PCI DSS

Efterlev kraven och
undvik kraftiga böter
Bakgrund

PCI DSS?

PCI DSS är en akronym för Payment Card Industry Data Security Standard och är ett vedertaget regelverk som syftar till att stärka säkerheten kring kredit- och betalkortsanvändning. Bakom standarden står de fyra stora kreditkortsföretagen, Mastercard, Visa, Discover och American Express. Målet är att underlätta för företag att göra processen för kortbetalningar säkrare, samt minska risken för kortbedrägerier.

Hur påverkas er organisation av PCI DSS?

Regelverket omfattar alla parter som på något sätt kommer i kontakt med kortnummer, det kan vara allt från e-handlare till betalningsförmedlare och andra leverantörer. Beroende på vilken roll man har i kedjan och hur många transaktioner man hanterar så kan kraven inom PCI DSS variera.

Inom PCI DSS finns 12 övergripande krav som sedan bryts ned i ytterligare krav som organisationer måste efterleva. De 12 övergripande kraven är:

  1. Installera och upprätthåll en brandväggskonfiguration för att skydda betalkortsdata
  2. Använd inte default-inställningar för gällande lösenord och andra säkerhetsparametrar till system
  3. Skydda lagrad betalkortsdata
  4. Kryptera överföringen av betalkortsdata över öppna publika nätverk
  5. Använd och uppdatera regelbundet antivirus-programvara
  6. Utveckla och upprätthåll säkra system och applikationer
  7. Begränsa accesser till betalkortsdata enligt business need-to-know
  8. Tilldela varje person som har tillgång till dator ett unikt ID
  9. Begränsa fysisk tillgång till betalkortsdata
  10. Spåra och övervaka all tillgång till nätverksresurser och betalkortsdata
  11. Testa säkerhetssystem och processer regelbundet
  12. Upprätthåll en policy som adresserar informationssäkerhet

Organisationer som hanterar kortdata är frekventa mål för cyberkriminella eftersom den typen av uppgifter lätt kan utnyttjas eller säljas vidare på obskyra marknadsplatser på nätet.

Vad händer om man bryter mot PCI DSS

Genom att efterleva kraven i PCI DSS säkerställer man att ens organisation har gjort allt man kunnat för att hålla kortdata säkrad. Om kortuppgifter stjäls via ett intrång och organisationen inte är compliant med PCI DSS så väntar kraftiga böter. Om organisationen ej har efterlevt kraven får man själv stå ansvarig för att intrånget kunnat ske och förutom böter kan man få stå för andra kostnader, som exempelvis ersättningar till drabbade kunder.

Ifall en organisation grovt misskött sig har PCI möjligheten att förbjuda organisationen från att överhuvudtaget erbjuda köp via kort. Något som skulle vara ett straff som skulle vara otroligt smärtsamt för de flesta organisationer.

Relaterade tjänster som ni kan läsa mer om nedan:

  • PCI DSS Audit
  • SIEM & Log Management
  • Penetrationstest
  • Intrusion Detection
  • SDLC
PCI DSS Audit
pci dss audit

Vi är PCI QSA!

Som ackrediterade revisorer (PCI QSA) kan Sentor genomföra granskningar av organisationers efterlevnad till kraven i PCI DSS.

Vi kan bistå med hjälp med alla aspekter, från rådgivning och hjälp att införa kontroller, till själva PCI-certifieringen.

Läs mer
Vill du komma i kontakt med oss?
SIEM & Log Management

Efterlev kraven gällande logghantering

PCI DSS ställer krav på att man spårar och övervakar all tillgång till nätverksresurser och kortdata. Med Sentors lösningar SIEM & Log Management kan ni se vem som varit inloggad i ett system vid en specifik tidpunkt, och hur de kommit åt datan. Det går även att centralisera loggar och korrelera informationen med andra data.
Läs mer
pci_dss_siem
Penetrationstest
pci_dss_pentest

Penetrationstester är ett måste

PCI har tagit fram riktlinjer för hur penetrationstest ska utföras enligt PCI DSS. Genom att utföra säkerhetstester kan man säkerställa att man efterlever krav 2, 6, 8 och 11 i standarden.

Med ett team av tekniska säkerhetsexperter hjälper Sentor organisationer att skydda kortdata.

Läs mer
Intrusion Detection

Intrångsdetektion 24/7 behövs för att upptäcka attacker

PCI DSS ställer krav på installering och upprätthållande av en brandväggskonfiguration och intrångsdetektion.

Med Sentors tjänst NetworkSentry kan ni uppfylla dessa krav och skydda er mot angripare och skadlig kod 24/7.

Läs mer
pci_dss_ids
SDLC
pci_dss_sdlc

Utveckla applikationer på ett säkert sätt

Enligt sjätte kravet krävs det också att applikationer utvecklas enligt en beprövad utvecklingsmetodik. Sentor kan hjälpa er att integrera säkerhet som en naturlig del av utvecklingsarbetet med metodiken Secure Development Life-Cycle (SDLC).

Läs mer
Vill du komma i kontakt med oss?