Hvad betyder PCI DSS-overensstemmelse?
Hvis du er kortbetalingsbranchen har du sikkert hørt om PCI DSS. PCI DSS er en forkortelse, som betyder standard for datasikkerhed i betalingskortbranchen (Payment Card Industry Data Security Standard) og er en standard for informationssikkerhed, som gælder for alle virksomheder, der behandler, lagrer eller overfører data om kortindehavere – uanset størrelse eller antal transaktioner.
Nedenfor har vi listet spørgsmål og svar, over de vigtigste punkter du bør have kendskab i arbejdet med PCI DSS.
Hvad er PCI DSS?
Payment Card Industry Data Security Standard (PCI DSS) er en international standard for informationssikkerhed, som har til formål at beskytte kortbetalinger og mindske kortbedrageri. PCI DSS er en fælles standard, der er udarbejdet og vedligeholdes af Visa Inc, MasterCard, American Express, Discover og JCB.
Hvorfor blev PCI DSS oprettet?
PCI security standard består af tekniske og operationelle krav, som er vedtaget af PCI Security Standard Council (PCI SSC) med henblik på at beskytte kortdata. PCI-DSS har til formål at minimere håndteringen af kortdata og andre følsomme oplysninger, fx kortnummer (PAN), Chipdata, PIN, CVC, etc. for at reducere risikoen for, at kortdata havner i de forkerte hænder, hvilket kan føre til bedrageri, negativ indvirkning på vores varemærke og vores kunder.
Hvem er omfattet af PCI DSS?
Alle virksomheder, der håndterer kortdata, dvs. gemmer, behandler og formidler kortdata skal opfylde kravene i PCI DSS.
Hvorfor er det så vigtigt at overholde kravene i PCI DSS?
Opfyldes kravene i PCI DSS, har virksomheden gjort sit bedste for at beskytte kundernes data, samt sikret oplysningerne imod bedrageri.
Hvad er konsekvenserne for virksomheder, der ikke opfylder kravene?
Hvis vi som kortudstedere ikke overholder standarden, kan vi blive pålagt bøder.
Hvad er kravene i PCI DSS?
PCI DSS har seks overordnede mål, som er inddelt i 12 overordnede krav. Disse er herefter inddelt i ca. 250 detaljerede krav, der skal opfyldes for at være PCI DSS-kompatibel.
Opbygge og vedligeholde et sikkert netværk
1. Installere og vedligeholde en firewall-konfiguration for at beskytte kortindehaverdata
2. Ikke gøre brug af leverandør-leverede standarder for systemadgangskoder og andre sikkerhedsparametre
Beskyt kortholderdata
3. Beskytte gemte kortholderdata
4. Kryptere overførsel af kortindehavers data på åbne, offentlige netværk
Vedligehold et Vulnerability Management Program
5. Regelmæssigt bruge og opdatere antivirussoftware eller -programmer
6. Udvikle og vedligeholde sikre systemer og applikationer
Indfør stærk adgangskontrol
7. Begræns adgang til kortindehaverdata, i henhold til forretningens need-to-know
8. Tildel et entydigt ID, til alle med computeradgang
9. Begræns fysisk adgang til kortindehaverdata
Overvåg og test regelmæssigt netværk
10. Logg og overvåg al adgang til netværksressourcer og kortindehaverdata
11. Test regelmæssigt sikkerhedssystemer og -processer
Oprethold en policy for informationssikkerhed
12. Oprethold en policy, der adresserer informationssikkerhed for medarbejdere og kontrahenter