Publisert: 21.09.2009 · Sist oppdatert: 02.10.2009
Payment Card Industry Data Security Standards

Payment Card Industry Data Security Standards (PCI DSS) er en ny standard utviklet av de store kredittkortselskapene i fellesskap, for å hjelpe brukersteder med å beskytte kortkunde-konti, forhindre kredittkortsvindel, datainnbrudd og andre sikkerhetsbrudd.
Av Morgan G. Lindstrøm
Samsvar med PCI-standarden er påkrevd fra og med 1. oktober, for alle brukersteder som lagrer, behandler eller overfører informasjon om kortholdere. Alle ehandelsaktører må derfor benytte en PCI-sertifisert tjenestetilbyder eller bevise sitt eget samsvar med PCI DSS.
Vanligvis skilles det mellom to ulike ehandelsløsninger:
Hosted løsning |
•
|
All kortinformasjon lagres, behandles og overføres i et miljø hos en PSP som er PCI DSS sertifisert |
•
|
Brukerstedet håndterer ikke kortinformasjon | |
Ikke hosted løsning |
•
|
Kortinformasjon lagres, behandles og overføres hos brukerstedet eller annen part |
•
|
Benevnes ofte som API løsning |
PCI-standardens konformitetskrav
Den gjeldene versjonen av PCI-standarden (v1.2) er nedfelt i 12 konformitets-krav, kalt «kontrollpunkter» (control objectives). Disse er inndelt i 6, logisk relaterte grupper:
Bygging og vedlikehold av et sikkert nettverk | 01 | Installasjon og vedlikehold av brannmurkonfigurasjon for å beskytte kortinnehaverdata |
02 | Utskifting av leverandør-installerte standardinstillinger for system passord og andre sikkerhetsparametere | |
Beskyttelse av kortinnehaver-data | 03 | Beskyttelse av lagrede kortinnehaver-data |
04 | Kryptering av overføring av kortholder-data på tvers av åpne, offentlige nettverk | |
Drift av et Vulnerability Management Program | 05 | Bruk og jevnlig oppdatering av antivirus-programvare på alle systemer som vanligvis berøres av malware |
06 | Utvikling og vedlikehold av sikre systemer og applikasjoner | |
Implementering av sikker tilgangskontroll |
07 | Begrensing av tilgang til kortinnehaver-data til hva bedriften trenger å vite |
08 | Tildeling av unike IDer til alle personer med PC-tilgang | |
09 | Fysisk begrensning av tilgang til kortinnehaverdata | |
Regelmessig overvåking/testing av nettverket | 10 | Sporing og overvåking av all tilgang til nettverksressurser og kortinnehaver-data |
11 | Regelmessig testing av sikkerhetssystemer og prosesser | |
Opprettholdelse av vedvarende informasjons-sikkerhetsrutiner |
12 | Opprettholdelse av en praksis som tar vare på informasjonssikkerheten |
Sertifisering ved egenerklæring
Ved hjelp av en egenerklæring, oppbygget for systematisk gjennomgang av brukernes systemer, kan den enkelte nettbutikk kan selv gjennomgå sine systemer og kontrollere om de oppfyller PCI-kravene. De forhold som eventuelt ikke er kompatible vil bli avslørt og kan rettes opp, før egenerklæringen endelig fylles ut og undertegnes.
Egenerklæringsskjemaene også kalt SAQ (Self-Assessment Questionnaire) finner du på adressen:
https://www.pcisecuritystandards.org/saq/instructions_dss.shtml
Dersom du har en Hosted løsning skal du benytte SAQ skjema A.
Dersom du har en Ikke-hosted løsning skal du benytte SAQ skjema D.
Requirements and Security Assessment Procedures
Til hjelp i prosessen med å tilpasse seg PCI-standarden, er det utviklet et dokument som kan lastes ned:
PCI DSS Requirements and Security Assessment Procedures
Dokumentet er et verktøy som er fundert på de tolv PCI DSS-kravene, og forbinder disse med korresponderende test-prosedyrer. Dokumentet er beregnet for teknisk sakkyndige som skal hjelpe nettbutikker å oppnå konformitet med PCI-standarden, og/eller verifisere at denne blir vedvarende opprettholdt.
Litteratur

Det er allerede utgitt en del litteratur om PCI DSS, som kan være til god hjelp. En del av denne litteraturen er skrevet på et mindre formelt og teknisk språk enn det som er benyttet i dokumentene fra PCI Security Standards Council.
PCI Compliance for Dummies · Gratis e-Book!
Ved å klikke på bildet til høyre kan du gratis laste ned PCI Compliance for Dummies fra Qualys®.
Denne boken kan være et godt utgangspunkt for alle som er ferske i sitt kjenskap til PCI-standarden - særlig for dem som ikke har mye kunnskaper om nettverk fra før. Hovedpunkter i innholdet er:
· What PCI is all about
· The twelve requirements of the PCI standard
· How to comply with PCI
· Ten best practices for PCI compliance
VM for Dummies · Gratis e-Book!

Ved å klikke på bildet til høyre kan du gratis laste ned Vulnerability Management for Dummies fra Qualys®.
Denne boken er en quick-guide til forståelse av hvordan du kan beskytte nettverket ditt med VM - fra å avdekke sikkerhets-trusler, til å peke ut en løsning som hjelper deg med raskt å oppdage og rette opp svakheter.
· Why organizations need VM
· Options for VMd
· How to get the best VM solution for your business
· A four-step program for VM
Bøker
Vi har plukket ut følgende fire bøker om PCI-standarden som har fått gode omtaler. Ved å klikke på bildene, får du mer informasjon, og kan bestille dem på Amazon.com.
PCI Compliance: Understand and Implement Effective PCI Data Security Standard Compliance
Payment Card Industry Data Security Standard Handbook
Achieving PCI Compliance: Understanding And Complying With The Data Security Standard For Merchant Levels 2, 3 And 4
PCI DSS: A practical guide to implementation
Ressurser på nettet
© NNO 2009