PCI kortaöryggi

PCI kortaöryggi – Bæklingur

Í takt við þróun í upplýsingatækni eru sölu- og viðskiptamannakerfi sölu- og þjónustuaðila orðin þróaðri og innihalda meiri upplýsingar en áður. Þar af leiðandi eru kerfin orðin hugsanleg „skotmörk“ tölvuþrjóta. Í ljósi þessa er nauðsynlegt fyrir öll fyrirtæki, sem meðhöndla upplýsingar um viðskiptavini í sínum kerfum, að setja öryggismál í forgang.

Til að sporna við hættu á misnotkun á kortaupplýsingum hafa alþjóðlegu kortafyrirtækin VISA og Mastercard komið sér upp öryggisstaðli: PCI DSS – Payment Card Industry Data Security Standard. Staðallinn fjallar m.a. um vinnslu, geymslu, aðgengi og eyðingu kortaupplýsinga hjá þeim sölu- og þjónustuaðilum sem meðhöndla kortaupplýsingar. Töluvert miklar kröfur eru gerðar í staðlinum til þeirra aðila sem meðhöndla þessar upplýsingar en hagræðið fyrir söluaðila er ótvírætt.
Ávinningur og hagræði fyrir söluaðila af því að innleiða PCI DSS öryggisstaðalinn felst í að:

  • Vernda upplýsingar um viðskiptavini sína
  • Tryggja orðspor fyrirtækisins
  • Auka tiltrú viðskiptavina á að upplýsingar um þá séu geymdar á öruggan máta
  • Forðast fjárhagslegan kostnað sem fylgir stuldi á upplýsingum
  • Auka vitund um að kerfi og ferlar séu í lagi

Hverjir þurfa að uppfylla PCI DSS staðalinn?

Allir söluaðilar sem meðhöndla kortaupplýsingar þurfa að uppfylla PCI öryggisstaðalinn.

Þeir söluaðilar, sem taka við fleiri en 20.000 færslum vegna netviðskipta (e-commerce) og/eða heildarfærslur söluaðilans fara yfir eina milljón á ári, þurfa að svara spurningalista (sjálfsmati) og semja við viðurkenndan skönnunaraðila um skönnun á netöryggi (Network Scan) a.m.k. fjórum sinnum á ári.

Ef heildarfjöldi færslna fer yfir 6 milljónir á ári þarf söluaðili einnig að semja við viðurkenndan úttektaraðila (PCI Qualified Security Assessor (QSA) um úttekt.

Öllum öðrum söluaðilum er ráðlagt að kynna sér PCI staðalinn, svara spurningalistanum og láta framkvæma skönnun á netöryggi a.m.k. fjórum sinnum á ári.

Verkefnið Kortaöryggi

Greiðsluveitan, sem sér m.a. um rekstur sameiginlegrar greiðslurásar (RÁS-kerfið) fyrir greiðslukortaviðskipti á Íslandi, hefur verið falið það hlutverk að aðstoða söluaðila sem þurfa að innleiða PCI DSS staðalinn hjá sér. Nánari upplýsingar má finna á síðunni www.kortaoryggi.is sem sett hefur verið upp í tengslum við þetta verkefni.

Nánari upplýsingar um staðalinn

Eins og fram kemur í viðskiptaskilmálum söluaðila þurfa allir aðilar sem meðhöndla greiðslukortaupplýsingar (taka á móti, geyma, senda) að uppfylla þær öryggiskröfur sem gerðar eru í PCI DSS staðlinum varðandi gagnaöryggi.

PCI DSS er staðall sem þróaður hefur verið af VISA og MasterCard með það að markmiði að draga úr hættu á því óprúttnir aðilar komist yfir greiðslukortaupplýsingar og misnoti þær.

Hér að neðan er lýsing á þeim 12 kröfum sem gerðar eru í PCI DSS staðlinum og er þeim raðað niður í 6 rökrétta og tengda hópa.

Setja á laggirnar og viðhalda öruggu neti

Krafa 1
Setja upp og viðhalda eldvegg til að vernda greiðslukortaupplýsingar.

Krafa 2
Ekki nota sjálfgefin aðgangsorð að kerfinu og aðrar öryggisstillingar frá seljanda.

Vernda greiðslukortaupplýsingar

Krafa 3
Vernda geymdar greiðslukortaupplýsingar.

Krafa 4
Dulkóða sendingar með greiðslukortaupplýsingar um opin, almenn net.

Viðhalda öryggi hugbúnaðar

Krafa 5
Nota og uppfæra reglulega veiruvarnahugbúnað.

Krafa 6
Þróa og viðhalda öruggum kerfum og forritum.

Innleiða stranga aðgangsstýringu

Krafa 7
Takmarka aðgang að greiðslukortaupplýsingum við þá sem nauðsynlega þurfa.

Krafa 8
Úthluta einstöku auðkenni til handa hverjum þeim sem hefur tölvuaðgang.

Krafa 9
Takmarka raunlægan aðgang að greiðslukortaupplýsingum.

Vakta og prófa netkerfið reglulega

Krafa 10
Fylgjast með og hafa eftirlit með öllum aðgangi að netbúnaði og greiðslukortaupplýsingum.

Krafa 11
Prófa reglulega öryggiskerfi og verkferla.

Viðhalda stefnu um upplýsingaöryggi

Krafa 12
Viðhalda stefnu sem tekur á upplýsingaöryggi.