F-Secure Payment Card Industry Data Security

Efterlever ditt företag PCI DSS? Om inte så hjälper vi dig.

F-Secure´s experter på PCI DSS kan hjälpa till med:

  • Revisioner enligt PCI DSS-regelverket, vilka genomförs av våra ackrediterade revisorer (Qualified Security Assessor, QSA).
  • Att förstå hur din organisation behöver anpassa verksamheten efter PCI DSS, exempelvis vid förvärv eller introduktion av nya affärsområden, samarbeten eller tjänster.
  • Att analysera befintlig miljö för att minimera risken för böter och annan skada vid ett potentiellt dataintrång.
  • Rådgivning för att uppnå eller upprätthålla efterlevnad av PCI DSS, inklusive rådgivning vid val av tjänsteleverantörer.
  • Implementering av nödvändiga kontroller.
  • Stöd vid pågående förbättringsarbete och renodling av infrastrukturen.

F-Secure är en nordisk leverantör av tjänster relaterade till PCI DSS. Vi hjälper våra kunder både inför och under resan mot en PCI-certifiering. Vi har ett starkt team av revisorer (Qualified Security Assessor - QSA) och har i mer än ett decennium arbetat med de största leverantörerna av betaltjänster. Vi fokuserar på långa relationer och kontinuerligt samarbete med våra kunder för att optimera våra gemensamma insatser.

Vad är PCI DSS?

Payment Card Industry Data Security Standard (PCI DSS) är ett gemensamt regelverk som tagits fram av de stora betalkortsföretagen (VISA, MasterCard, American Express, m.fl.) för att förbättra säkerheten för betalkort Regelverket är en del av en större serie PCI-standarder skapade för att täcka alla säkerhetsaspekter när det gäller behandling av kreditkortsuppgifter, som exempelvis hårdvara, kommunikationsinfrastruktur och applikationer.

Vilka omfattas av PCI DSS kraven?

PCI DSS omfattar alla parter som behandlar betalkort, det vill säga betalningsförmedlare, leverantörer, e-handlare m.m. Även aktörer som hanterar kort rent fysiskt så som terminal-, programvaru-, och närverksleverantörer omfattas. Regelverket gäller således alla parter som lagrar, bearbetar eller skickar betalkortsdata (CHD) och / eller känslig autentiseringsdata (SAD).

Betalkortsdata och känslig autentiseringsdata definieras enligt följande:

Betalkortsdata (CHD) innefattar:

  • Primärt kontonummer (PAN)
  • Kortinnehavarens namn
  • Utgångsdatum
  • Servicekod

Känslig autentiseringsdata (SAD) innefattar:

  • Fullständig spårinformation (Data från magnetremsa eller chip)
  • CAV2/CVC2/CVV2/CID
  • PIN/PIN-block

PCI DSS-kraven gäller för organisationer där kontouppgifter lagras, behandlas eller överförs. Vissa PCI DSS-krav kan även tillämpas på organisationer som har lagt ut sin hantering av betalningar eller managering av ”Cardholder Data Enviorment” på en tredjepartsleverantör. Organisationer som har outsourcat detta är till exempel fortfarande ansvariga för att säkerställa att kontouppgifter skyddas av tredje part enligt PCI DSS-kraven.

Vad som kan upplevas som krångligt är att alla krav inte är tillämpliga för alla organisationer, och att kraven för bedömningen av efterlevnad varierar beroende på ett antal faktorer som bestäms av kreditkortsföretagen. För att veta krav som gäller dig kan du läsa här eller ta hjälp av en av våra revisorer (QSA, Qualified Security Assessor)

Vilka säkerhetskrav ställer PCI DSS?

PCI Data Security Standard – Övergripande krav

Säkerhet i nätverk och system 1. Installation och underhåll av brandvägg för att skydda kortinnehavarens uppgifter.
2. Använd inte förvalda leverantörsinställningar för systemlösenord och andra säkerhetsparametrar.
Skydda kortuppgifter och data 3. Kortinnehavarens information ska skyddas.
4. Kryptera kortinnehavarens uppgifter som överförs över öppna, offentliga nätverk.
Skydd mot sårbarheter 5. Uppdatera antivirusprogram regelbundet för att skydda dina system mot skadlig programvara.
6. Utveckla och underhåll säkra system och applikationer.
Behörighetskontroll 7. Begränsa systeminformationen till endast de som behöver tillgång till data.
8. Identifiera och autentisera åtkomst till systemkomponenter.
9. Begränsa fysisk tillgång till kortinnehavares data.
Regelbundna tester och övervakning 10. Spåra och övervaka all åtkomst till nätverksresurser och kortinnehavares data.
11. Testa säkerhetssystem och processer regelbundet.
Upprätthåll policy för informationssäkerhet 12. Upprätthåll en policy som adresserar informationssäkerhet för all personal.

Kontrollkraven i PCI DSS liknar de krav som finns i NIST CSF, CIS, COBIT 5, ISA 62443, ISO / IEC 2700X och NIST SP 800-53, och det finns kartläggningar av skillnaderna mellan de olika standarderna. I allmänhet är det möjligt att visa på efterlevnad av PCI DSS med hjälp av ett redan etablerat ramverk för säkerhetshantering som grund. Istället för att börja om arbetet enligt PCI DSS kan vi hjälpa er att kartlägga vilka områden som behöver kompletteras, och hur efterlevnaden ska presenteras och rapporteras enligt PCI DSS.

Vad händer vid en överträdelse mot PCI DSS?

Att följa efterlevnaden av PCI DSS är ett kontinuerligt arbete under hela året. Det räcker inte endast att följa regelverket vid vissa kontrolltidpunkter, utan en organisation måste exempelvis genomföra dagliga analyser av loggar, kvartalsvis plocka bort användare som slutat, samt årligen genomföra penetrationstester. Detta kan outsourcas till en tredjepartsleverantör, men du kan dock inte outsourca risken. Vid en överträdelse av regelverket, eller om du eller din tredjepartsleverantör råkar ut för ett dataintrång som läcker kortuppgifter, kan konsekvenserna bland annat vara:

Månatliga straffavgifter                                                                                           

Om du inte följer PCI DSS standarden kan du få böter från 50 000 till 1 000 000 SEK per månad av kreditkortsföretagen. Straffavgiften beror på kundvolym, transaktionsvolym, vilken nivå av PCI DSS företaget är på och under hur lång tid företaget inte följt standarden. Ett Level 1-företag som inte uppfyllt kraven under sju månader kan få en bot på en miljon svenska kronor per månad.

Överträdelsekonsekvenser

Om ditt företag har drabbats av ett dataintrång där kortuppgifter har läckt kan det påverka ditt företag på flera sätt. Kortföretagen kan kräva mellan 500 och 900 SEK per kortinnehavare vars uppgifter har hotats, företagets rykte kan ta allvarlig skada, och stora kostnader kan uppstå för forensiska utredningar och eventuell rättsprocess. 

Kontakta oss

Ring oss eller fyll i formuläret nedan så kontaktar en expert dig snarast.

Jimmy Hesselberg 
Cyber ​​Security Advisor F-Secure

jimmy.hesselberg@f-secure.com
+46 (0) 70 757 30 15

Vi behandlar de personuppgifter som du delar med oss ​​i enlighet med vår integritetspolicy för företag.

Accreditations & Certificates

F-Secure Consulting (F-Secure Cyber Security (Pty) Ltd) is a level 4 contributor to B-BBEE with a procurement recognition level of 100%. Learn more and download our B-BBEE certificate. Click here to read the press release.

Follow us
@fsecure_consult F-Secure-Consulting f-secure-foundry fsecurelabs