PCI standards

nets-secure-card-transactions.jpg

PCI-standarden

De internasjonale kortselskapene har satt opp noen sikkerhetsstandarder som gjelder i forbindelse med alle kortbetalinger. Du er som mottaker av betalingskort selv ansvarlig for at din forretning lever opp til sikkerhetskravene

Hva betyr PCI DSS?

PCI DSS står for Payment Card Industry-Data Security Standard. Standarden omhandler regler for det miljø (terminal/betalingsløsning/systemer/netværk) som din forretning og evt. deres service provider/processor behandler og oppbevarer kortdata i.

Standarden med de 12 kravene gjelder alle

Alle som håndterer kortdata skal overholde de 12 krav, som sikkerhetsstandarden PCI DSS består av. For at din forretning skal kunne overholde kravene, skal terminalerne og/eller betalingsløsningen være sertifisert, PA DSS og PCI PTS (PIN Transaction Security) godkjent.

PCI-DSS 12 sikkerhetskrav

Payment Card Industry Data Security Standard (PCI DSS) beskriver de krav som skal oppfylles av forretning som sender, behandler eller oppbevarer kortdata. Standarden gjelder for Visa, Mastercard, American Express, Diners, Discover, og JCB.

PCI standarden inneholder 12 krav som skal overholdes av alle forretninger som håndterer kortdata

Ha et sikkert nettverk

Krav 1: Sikre at din virksomhet installerer og vedlikeholder en brannmur som beskytter deres kortdata Krav 2: Påse at det ikke benyttes standardinnstillinger til systempassord og andre sikkerhetsparametre

Beskytt deres kortdata

Krav 3: Beskytt deres kortdata Krav 4: Krypter kortdata som sendes over åpne offentlige nettverk Håndter sårbarheter med faste prosedyrer

Krav 5: Benytt antivirus-programvare og oppdater den jevnlig Krav 6: Påse at dere løpende utvikler og vedlikeholder sikkerhet i systemer og applikasjoner

Implementer en sterk adgangskontroll

Krav 7: Begrens adgangen til kortdata i forhold til forretningsbehovet slik at færrest mulig kan få adgang til dem Krav 8: hver bruker av deres nettverk skal ha en unik ID Krav 9: færrest mulig skal ha fysisk adgang til kortdata

Overvåk og test deres nettverk løpende

Krav 10: Overvåk all adgang til deres nettverk og kortdata Krav 11: Test av sikkerhetssystemer og prosesser skal foretas jevning

Oppretthold en sikkerhetspolitikk

Krav 12: Opprettholde en stram sikkerhetspolitikk Du finner mere informasjon om kravene i PCI DSS på følgende sider

PCI Security Standards Council

Mastercard

Visa

Du skal beskytte og kryptere kortdata

Betalingskortdata skal kun finnes få steder og skal være godt sikret. Hvis du har adgang til kortnumre skal du alltid beskytte og kryptere disse. I perioden du oppbevarer kortholders navn og utløpsdato, skal disse data beskyttes. Oppbevar kun de nødvendige kortdata og slett dem igjen så snart du ikke lenger skal bruke dem. Vi anbefaler at du ikke oppbevarer kortnumre på noe tidspunkt.

Krav til dokumentasjon for overholdelse av PCI DSS reglene

Dokumentasjon - forretninger

Alle som har berøring med kortdata skal overholde PCI DSS kravene. Men det er forskjellige krav til hvordan du som forretning skal dokumentere at din forretning lever opp til sikkerhetsstandarden.

Avhengig av omsetningen, skal din forretning på ulike vis dokumentere at den lever opp til PCI DSS kravene. Du vil bli kontaktet av Nets hvis din forretning når nivå 1, 2 eller 3.

De forskjellige nivåer og regler for dokumentasjon

Forretninger med mer enn 6 mill. transaksjoner årlig (nivå 1) Du skal foreta en årlig revisjon og lage en Report of Complicance (ROC), utført av en ekstern Qualified Security Assessor (QSA) eller en Internal Security Assessor (ISA), samt kvartalsmessige nettverksskanninger utført av en Approved Scanning Vendor (ASV).

Hvis du ikke har adgang til kortdata, skal du fylle ut et PCI DSS-spørreskjema årlig. Det skal fylles ut av en ISA eller en QSA.
Forretninger med mellom 1 og 6 mill. transaksjoner årlig (nivå 2) Du skal årlig fylle ut et PCI DSS-spørreskjema, og det skal fylles ut av ISA eller en ekstern QSA. Hvis du har adgang til kortdata, skal du også foreta netverksskanning en gang i kvartalet av en ASV.

Internetforretninger med 20.000 - 1 mill. transaktioner årlig (nivå 3) Du skal årlig fylle ut et PCI DSS-spørreskjema. Hvis du har adgang til kortdata, skal du også foreta en netverksskanning en gang i kvartalet av en ASV.

Alle øvrige forretninger (nivå 4) Hvis du har adgang til kortdata skal du årlig fylle ut et spørreskjema og gjennomføre en nettverksskanning. Nets anbefaler for alle at det hvert år gjennomføres en netverksskanning og fylles ut et PCI DSS-spørreskjema.

Liste over Qualified Security Assessors (QSA) - virksomheter som er sertifisert til å utføre revisjoner av systemer som skal overholde PCI-DSS kravene.

Liste over Approved Scanning Vendors (ASV) - virksomheter som er godkjent til å skanne IT-systemer

PCI-spørreskjema (SAQ) til selvevaluering

Et self-assessment questionnaire (SAQ) er det spørreskjema du skal fylle ut. Det er 5 versjoner, og du skal fylle ut det som passer til ditt systemoppsett:

SAQ A - 13 spørsmål (internettforretninger med en hostet løsning) SAQ B – 29 spørsmål (fysisk handel uten internettforbindelse) SAQ C – 91 spørsmål (fysisk handel med internettforbindelse) SAQ C-VT 60 spørsmål (forretning med internettbaserede virtuelle terminaler) SAQ D – 298 spørsmål (alle forretninger som ikke er dekket av et av de andre spørreskjemaer. Primært forretninger med adgang til kortdata) Les mer om spørreskjemaet til selvevaluering

Data du aldri må lagre

Uansett om du krypterer og beskytter data, må du aldri oppbevare magnetstripeinnhold, kontrollsifre (CVV/CVC) eller pin etter at autorisasjon av betalingen er gjennomført.

Netthandel

Nets oppfordrer alle brukersteder som aksepterer kortbetaling via nettbutikk å kontrollere med leverandøren av betalingsløsningen at det benyttes en «hosted» betalingsløsning. Det innebærer at dine kunder videreføres til et betalingsvindu hos leverandøren av betalingsløsningen når kortdata skal tastes inn, noe som betyr at ditt brukersted ikke kommer i kontakt med kortdata.

MOTO (Post- og telefonordre):

Som nevnt ovenfor, er det viktig at alle brukersteder sikrer at antivirusprogrammer er oppdaterte. I tillegg er det særskilt viktig for brukersteder som aksepterer kortbetaling via telefon, å kontrollere at den virtuelle betalingsløsningen er installert på korrekt måte. Videre kontrollere at datamaskinen som den virtuelle betalingsløsningen er installert på, er beskyttet og adskilt fra øvrige nettverk.

Mer informasjon om datasikkerhet og PCI DSS

Dersom du har spørsmål, vennligst kontakt oss på epost: ms-compliance@nets.eu