Du vet vad PCI Data Security Standard (PCI DSS) är och du har redan påbörjat ditt PCI DSS-arbete. I arbetet har du stött på en situation där du har svårt att se hur du skulle kunna uppfylla ett specifikt PCI DSS-krav. Vad kan du göra?
I PCI DSS finns en möjlighet att göra avsteg från specifika PCI DSS-krav. Det kallas för en kompenserande kontroll. En förutsättning för att få använda sig av det är att det finns ett dokumenterat tekniskt eller affärsmässigt hinder.
Det är få situationer när en kompenserande kontroll blir enklare och billigare än att uppfylla de specifika PCI DSS-kraven, men det kan ibland vara värt att överväga när inte några andra vägar ser ut att vara framkomliga.
Kompenserande kontroller behöver alltid möta syftet med originalkravet i PCI DSS, dvs. cyberrisken kravet avser att hantera. För att lyckas med det behöver du förstå syftet med PCI DSS-kravet, vilken risk som medförs vid avsaknad av kravet, hur den kompenserande kontrollen uppnår minst samma effektivitet samt hur den kompenserande kontrollen ska valideras och underhållas.
Exempelvis om nätverkssegmentering inte kan användas för att isolera system som hanterar betalkortsuppgifter så kan en kompenserande kontroll vara att använda logisk separering av kreditkortsdata. Men eftersom det sedan finns krav på att nätverkssegment ska kontrolleras med penetrationstest periodisk blir det också nödvändigt att ha en kompenserande kontroll som periodiskt granskar att den logiska separeringen fungerar tillfredställande.
Informationssäkerhetsföretag som är ackrediterade av PCI Security Standards Council erbjuder personal som har breda erfarenheter och djup kunskap i cybersäkerhet och PCI DSS. Den personal som utför granskningar och certifieringar mot PCI DSS-kraven har personcertifieringen QSA som årligen bekräftar yrkeskunnande, kompetens och erfarenhet.
Läs mer om vad PCI DSS innebär här.
Max Korkkinen är seniorkonsult inom säkerhet på Knowit och har mer än 30 års erfarenhet som revisor av IT-organisationer. Max tog civilingenjörsexamen 1981 och har därefter kompletterat sin examen med en MBA samt certifieringar inom Informationssäkerhetsrevision, ISO 27001 Lead Auditor, IT-säkerhet, CISSP, och säkerhet för kortdata, QSA. Idag är han engagerad med utbildningar och granskningar för att visa överensstämmelse med lagar, avtal och standarder inom området informationssäkerhet (GDPR, ISO 27001 och PCI DSS).