F-Secure Payment Card Industry Data Security

Overholder din virksomhed PCI DSS? Hvis ikke, kan vi hjælpe dig.

F-Secures eksperter inden for PCI DSS kan hjælpe med:

  • Audits i overensstemmelse med PCI DSS-reglerne, som udføres af vores akkrediterede auditors (Qualified Security Assessor, QSA).
  • At forstå, hvordan din organisation har brug for at tilpasse operationer til PCI DSS, for eksempel når de erhverver eller introducerer nye forretningsområder, samarbejder eller tjenester.
  • At analysere det eksisterende miljø for at minimere risikoen for bøder og anden skade i tilfælde af et potentielt databrud.
  • Rådgivning til at opnå eller opretholde overholdelse af PCI DSS, herunder rådgivning om valg af tjenesteudbydere.
  • Implementering af nødvendige kontroller.
  • Støtte til igangværende forbedringer og renovering af infrastrukturen.

F-Secure er en nordisk leverandør af services relateret til PCI DSS. Vi hjælper vores kunder både før og under rejsen til en PCI-certificering. Vi har et stærkt team af auditors (Qualified Security Assessor - QSA) og har i mere end et årti arbejdet med de største udbydere af betalingstjenester. Vi fokuserer på langsigtede relationer og løbende samarbejde med vores kunder for at optimere vores fælles indsats.

Hvad er PCI DSS?

Payment Card Industry Data Security Standard (PCI DSS) er et almindeligt sæt regler udviklet af de store betalingskortselskaber (VISA, MasterCard, American Express osv.) for at forbedre sikkerheden på betalingskort. Reglerne er en del af en større serie PCI-kort. standarder blev oprettet for at dække alle sikkerhedsaspekter ved behandling af kreditkortoplysninger, såsom hardware, kommunikationsinfrastruktur og applikationer.

Hvem er omfattet af PCI DSS-kravene?

PCI DSS omfatter alle parter, der behandler betalingskort, dvs. betalingsformidlere, leverandører, e-handlende osv. Aktører, der håndterer fysiske kort, såsom terminal-, software- og netværksudbydere, er også omfattet. Reglerne gælder således for alle parter, der gemmer, behandler eller sender betalingskortdata (CHD) og/eller følsomme godkendelsesdata (SAD).

Betalingskortdata og følsomme autorisationsdata defineres som følger:

Betalingskortdata (CHD) inkluderer:

  • Primært kontonummer (PAN)
  • Kortholderens navn
  • Udløbsdato
  • Servicekode

Følsomme autorisationsdata (SAD) inkluderer:

  • Komplet sporingsinformation (data fra magnetstrimmel eller chip)
  • CAV2 / CVC2 / CVV2 / CID
  • PIN / PIN-blok

PCI DSS-krav gælder for organisationer, hvor kontooplysninger lagres, behandles eller overføres. Nogle PCI DSS-krav kan også gælde for organisationer, der har outsourcet deres håndtering af betalinger eller styring af ”Cardholder Data Environment” til en tredjepartsleverandør. For eksempel er organisationer, der har outsourcet dette, stadig ansvarlige for at sikre, at kontooplysninger beskyttes af tredjeparter i overensstemmelse med PCI DSS-kravene.

Hvad der kan opfattes som besværligt, er at ikke alle krav gælder for alle organisationer, og at kravene til vurdering af overholdelse varierer afhængigt af et antal faktorer, der er bestemt af kreditkortselskaberne. For at kende kravene, der gælder for dig, kan du læse mere her eller få hjælp fra en af vores revisorer (QSA, Qualified Security Assessor).

Hvilke sikkerhedskrav stiller PCI DSS?

PCI Data Security Standard – Overordnede krav

Netværks- og systemsikkerhed

1. Installation og vedligeholdelse af firewall for at beskytte kortholderoplysninger.

2. Brug ikke standardindstillinger til systemadgangskoder og andre sikkerhedsparametre.

Beskyt kortoplysninger og data

3. Kortholderens oplysninger skal beskyttes.

4. Krypter kortholderdata transmitteret over åbne offentlige netværk.

Beskyt mod sårbarheder

5. Opdater dit antivirussoftware regelmæssigt for at beskytte dine systemer mod ondsindet software.

6. Udvikle og vedligehold sikre systemer og applikationer.

Autorisationskontrol

7. Begræns systemoplysninger til dem, der kun har brug for adgang til data.

8. Identificer og godkend adgang til systemkomponenter.

9. Begræns fysisk adgang til kortholderdata.

Regelmæssig test og overvågning

10. Spor og overvåg al adgang til netværksressourcer og kortholderdata.

11. Test regelmæssigt sikkerhedssystemer og processer.

Oprethold informationssikkerhedspolitik 12. Oprethold en politik, der adresserer informationssikkerhed for alt personale.

Kontrolkravene i PCI DSS svarer til kravene i NIST CSF, CIS, COBIT 5, ISA 62443, ISO/IEC 2700X og NIST SP 800-53, og der er undersøgelser af forskellene mellem de forskellige standarder. Generelt er det muligt at demonstrere overholdelse af PCI DSS ved hjælp af en allerede etableret ramme for sikkerhedsstyring som grundlag. I stedet for at starte forfra i henhold til PCI DSS, kan vi hjælpe dig med at identificere, hvilke områder der skal suppleres, og hvordan overensstemmelse skal præsenteres og rapporteres i henhold til PCI DSS.

Hvad sker der i tilfælde af en PCI DSS-overtrædelse?

Overvågning af overholdelse af PCI DSS er et kontinuerligt arbejde gennem året. Det er ikke kun tilstrækkeligt at følge reglerne på bestemte kontroltider, men en organisation skal f.eks. foretage daglige analyser af logfiler, kvartalsvis fjerne brugere, der er stoppet, og udføre penetrationstest hvert år. Dette kan outsources til en tredjepartsudbyder, men du kan ikke outsource risikoen. I tilfælde af overtrædelse af reglerne, eller hvis du eller din tredjepartsudbyder støder på et databrud, der lækker kortoplysninger, kan konsekvenserne bl.a. omfatte bøder fra kreditkortselskaberne. Bøderne afhænger af kundevolumen, transaktionsvolumen, hvilket niveau af PCI DSS virksomheden er, og hvor længe virksomheden ikke har overholdt standarden. Endvidere kan virksomhedens omdømme blive alvorligt beskadiget, og der kan opstå store omkostninger til retslig efterforskning og mulige retssager.

Kontakt os

Vores delivery team er dedikeret til at hjælpe dig med at finde de rigtige konsulenter og de rigtige services til netop din organisation.

Ring til os eller brug formularen, så bliver du kontaktet snarest.

Stefán Kristjánsson
Head of Consulting Sales, SE & DK

stefan.kristjansson@f-secure.com
+45 22249355

Vi behandler de personlige data, du deler med os, i overensstemmelse med vores fortrolighedspolitik for virksomheder.

Accreditations & Certificates

F-Secure Consulting (F-Secure Cyber Security (Pty) Ltd) is a level 4 contributor to B-BBEE with a procurement recognition level of 100%. Learn more and download our B-BBEE certificate. Click here to read the press release.

Follow us
@fsecure_consult F-Secure-Consulting f-secure-foundry fsecurelabs