PCI DSS: Alt dere trenger å vite for å følge de nye reglene

PCI DSS er et sett sikkerhetsregler som ble utarbeidet av Payment Card Industry Security Standards Council (PCI SSC) allerede i 2004. PCI SSC omfatter de store kortnettverkene (Visa, Mastercard, American Express, Discover og JCB).

PCI DSS består av 12 tekniske og operative krav som PCI SSC utarbeidet for å beskytte kortinnehavernes opplysninger under en transaksjon, samtidig som man ville minimere risikoen for datainnbrudd og svindel. Regelverket har også andre fordeler, som:

• Bygg og oppretthold sikre nettverk og systemer

• Beskytt kontoopplysninger

• Oppretthold et program for å avdekke sårbarheter i systemet

• Innfør robuste prosesser for å ha kontroll på tilgangen til systemene

• Regelmessig overvåking og test av nettverk

• Oppretthold en policy for å håndtere informasjon på en sikker måte

Det finnes andre regelverk for å beskytte kortinnehaverens data, men PCI DSS er det hovedsakelige og obligatoriske regelverket for forhandlere som behandler kreditt- og debetkort.

PCI DSS-kravene gjelder:

• Bedrifter som gjennomfører transaksjoner med kreditt- eller debetkort.

• Bedrifter som samler inn, lagrer og overfører kortopplysninger eller sensitive data i forbindelse med autentisering.

*Kortinnehaverens data omfatter fullstendige primary account numbers (PAN) samt kortinnehaverens navn, utløpsdato og sikkerhetskode (CVC eller CVV).

*Sensitiv autentiseringsdata viser til sikkerhetsrelatert informasjon som brukes til å verifisere kortinnehaveren og godkjenne betalinger med kortet.

Dette innebærer at alle parter som er involvert i behandlingen av en betaling (f.eks. forhandleren, betalingstjenesteleverandøren, kortinnløsere, kortutstedende bank og andre leverandører av tjenester) må følge PCI DSS.

Å oppfylle kravene til PCI DSS-regeletterlevelse handler først og fremst om å følge en omfattende sikkerhetsstandard som ble utarbeidet for å beskytte kortinnehaverens data og sørge for sikre transaksjoner.

Det finnes tolv krav som alle organisasjoner som følger PCI DSS-regelverket må etterleve:

1. Installere og opprettholde en brannmur for å beskytte kortinnehaverens data

2. Ikke bruke leverandørenes standardpassord i systemer og andre sikkerhetsparametere

3. Beskytte data som er lagret om kortinnehaveren

4. Kryptere overføringen av kortinnehaverens data i åpne nettverk

5. Beskytte alle systemer mot skadelig programvare og oppdatere antivirusprogrammer regelmessig

6. Utvikle og opprettholde sikre systemer og applikasjoner

7. Begrense tilgangen til kortinnehaverens data ut fra behov

8. Identifisere og autentisere tilgang til systemkomponenter

9. Begrense fysisk tilgang til kortinnehaverens data

10. Spore og overvåke all tilgang til nettverksressurser og kortinnehaverens data

11. Teste sikkerhetssystemer og prosesser regelmessig

12. Opprettholde en policy som ivaretar informasjonssikkerheten for alt personale

For å leve opp til PCI DSS-regelverket må bedriftene følge disse kravene og validere regeletterlevelsen ved å fylle ut korrekt PCI DSS-dokumentasjon hvert år.

Bedriftene kan enten påta seg fullt ansvar for å vurdere og etterleve kravene for PCI DSS, eller samarbeide med en betalingstjenesteleverandør som minimerer deres eget arbeid med regelverket.

Å følge PCI DSS handler i første rekke om å leve opp til bransjens krav, men også om å beskytte virksomheten og bygge tillit hos kundene. Det gir flere fordeler for organisasjonen:

Økt sikkerhet

PCI DSS hjelper bedriftene med å beskytte kortinnehaverens data, redusere svindel og minimere sjansen for datainnbrudd.

Lavere kostnader

Bedrifter som ikke følger PCI DSS, risikerer alvorlige straffer og straffegebyrer fra kortnettverk og kortutstedende banker.

Tillit til varemerket

PCI DSS er et regelverk som har blitt en gyllen standard innen betalingsbransjen. Bedrifter som følger regelverket, styrker omdømmet og tilliten hos banker og kunder fordi de kan føle seg trygge på at bedriften tar ansvar for dataen deres.

Bedrifter som ikke følger PCI DSS, kan bli rammet av alvorlige konsekvenser. Dersom regelverket ikke blir fulgt, settes sensitive kortdata i risikosonen for datainnbrudd, noe som kan føre til tap av tillit for varemerket og høye straffegebyrer.

Bedriftene må forsikre seg om at de oppfyller de fastsatte PCI-kravene. Hvis man ikke følger disse etablerte kravene, risikerer man å måtte betale gebyrer på mellom 50 000 og 5 millioner kroner, avhengig av hvor alvorlige feil som blir avdekket.

Adyen forenkler etterlevelsen av PCI DSS-regelverket ved å tilby sikre integrasjoner som minimerer den administrative byrden ved regeletterlevelse, samtidig som vi sørger for sikre transaksjoner for alle parter. Løsningene våre håndterer de fleste kravene innenfor rammen av PCI DSS for dere, slik at dere kan fokusere på vekst i stedet for behandling av sensitiv data.

Hvordan Adyens viktigste integrasjoner reduserer arbeidet med PCI DSS:

• Drop-in/Components/plugins: Disse ferdige integrasjonene kan behandle betalinger sikkert via Adyens servere, slik at dere slipper å lagre eller behandle sensitiv kortdata.

• Pay by Link: Send sikre betalingslenker via e-post eller chattefunksjoner, slik at kunden kan avslutte en betaling via en sikker, Adyen-hostet løsning. På denne måten slipper systemene deres å håndtere sensitiv kortdata.

• Hostet checkout: Adyens justerbare, sikre betalingsside kan håndtere og lagre all kortdata innenfor Adyens infrastruktur, noe som minimerer PCI DSS-ansvaret for dere.

• In-person payments (IPP): Adyen tilbyr sikre, fullstendig krypterte kortterminaler som sikrer at all kortdata behandles i henhold til regelverket, noe som minimerer deres ansvar for transaksjoner i fysisk miljø.

Med disse integrasjonene kan bedriftene gjennomføre sikre betalinger uten uønsket kompleksitet når det gjelder behandling og lagring av kortinnehaverens data, noe som minimerer bedriftens eget arbeid med PCI DSS.

Omfattende dokumentasjon og kontinuerlig support

I tillegg til sikre integrasjoner tilbyr Adyen ressurser for å hjelpe bedriftene med å forstå og opprettholde PCI DSS-etterlevelsen. Vår PCI DSS Compliance Guide beskriver viktige krav og beste praksis, samtidig som den holder dere oppdatert på kontinuerlig endrede industristandarder og sikkerhetsoppdateringer.