PCI standards

    PCI-standarden

    De internasjonale kortselskapene har satt opp noen sikkerhetsstandarder som gjelder i forbindelse med alle kortbetalinger. Du er som mottaker av betalingskort selv ansvarlig for at din forretning lever opp til sikkerhetskravene

    Hva betyr PCI DSS?

    PCI DSS står for Payment Card Industry-Data Security Standard. Standarden omhandler regler for det miljø (terminal/betalingsløsning/systemer/netværk) som din forretning og evt. deres service provider/processor behandler og oppbevarer kortdata i.

    Standarden med de 12 kravene gjelder alle

    Alle som håndterer kortdata skal overholde de 12 krav, som sikkerhetsstandarden PCI DSS består av. For at din forretning skal kunne overholde kravene, skal terminalerne og/eller betalingsløsningen være sertifisert, PA DSS og PCI PTS (PIN Transaction Security) godkjent.

    PCI-DSS 12 sikkerhetskrav

    Payment Card Industry Data Security Standard (PCI DSS) beskriver de krav som skal oppfylles av forretning som sender, behandler eller oppbevarer kortdata. Standarden gjelder for Visa, Mastercard, American Express, Diners, Discover, og JCB.

    PCI standarden inneholder 12 krav som skal overholdes av alle forretninger som håndterer kortdata

    Ha et sikkert nettverk

    Krav 1: Sikre at din virksomhet installerer og vedlikeholder en brannmur som beskytter deres kortdata Krav 2: Påse at det ikke benyttes standardinnstillinger til systempassord og andre sikkerhetsparametre

    Beskytt deres kortdata

    Krav 3: Beskytt deres kortdata Krav 4: Krypter kortdata som sendes over åpne offentlige nettverk Håndter sårbarheter med faste prosedyrer

    Krav 5: Benytt antivirus-programvare og oppdater den jevnlig Krav 6: Påse at dere løpende utvikler og vedlikeholder sikkerhet i systemer og applikasjoner

    Implementer en sterk adgangskontroll

    Krav 7: Begrens adgangen til kortdata i forhold til forretningsbehovet slik at færrest mulig kan få adgang til dem Krav 8: hver bruker av deres nettverk skal ha en unik ID Krav 9: færrest mulig skal ha fysisk adgang til kortdata

    Overvåk og test deres nettverk løpende

    Krav 10: Overvåk all adgang til deres nettverk og kortdata Krav 11: Test av sikkerhetssystemer og prosesser skal foretas jevning

    Oppretthold en sikkerhetspolitikk

    Krav 12: Opprettholde en stram sikkerhetspolitikk Du finner mere informasjon om kravene i PCI DSS på følgende sider

    PCI Security Standards Council

    Mastercard

    Visa

    Du skal beskytte og kryptere kortdata

    Betalingskortdata skal kun finnes få steder og skal være godt sikret. Hvis du har adgang til kortnumre skal du alltid beskytte og kryptere disse. I perioden du oppbevarer kortholders navn og utløpsdato, skal disse data beskyttes. Oppbevar kun de nødvendige kortdata og slett dem igjen så snart du ikke lenger skal bruke dem. Vi anbefaler at du ikke oppbevarer kortnumre på noe tidspunkt.

    Krav til dokumentasjon for overholdelse av PCI DSS reglene

    Dokumentasjon - forretninger

    Alle som har berøring med kortdata skal overholde PCI DSS kravene. Men det er forskjellige krav til hvordan du som forretning skal dokumentere at din forretning lever opp til sikkerhetsstandarden.

    Avhengig av omsetningen, skal din forretning på ulike vis dokumentere at den lever opp til PCI DSS kravene. Du vil bli kontaktet av Nets hvis din forretning når nivå 1, 2 eller 3.

    De forskjellige nivåer og regler for dokumentasjon

    Forretninger med mer enn 6 mill. transaksjoner årlig (nivå 1) Du skal foreta en årlig revisjon og lage en Report of Complicance (ROC), utført av en ekstern Qualified Security Assessor (QSA) eller en Internal Security Assessor (ISA), samt kvartalsmessige nettverksskanninger utført av en Approved Scanning Vendor (ASV).

    Hvis du ikke har adgang til kortdata, skal du fylle ut et PCI DSS-spørreskjema årlig. Det skal fylles ut av en ISA eller en QSA.
    Forretninger med mellom 1 og 6 mill. transaksjoner årlig (nivå 2) Du skal årlig fylle ut et PCI DSS-spørreskjema, og det skal fylles ut av ISA eller en ekstern QSA. Hvis du har adgang til kortdata, skal du også foreta netverksskanning en gang i kvartalet av en ASV.

    Internetforretninger med 20.000 - 1 mill. transaktioner årlig (nivå 3) Du skal årlig fylle ut et PCI DSS-spørreskjema. Hvis du har adgang til kortdata, skal du også foreta en netverksskanning en gang i kvartalet av en ASV.

    Alle øvrige forretninger (nivå 4) Hvis du har adgang til kortdata skal du årlig fylle ut et spørreskjema og gjennomføre en nettverksskanning. Nets anbefaler for alle at det hvert år gjennomføres en netverksskanning og fylles ut et PCI DSS-spørreskjema.

    Liste over Qualified Security Assessors (QSA) - virksomheter som er sertifisert til å utføre revisjoner av systemer som skal overholde PCI-DSS kravene.

    Liste over Approved Scanning Vendors (ASV) - virksomheter som er godkjent til å skanne IT-systemer

    PCI-spørreskjema (SAQ) til selvevaluering

    Et self-assessment questionnaire (SAQ) er det spørreskjema du skal fylle ut. Det er 5 versjoner, og du skal fylle ut det som passer til ditt systemoppsett:

    SAQ A - 13 spørsmål (internettforretninger med en hostet løsning) SAQ B – 29 spørsmål (fysisk handel uten internettforbindelse) SAQ C – 91 spørsmål (fysisk handel med internettforbindelse) SAQ C-VT 60 spørsmål (forretning med internettbaserede virtuelle terminaler) SAQ D – 298 spørsmål (alle forretninger som ikke er dekket av et av de andre spørreskjemaer. Primært forretninger med adgang til kortdata) Les mer om spørreskjemaet til selvevaluering

    Data du aldri må lagre

    Uansett om du krypterer og beskytter data, må du aldri oppbevare magnetstripeinnhold, kontrollsifre (CVV/CVC) eller pin etter at autorisasjon av betalingen er gjennomført.

    Netthandel

    Nets oppfordrer alle brukersteder som aksepterer kortbetaling via nettbutikk å kontrollere med leverandøren av betalingsløsningen at det benyttes en «hosted» betalingsløsning. Det innebærer at dine kunder videreføres til et betalingsvindu hos leverandøren av betalingsløsningen når kortdata skal tastes inn, noe som betyr at ditt brukersted ikke kommer i kontakt med kortdata.

    MOTO (Post- og telefonordre):

    Som nevnt ovenfor, er det viktig at alle brukersteder sikrer at antivirusprogrammer er oppdaterte. I tillegg er det særskilt viktig for brukersteder som aksepterer kortbetaling via telefon, å kontrollere at den virtuelle betalingsløsningen er installert på korrekt måte. Videre kontrollere at datamaskinen som den virtuelle betalingsløsningen er installert på, er beskyttet og adskilt fra øvrige nettverk.

    Mer informasjon om datasikkerhet og PCI DSS

    Dersom du har spørsmål, vennligst kontakt oss på epost: ms-compliance@nets.eu