En publikasjon fra Norsk Netthandlerorganisasjon • © NNO
NNO's nettside.

Publisert: 21.09.2009   ·   Sist oppdatert: 02.10.2009

Payment Card Industry Data Security Standards

PCI Security Standards Council

Payment Card Industry Data Security Standards (PCI DSS) er en ny standard utviklet av de store kredittkortselskapene i fellesskap, for å hjelpe brukersteder med å beskytte kortkunde-konti, forhindre kredittkortsvindel, datainnbrudd og andre sikkerhetsbrudd.

Av Morgan G. Lindstrøm

Samsvar med PCI-standarden er påkrevd fra og med 1. oktober, for alle brukersteder som lagrer, behandler eller overfører informasjon om kortholdere. Alle ehandelsaktører må derfor benytte en PCI-sertifisert tjenestetilbyder eller bevise sitt eget samsvar med PCI DSS.

Vanligvis skilles det mellom to ulike ehandelsløsninger:

Hosted løsning
All kortinformasjon lagres, behandles og overføres i et miljø hos en PSP som er PCI DSS sertifisert
Brukerstedet håndterer ikke kortinformasjon
Ikke hosted løsning
Kortinformasjon lagres, behandles og overføres hos brukerstedet eller annen part
Benevnes ofte som API løsning

PCI-standardens konformitetskrav

Den gjeldene versjonen av PCI-standarden (v1.2) er nedfelt i 12 konformitets-krav, kalt «kontrollpunkter» (control objectives). Disse er inndelt i 6, logisk relaterte grupper:

Bygging og vedlikehold av et sikkert nettverk 01 Installasjon og vedlikehold av brannmurkonfigurasjon for å beskytte kortinnehaverdata
02 Utskifting av leverandør-installerte standardinstillinger for system passord og andre sikkerhetsparametere
Beskyttelse av kortinnehaver-data 03 Beskyttelse av lagrede kortinnehaver-data
04 Kryptering av overføring av kortholder-data på tvers av åpne, offentlige nettverk
Drift av et Vulnerability Management Program 05 Bruk og jevnlig oppdatering av antivirus-programvare på alle systemer som vanligvis berøres av malware
06 Utvikling og vedlikehold av sikre systemer og applikasjoner
Implementering
av sikker tilgangskontroll
07 Begrensing av tilgang til kortinnehaver-data til hva bedriften trenger å vite
08 Tildeling av unike IDer til alle personer med PC-tilgang
09 Fysisk begrensning av tilgang til kortinnehaverdata
Regelmessig overvåking/testing av nettverket 10 Sporing og overvåking av all tilgang til nettverksressurser og kortinnehaver-data
11 Regelmessig testing av sikkerhetssystemer og prosesser
Opprettholdelse
av vedvarende informasjons-sikkerhetsrutiner
12 Opprettholdelse av en praksis som tar vare på informasjonssikkerheten

Sertifisering ved egenerklæring

Ved hjelp av en egenerklæring, oppbygget for systematisk gjennomgang av brukernes systemer, kan den enkelte nettbutikk kan selv gjennomgå sine systemer og kontrollere om de oppfyller PCI-kravene. De forhold som eventuelt ikke er kompatible vil bli avslørt og kan rettes opp, før egenerklæringen endelig fylles ut og undertegnes.

Egenerklæringsskjemaene også kalt SAQ (Self-Assessment Questionnaire) finner du på adressen:

https://www.pcisecuritystandards.org/saq/instructions_dss.shtml

Dersom du har en Hosted løsning skal du benytte SAQ skjema A.

Dersom du har en Ikke-hosted løsning skal du benytte SAQ skjema D.

Requirements and Security Assessment Procedures

Til hjelp i prosessen med å tilpasse seg PCI-standarden, er det utviklet et dokument som kan lastes ned:

PCI DSS Requirements and Security Assessment Procedures

Dokumentet er et verktøy som er fundert på de tolv PCI DSS-kravene, og forbinder disse med korresponderende test-prosedyrer. Dokumentet er beregnet for teknisk sakkyndige som skal hjelpe nettbutikker å oppnå konformitet med PCI-standarden, og/eller verifisere at denne blir vedvarende opprettholdt.


Litteratur

Det er allerede utgitt en del litteratur om PCI DSS, som kan være til god hjelp. En del av denne litteraturen er skrevet på et mindre formelt og teknisk språk enn det som er benyttet i dokumentene fra PCI Security Standards Council.

PCI Compliance for Dummies · Gratis e-Book!

Ved å klikke på bildet til høyre kan du gratis laste ned PCI Compliance for Dummies fra Qualys®.

Denne boken kan være et godt utgangspunkt for alle som er ferske i sitt kjenskap til PCI-standarden - særlig for dem som ikke har mye kunnskaper om nettverk fra før. Hovedpunkter i innholdet er:

· What PCI is all about
· The twelve requirements of the PCI standard
· How to comply with PCI
· Ten best practices for PCI compliance

VM for Dummies · Gratis e-Book!

Ved å klikke på bildet til høyre kan du gratis laste ned Vulnerability Management for Dummies fra Qualys®.

Denne boken er en quick-guide til forståelse av hvordan du kan beskytte nettverket ditt med VM - fra å avdekke sikkerhets-trusler, til å peke ut en løsning som hjelper deg med raskt å oppdage og rette opp svakheter.

· Why organizations need VM
· Options for VMd
· How to get the best VM solution for your business
· A four-step program for VM

Bøker

Vi har plukket ut følgende fire bøker om PCI-standarden som har fått gode omtaler. Ved å klikke på bildene, får du mer informasjon, og kan bestille dem på Amazon.com.

PCI Compliance: Understand and Implement Effective PCI Data Security Standard Compliance

Payment Card Industry Data Security Standard Handbook

Achieving PCI Compliance: Understanding And Complying With The Data Security Standard For Merchant Levels 2, 3 And 4

PCI DSS: A practical guide to implementation

 DIBS 
 Tollpost Globe 
 Bysant 

Ressurser på nettet

Artikkel i engelsk Wikipedia med tittel Payment Card Industry Data Security Standard, som gir en oversikt over PCI DSS.
Blogg med artikler om PCI-standarden.
Nettsted med nyheter og ressurser knyttet til PCI DSS-problematikken.