PCI - Kortaöryggi

Öryggi kortaupplýsinga

Í takt við þróun í upplýsingatækni eru sölu- og viðskiptamannakerfi sölu- og þjónustuaðila orðin þróaðri og innihalda meiri upplýsingar en áður. Þar af leiðandi eru kerfin orðin hugsanleg „skotmörk“ tölvuþrjóta. Í ljósi þessa er nauðsynlegt fyrir öll fyrirtæki, sem meðhöndla upplýsingar um viðskiptavini í sínum kerfum, að setja öryggismál í forgang.

Til að sporna við hættu á misnotkun á kortaupplýsingum hafa alþjóðlegu kortafyrirtækin VISA og Mastercard komið sér upp öryggisstaðli: PCI DSS – Payment Card Industry Data Security Standard. Staðallinn fjallar m.a. um vinnslu, geymslu, aðgengi og eyðingu kortaupplýsinga hjá þeim sölu- og þjónustuaðilum sem meðhöndla kortaupplýsingar. Töluvert miklar kröfur eru gerðar í staðlinum til þeirra aðila sem meðhöndla þessar upplýsingar en hagræðið fyrir söluaðila er ótvírætt.

Ávinningur og hagræði fyrir söluaðila af því að innleiða PCI DSS öryggisstaðalinn felst í að:

• Vernda upplýsingar um viðskiptavini sína
• Tryggja orðspor fyrirtækisins
• Auka tiltrú viðskiptavina á að upplýsingar um þá séu geymdar á öruggan máta
• Forðast fjárhagslegan kostnað sem fylgir stuldi á upplýsingum
• Auka vitund um að kerfi og ferlar séu í lagi

Hverjir þurfa að uppfylla PCI DSS staðalinn?

Allir söluaðilar sem meðhöndla kortaupplýsingar þurfa að uppfylla PCI öryggisstaðalinn.

Þeir söluaðilar, sem taka við fleiri en 20.000 færslum vegna netviðskipta (e-commerce) og/eða heildarfærslur söluaðilans fara yfir eina milljón á ári, þurfa að svara spurningalista (sjálfsmati) og semja við viðurkenndan skönnunaraðila um skönnun á netöryggi (Network Scan) a.m.k. fjórum sinnum á ári.

Ef heildarfjöldi færslna fer yfir 6 milljónir á ári þarf  söluaðili einnig að semja við viðurkenndan úttektaraðila (PCI Qualified Security Assessor (QSA) um úttekt.

Öllum öðrum söluaðilum er ráðlagt að kynna sér PCI staðalinn, svara spurningarlistanum og láta framkvæma skönnun á netöryggi a.m.k. fjórum sinnum á ári.

Nánari upplýsingar um staðalinn er hægt að nálgast hér.

Verkefnið Kortaöryggi

Fjölgreiðslumiðlun hf. (FGM), sem sér m.a. um rekstur sameiginlegrar greiðslurásar (RÁS-kerfið) fyrir greiðslukortaviðskipti á Íslandi, hefur verið falið það hlutverk að aðstoða söluaðila sem þurfa að innleiða PCI DSS staðalinn hjá sér. Nánari upplýsingar má finna á síðunni www.kortaoryggi.is sem sett hefur verið upp í tengslum við þetta verkefni.