya standarden innebär och vilka konsekvenserna blir.
Det är inget dramatiskt att det kommer en ny standard av PCI DSS.
– Det sker vart tredje år ända sedan säkerhetsstandarden skapades 2004.
Den nu aktuella standarden fokuserar på e-handel vilket beror på att kortbedrägerierna flyttat ut på nätet. Den presenterades för ett år sedan. Så alla har haft gott om tid på sig.
– Oklarheterna om hur den nya standarden ska hanteras verkar sprida både onödig rädsla eller falsk trygghet.
Hans enkla råd är att den som är osäker vänder sig till någon som är certifierad enligt QSA, som står för Qualified Security Assessor och utfärdas av PCI Security Standards Council. Här har också säkerhetsbranschen ett ansvar.
– Min uppmaning till hela branschen är att samlas och gå igenom det nya, så att man är på samma spår.
Han hävdar bestämt att vi idag inte har sett något bolag som följt PCI DSS som råkat ut för intrång där betalkort stulits på grund av att PCI DSS inte varit tillräckligt för den miljö som standarden hanterar. Det finns dock ett antal företag som sagt att de följer PCI DSS och trots att de validerat sig, ändå råkat ut för intrång.
– Dessa har dock vid forensiska undersökningar visats inte ens vara i närheten av att uppfylla kraven vid tidpunkten när intrånget skedde.
Han är övertygad om att den nya standarden förenklar.
– Det viktiga är att förstå vart riskerna finns och hur de kan hanteras. Ett tips är att ta hjälp av någon som arbetat med PCI DSS länge så att rätt krav uppfylls på rätt nivå utan onödig kostnad.
Publicerades 2014-10-22 i Computer Sweden av Håkan Ogelid