Hva er PCI DSS?

Hvis du er i bransjen for kortbetaling, har du sannsynligvis hørt om PCI DSS. PCI DSS står for Payment Card Industry Data Security Standard og er en standard for informasjonssikkerhet som gjelder for alle selskaper som behandler, lagrer eller overfører kortdata – uavhengig av størrelse eller antall transaksjoner.

Vi har listet opp noen viktige spørsmål og svar du trenger å vite om å overholde PCI DSS-standarden.

Hva er PCI DSS?

Payment Card Industry Data Security Standard (PCI DSS) er en internasjonal standard for informasjonssikkerhet. Den har som mål å beskytte kortbetalinger og redusere kortsvindel. PCI DSS er en felles standard som er utviklet og driftet av Visa Inc., MasterCard, American Express, Discover og JCB.

Hvorfor ble PCI DSS opprettet?

PCI Security Standard er tekniske og driftsmessige krav som er besluttet av PCI Security Standard Council (PCI SSC) for å beskytte kortdata. PCI DSS har som mål å minimere håndteringen av kortdata og annen sensitiv informasjon, for eksempel kortnummer (PAN), brikkedata, PIN-kode, CVC osv. Hensikten er å redusere faren for at kortdata havner i feil hender og fører til svindel, negativ innvirkning på varemerket og negativ innvirkning på kundene våre.

Hva dekkes av PCI DSS?

Alle selskaper som håndterer kortdata, det vil si lagrer, behandler og formidler kortdata, må overholde kravene i PCI DSS.

Hvorfor er det så viktig å overholde kravene i PCI DSS?

Ved å etterkomme kravene i PCI DSS, har man gjort sitt beste for å holde kundenes data og opplysninger beskyttet og sikre, og for å unngå uredelig bruk av opplysningene.

Hva blir konsekvensene for selskaper som ikke oppfyller kravene?

Hvis vi som kortutsteder ikke overholder standarden, kan vi bli pålagt å betale bøter.

Hva er kravene i PCI DSS?

PCI DSS dekker seks hovedmål som er delt inn i 12 kravområder. Disse har deretter blitt delt inn i cirka 250 detaljerte krav som må oppfylles før man kan bli PCI DSS-kompatibel.

Bygge og opprettholde et sikkert nettverk

  1. Installere og opprettholde en brannmurkonfigurasjon for å beskytte kortdata
  2. Ikke bruke standardinnstillinger fra leverandører for systempassord og andre sikkerhetsparametre

Beskytte kortdata

  1. Beskytte lagrede kortdata
  2. Kryptere overføringen av kortdata som sendes over åpne, offentlige nettverk

Håndtere sårbarhet med et program for sikkerhet

  1. Bruke og oppdatere antivirusprogramvare eller programmer regelmessig
  2. Utvikle og vedlikeholde sikkerheten av systemer og applikasjoner

Gjennomføre streng kontroll av innsyn

  1. Begrense adgangen til kortdata i forhold til forretningsbehovet
  2. Tilordne en unik ID til hver bruker med datamaskintilgang
  3. Begrense den fysiske adgangen til kortdata

Overvåke og teste nettverk regelmessig

  1. Spore og overvåke all adgang til nettverksressurser og kortdata
  2. Teste sikkerhetssystemer og prosesser regelmessig

Opprettholde en informasjonssikkerhetspolicy

  1. Opprettholde en policy som løser problemer med informasjonssikkerheten for ansatte og leverandører