Compliance • Artikel

De viktigaste begreppen inom PCI DSS

Eftersom det kan vara omständigt att på egen hand söka fram förklaringar till alla begrepp inom PCI DSS, har vi på Sentor tagit fram en överlevnadsguide. Guiden börjar med de centrala begreppen för PCI DSS, för att sedan gå in mer på roller och rena tekniska termer.

Vi hoppas att guiden nedan ska vara er till hjälp i ert arbete att nå en certifiering inom PCI DSS. Ifall ni önskar rådgivning och stöttning på vägen är det bara att kontakta oss - vi hjälper gärna till.

Grundläggande begrepp

BetyderInnebär
AoCAttestation of ComplianceAoC är en förkortad redogörelse för vad handlare eller SP är granskade och godkända gällande. Skrivs av QSA och kan lämnas till andra organisationer som ett bevis på vad de är godkända för.
PA-DSSPayment Application Data Security StandardAnnan standard inom PCI som adresserar betalapplikationer (i PED eller PoS)
PCI DSSPayment Card Industry Data Security StandardDet regelverk som företag kontrolleras mot. 400 krav och 1200+ kontrollpunkter, även om det är ovanligt att handlare kontrolleras mot samtliga punkter.
RoCReport on ComplainceRapport som, i detalj beskriver resultatet av PCI DSS granskningen. Enormt dokument där tomma mallen är på 252 sidor och färdiga resultatet ofta är på 400+ sidor. Fylls i av QSA, lämnas till inlösande bank.
SAQSelf Assessment QuestionaireSAQer är självdeklarationer baserade på de olika sorters betalflöden som finns. SAQer är riktat mot mindre organisationer. En SAQ får man som handlare av sin inlösande bank.

Roller i PCI DSS

BetyderInnebär
Acquiring BankInlösande bankBank som har förhållandet mellan handlare och inlösen av kundernas betalkort
ASVApproved Scanning VendorFöretag som är godkända av PCI SSC för att genomföra externa sårbarhetsscanningar.
BrandsVisa, MasterCard, American Express, JCB och DinersDe varumärken som skapade och styr PCI SSC. Deras roll är även att utkräva böter vid ev. incidenter eller när företag inte uppnår full efterlevnad
IssuerUtgivareDen organisation som ger ut korten – kan vara en bank.
MerchantHandlareHandlare tar emot betalkort från något av varumärkena, Kan ha han en kombination av kortflöden i butiker, e-handel, restauranger etc.
PSPPayment Service ProviderEn SP som tar emot trafiken från Merchant. Kan ofta ha andra tjänster så som lagring av PAN för att underlätta konverteringsgrad vid köp i e-handel.
QSAQualified Security AssessorEn QSA är godkänd av PCI SSC att genomföra PCI DSS på-plats granskningar. Måste arbeta för ett QSA-företag, genomgå årlig certifiering och ha separat ansvarsförsäkring för PCI.
SPService ProviderFöretag som är direkt inblandade i hantering, lagring eller kommunikation av andras kortdata. Om en SP har en egen AoC så avlastar de handlarens krav. Om SP saknar AoC som omfattas de av handlarens granskning. SP måste inte bara leva upp till sina handlares krav – utan även skydda kortdata mellan olika handlare. Exempel på SP-tjänster på är drift av datahall, nätverk eller brandväggar.
SSCSecurity Standards CouncilOrganisationen som äger PCI DSS och PA DSS. SCC underhåller, utvecklar, styr, hanteringar utbildning för standarderna.

Tekniska termer i PCI DSS

BetyderInnebär
CCCompensating ControlsKompenserande kontroller är ett begrepp som används när en handlare inte kan leva upp till kravet så som det är utformat. Det kan vara av lagliga, tekniska eller affärsskäl. Man kan då istället införa en CC som:
•Möter upp syftet och nivån av kravet i PCI DSS
•Ger samma nivå av skydd som kravet i PCI DSS
•Ska vara “above and beyond” andra krav
•Kompensera för den extra risk som uppstår när man inte lever upp till kravet i PCI DSS
CDECardholder Data EnvironmentCDE omfattar personal, processer och den teknologi som lagrar, hanterar och sänder CHD eller SAD. Omfattningen av CDE bestämmer hur omfattande granskningen kommer att bli.
CHDCard Holder DataSom minst innehåller CDH ett omaskat PAN. Följande ingår i CHD: PAN, Innehavarens namn, service kod samt utgångsdatum. Även SAD räknas som CHD, men dessa får inte lagras.
P2PEPoint to Point EncryptionSAQ för PED där godkänd utrustning inte kan läcka information. Minskar scopet drastiskt. PCI listar godkända produkter, så även Pan Nordic Card Assciation.
PANPrimary Account NumberUnikt betalkortnummer utgivet med varumärket och utgivarens loggor, kortet kan vara fysiskt eller virtuellt.
PEDPin Entry DeviceDen enhet där du matar in din PIN-kod.
PINPersonal Identification NumberPIN-koden till kortet, den hemlighet som endast användaren känner till för att styrka sin identifiering med kortet. PIN-kod är naturlig i Sverige, men kontroversiellt i andra länder där det som regelana används bara till bankomater.
PoSPoint of SaleKassa på svenska. Hård- och mjukvara som används för att processa betalningar hos handlaren.
SADSensitive Authentication DataDelmängd av PAN som innehåller extra känslig information. SAD får inte lagras efter att köp är genomfört.
•Hela innehållet från magnetkortet/Chip
•CVV2
•PIN kod eller PIN-block
SSLSecure Sockets LayerStandard för kryptering mellan webbläsare och server för att säkra sekretess och siktighet. Inte längre vad PCI DSS kallar “Strong Encryption”.
TLSTransport Layer SecuritySkapad med målet att ge sekretess och riktighet mellan två applikationer genom en krypterad tunnel. Efterträdare till SSL. Tidigare version av TLS kan inte längre ses “Strong Encryption” enligt PCI DSS.

Vill du veta mer om PCI DSS?

Vi är PCI QSA, vilket betyder att vi ackrediterade revisorer inom PCI DSS. Är du osäker ifall ditt företag behöver göra en audit? Hör av dig!

Kontakta oss

Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.

Ta kontroll över din säkerhet

Boka kostnadsfri rådgivning

I samråd med dig pratar vi om din organisations säkerhetsutmaningar och diskuterar hur vi på Sentor kan hjälpa dig att uppnå dina mål. Om du hellre vill bli kontaktad, ange dina uppgifter i kontaktformuläret.