Hantering av kreditkortsuppgifter
Kraven på säkerhet i betaltransaktioner ökar hela tiden i takt med användning och attacker på lösningar för betalkort. Brottslighet som t.ex. skimming, att någon via datorn stjäl ens kortnummer och säljer det på Internet, blir allt vanligare. Samma sak gäller för andra bedrägerier med kreditkort, något som förstås kostar stora pengar.
PCI DSS
Säkerhetsstandarden som kreditkortsföretagen har ställt upp heter PCI DSS. PCI står för Payment Card Industry och DSS för Data Security Standard. Standarden innehåller krav på alla organisationer som hanterar kredit- eller betalkortsuppgifter.
Standarden är gemensam för de största kortsföretagen Visa, Master Card, American Express, Discovery och JCB.
PCI DSS omfattar krav inom följande områden:
1. Brandvägg och segmentering
2. Säkerhetskonfigurationer
3. Kryptering av kortdata vid lagring
4. Kryptering av kortdata vid kommunikation
5. Antivirusprogramvara
6. Säkerhet i systemutveckling
7. Åtkomst till kortdata, loggning
8. Användarkonton och lösenord
9. Fysisk åtkomst och övervakning
10. Övervakning av nät och system
11. Sårbarhetsskanning
12. Informationssäkerhetspolicy
Vilka behöver PCI-DSS granskning
Alla organisationer som hanterar kortdata måste följa PCI-DSS. Kraven gäller handlare, service providers, betalningsförmedlare och banker, och ibland även leverantörer till dessa, t ex en driftsorganisation som sköter drift och backup av system som hanterar kortdata.
Har man fler än ett visst antal transaktioner behöver man dessutom anlita en revisor, en så kallad Qualified Security Assessor, QSA. För de flesta företag ligger denna gräns på miljontals transaktioner per år. För företag med hög risk i sin korthantering, såsom betalningar över Internet, är gränsen så låg som 20 000 transaktioner årligen.
Europoints Revisionsprocess
Europoints erbjudande
Europoint kan erbjuda revision av att företaget uppfyller PCI DSS.
Förutom revision kan vi också erbjuda:
· Rådgivning kring uppfyllande av PCI DSS
· Gap-analyser
· Föreslå tekniska lösningar
· Leda projekt för anpassning av processer eller lösningar enligt PCI DSS.
Kontakta oss gärna för att diskutera hur vi kan hjälpa just er!
Genomförande
En revision föregås ofta av en översiktlig genomgång av företagets hantering av kortuppgifter, både kring den tekniska lösningen och de rutiner och den dokumentation som krävs. Detta görs både för att klara ut vilka system som omfattas av kraven och för att få tillfälle att diskutera runt eventuella förändringar som kan, eller bör genomföras innan själva revisionen påbörjas.
Genomförandet omfattar både intervjuer av personal, granskning av dokumentation, teknisk verifiering samt skanning och test.
Certifikat
Om ni blir godkända kommer vi leverera ett certifikat samt ni kommer få erhålla digitala versioner av den så ni kan publisera denna på t.ex. er webplats.
Revisorer
Europoint har ett antal QSA godkända revisorer och kan revidera och godkänna lösningar för företag som berörs av PCI DSS. Vi får genomföra revisioner inom hela Europa.
|
