PCI DSS – hur upprätthålls compliance?
PCI DSS-efterlevnad som krav ställs på all hantering av betalkortsdata. Som handlare tar du emot betalkortsbetalningar medan tjänsteleverantörer hjälper handlaren med betalningar samt stödjer privatpersoner, handlare eller företag med deras betalkortstransaktioner. Banker ger ut betalkort eller fungerar som inlösare av transaktioner. För dig som har applicerat PCI Data Security Standard (PCI DSS) på alla dina betalkortstransaktioner förväntas dessa hanteras på ett säkert sätt, skyddat mot dagens och morgondagens cyberhot.
Många lagar och avtal efterlevs med hjälp av PCI DSS, som är den mest omfattande och specifika uppsättning av säkerhetskontroller som någonsin sammanställts till en stor industristandard eller lag. Så fort betalkortsdata hanteras så kommer betalkortsföretagen och inlösande banker alltid ställa krav på att PCI DSS uppfylls i sina avtal mot företag.
Underhåll av policy, procedurer och rutiner
Men, PCI DSS är inte ett engångsarbete. PCI Security Standards Council grundades av American Express, Discover Financial Services, JCB International, MasterCard, och Visa Inc., för att ha en gemensam standard för att skydda sina kunders betalkortsuppgifter.
Policy, procedurer och rutiner behöver underhållas och testas varje år för att kunna rapportera efterlevnad mot PCI DSS med hjälp av en Self Assessment Questionary (SAQ) eller en Report of Compliance (ROC). Det årliga målet är att se till att allt är på plats för att kunna signera en Attestation of Compliance (AOC). För detta återkommande arbete rekommenderar vi att följande beaktas:
-
Behåll rätt perspektiv
-
Underhåll företagskulturen för cybersäkerhet
-
Håll dig informerad (t.ex. nya säkerhetshot och best practice)
-
Försäkra dig om ägande och ansvar för säkerhetsaktiviteter
-
Betona säkerhet och risk, inte bara efterlevnad
-
Arbeta oavbrutet med cyberriskerna för affärsplanerna och begränsa dessa risker
-
Övervaka, upptäck och åtgärda fel kontinuerligt i säkerhetskontroller
-
Utnyttja prestandamått för att mäta framgång
-
Utför minst kvartalsvisa nätverksskanningar och halvårsvisa penetrationstester
-
Utför en årlig granskning av leverantörerna
-
Utför en årlig granskning av interna policys
-
Utför kvartalsöversyner på att personalen följer säkerhetspolicyer och operationella rutiner
-
Sammanställ kvartalsrapport om efterlevnad
-
Justera PCI DSS programmet till uppkomna förändringar
PCI DSS ställer också krav på att personalen som minst årligen utbildas i säkerhetspolicyer och operativa rutiner för att vara väl medvetna om nödvändig säkerhet för sitt dagliga arbete och för att hantera incidenter.
Informationssäkerhetsföretag som är ackrediterade av PCI Security Standards Council erbjuder personal som har bra erfarenheter i och djup kunskap av cybersäkerhet och PCI DSS-kraven. Den personal som utför granskningar och certifieringar mot PCI DSS har personcertifieringen QSA, som årligen bekräftar yrkeskunnande, kompetens och erfarenhet.
Läs mer om PCI DSS här och här.
Max Korkkinen är seniorkonsult inom säkerhet på Knowit och har mer än 30 års erfarenhet som revisor av IT-organisationer. Max tog civilingenjörsexamen 1981 och har därefter kompletterat sin examen med en MBA samt certifieringar inom informationssäkerhetsrevision, CISA och ISO 27001 Lead Auditor, IT-säkerhet, CISSP, och säkerhet för betalkortsdata, QSA. Idag är han engagerad i utbildningar och granskningar för att visa överensstämmelse med lagar, avtal och standarder inom informationssäkerhet (GDPR, ISO 27001 och PCI DSS).