PCI DSS

Efterlev kraven och
undvik kraftiga böter
Översikt

Så hjälper vi er att efterleva PCI DSS

PCI DSS är en akronym för Payment Card Industry Data Security Standard och är ett vedertaget regelverk som syftar till att stärka säkerheten kring kredit- och betalkortsanvändning. Bakom standarden står de fyra stora kreditkortsföretagen, Mastercard, Visa, Discover och American Express. Målet är att underlätta för företag att göra processen för kortbetalningar säkrare, samt minska risken för kortbedrägerier.

Hur påverkas er organisation av PCI DSS?

Alla företag som behandlar kortuppgifter omfattas av PCI DSS och ställs i regel inför samma krav. Däremot skiljer sig kraven på rapportering och revision beroende på vilken roll man har i kedjan och hur många transaktioner företaget hanterar. Oftast går gränsen gå vid en miljon transaktioner per år. Hanterar företaget färre än en miljon transaktioner kan de vanligtvis göra en så kallad self-assessment, men över det så brukar inlösaren kräva en extern revisor (QSA).

Vilka säkerhetskrav ställer PCI DSS?

Inom PCI DSS finns 12 övergripande krav som sedan bryts ned i ytterligare krav som organisationer måste efterleva för att vara compliant. De 12 övergripande kraven är att organisationen ska:

  1. Installera och upprätthålla en brandväggskonfiguration för att skydda betalkortsdata
  2. Byta ut default-inställningar för gällande lösenord och andra säkerhetsparametrar till system om sådana finns
  3. Skydda lagrad betalkortsdata
  4. Kryptera överföringen av betalkortsdata över öppna publika nätverk
  5. Använda och uppdatera regelbundet antivirus-programvara
  6. Utveckla och upprätthålla säkra system och applikationer
  7. Begränsa accesser till betalkortsdata enligt business need-to-know
  8. Tilldela varje person som har tillgång till dator ett unikt ID
  9. Begränsa fysisk tillgång till betalkortsdata
  10. Spåra och övervaka all tillgång till nätverksresurser och betalkortsdata
  11. Testa säkerhetssystem och processer regelbundet
  12. Upprätthålla en policy som adresserar informationssäkerhet

Vad händer vid överträdelser mot PCI DSS?

Företag som omfattas av PCI DSS måste alltid vara compliant, och inte bara vid revision. Det innebär en hel del regelbundna actions, såsom daglig analys av loggarna, att kvartalsvis försäkra sig om att användare som slutat är bortplockade ur systemet, och årliga pentester. Mycket av detta går att outsourca till tredjepartsleverantörer, men man kan aldrig outsourca risken. Outsourcingpartnerns incident blir din incident, och därför är det viktigt att noggrant säkerhetsgranska sina tredjepartsleverantörer.

Skulle företaget i fråga, eller outsourcingpartnern, utsättas för ett intrång där kortuppgifter stjäls och organisationen inte efterlever PCI DSS kan konsekvenserna bli allvarliga. Utöver kraftiga böter kan företaget även bli återbetalningsskyldiga till drabbade kunder, och i värsta fall bli av med rätten att ta emot kortbetalningar.

Så kan Sentor hjälpa till

PCI DSS syftar till att säkerställa att organisationer som som behandlar kortdata har gjort allt de kunnat för att hålla den säkrad genom kontinuerligt och riskbaserat och arbete. Sentor erbjuder en rad tjänster som hjälper din organisation att uppfylla de de 12 kraven, så som:

Rådgivning och audits

Vi hjälper kunder både inför och under resan mot PCI-certifiering – från rådgivning och hjälp att införa kontroller, till själva certifieringen. Hos nya kunder genomför vi en GAP-analys för att se hur väl kunden svarar mot de tolv övergripande kraven i standarden och för att i förlängningen kunna definiera omfattningen för varje del i PCI DSS-projektet.

När det sedan är dags för revision måste den godkännas av en ackrediterad revisor. I egenskap av Qualified Security Assessor (QSA), kan vi på Sentor utföra PCI DSS Audits, förutsatt att ni inte har använt någon av våra andra tjänster.

Läs mer!

 

Säkerhet i system och applikationer

PCI DSS kräver att organisationen testar sina säkerhetssystem och processer regelbundet. Om organisationen hanterar betalkortsdata ställer PCI DSS exempelvis krav på kvartalsvisa sårbarhetsscanningar och årliga externa pentester.

Våra pentestare letar efter sårbarheter i nätverk och applikationer, men även på fysiska anläggningar vid behov. Vi utför även så kallad CDP – Continuous Delivery Pentesting. Tjänsten bygger på en kombination av externa och interna sårbarhetsscanningar, manuella och semiautomatiserade pentester, samt publika och icke-publika källor av Threat Intelligence.

Läs mer!

 

Nätverksövervakning och loggning

För att efterleva PCI DSS krävs daglig logganalys. Från vårt Security Operation Center (SOC) övervakas, analyseras och hanteras aktiviteter och incidenter av våra säkerhetsanalytiker dygnet runt. På så sätt efterlever organisationen kraven om att spåra och övervaka all tillgång till nätverksresurser och betalkortsdata dygnet runt, året runt.

Vi kan även hjälpa till med andra förebyggande åtgärder, till exempel att ta fram incidenthanteringsplaner, policys och rutiner och utbilda personal så att de vet hur de ska agera vid ett tecken på en incident. Skulle olyckan inträffa ändå har vi ett dedikerat incidenthanteringsteam som kan rycka ut med alla kompetenser som behövs för ledning av incidenthanteringsarbetet, forensisk utredning och avhjälpande åtgärder.

Läs mer!

Prenumerera på nyhetsbrevet

Som prenumerant på nyhetsbrevet får du ta del av nyheter, guider och utbildande innehåll ungefär 1-2 gånger i månaden.


Sentor kommer lagra dina angivna personuppgifter för att tillgodose ditt berättigade intresse. Du kan när som helst återkalla ditt samtycke och avsluta prenumerationen. För mer information, läs vår integritetspolicy.

Whitepapers

Sentor har tagit fram flera whitepapers som berör informationssäkerhet och compliance.

NIS-direktivet
GDPR och outsourcing
ISO 27001
Mer läsning!

Case studies

Vi har två kundcase där kunderna beskriver om sina utmaningar och hur Sentor har varit hjälp.

GDPR - Insplanet
ISO 27001 - TeamEngine
Mer läsning!

Debattinlägg i Sydsvenskan

Svenska organisationer måste ta ansvar för sin säkerhet. Det krävs inte minst nu när NIS-direktivet börjar gälla i EU, skriver Krister Hedfors.
Läs mer! (extern länk)

Vill du komma i kontakt med oss?