- CIO Sweden:

PCI-DSS - vad är problemet?

Av

Sida 1 / 4
Björn Sjöholm, vd på Europoint
Björn Sjöholm, vd på Europoint
– PCI-regelverket är ganska omfattande. Jag ska inte säga att det är svårt. Men det är omfattande, många saker ska lösas. Att outsourca i den meningen att låta någon annan hantera sina korttransaktioner från sin egen verksamhet är ofta en väldigt bra idé, säger Björn Sjöholm, vd på Europoint, ett av de företag som säljer tjänster inom PCI DSS.

Det finns flera så kallade PSP:er, Payment Service Provider, i Sverige. De tar betalt för att hantera kort och uppfylla alla kraven. För företag som har en en webbtjänst så är det ganska enkelt och tekniken är ganska mogen för att göra det här.

– Du får upp en betalsida, och om du gör det rätt så hanterar din butik inte kort alls och därigenom berörs du inte nästan inte av PCI-DSS-regelverket över huvud taget. Du slipper den kostnden. Men det finns många verksamheter som inte kan göra så. Det är de som behöver hantera kortnumren. De kanske har dem som bokningsbegrepp till hotell eller bokningsnummer på flyget. Då har du problem. Då måste du uppfylla hela det regelverket. Många tror att de måste uppfylla hela regelverket, men de flesta kan bli av med det. Kan du hålla din verksamhet fri från kortnumrena så gör det. Om inte kan det så är det dags att börja uppfylla regelverket, berättar Björn Sjöholm.

Enligt honom kan även vara vanliga butiker bli av med hanteringen av kortdata genom att skicka sina betalströmmar någon annan stans. Även butiker där kunderna betalar genom att dra sitt kort i en terminal kan slippa ha kortnumrena i butiken genom att använda en krypterande kortterminal.

– Då skickas transaktionerna till en av de här PSP-firmorna och det är krypterat hela vägen till PSP:n. Då håller du dig fri. Det finns en hel del krav på att det ska vara en godkänd terminal och att det ska vara krypterat. Men gör du det rätt kan du hålla din verksamhet fri från kortnummer, säger Björn Sjöholm.

En vanlig erfarenhet från företag som infört end-to-end kryptering är att det är görbart men ofta tar mer tid och ork än väntat.

Var PCI kommer från

PCI DSS skapades av kreditkortsföretagen för att minska kortbedrägerierna. Standarden gäller alla organisationer som lagrar, hanterar eller utbyter kontokortsinformation från någon av de kontokortsföretag som står bakom PCI. Visa, Mastercard, American Express, Discover och JCB. Vissa av USA:s delstater har gjort delar av PCI till lag men främst är det ett avtal mellan kortföretagen och handlarna.

Alla goda ting är tre och ska vi vara noggranna så finns det mer än en PCI-regelsamling:

Payment Application Data Security Standard (PA DSS) gäller utvecklare, systemintegratörer och tjänsteleverantörer som säljer programvara för att hantera och betalkort. De flesta kreditkortsföretag kräver att programvaran som används följer PA DSS. Det företag som väljer att använda egenutvecklade program blir alltså själv ansvarig för att de programmen följer PA DSS-standarden. Syftet med PA DSS är att skydda data som finns på betalkortens magnetremsor och chip.

Personal Identification Number (PIN) Transaction Security Requirements, även kallad PTS gäller tillverkare av kortläsare för butiker.Gäller även mjukvaruutvecklare, handlare och företag som processar betalningar. Till exempel måste alltså svenska handlare ha kortläsare som är godkända enligt den här standarden.

PCI DSS (Payment Card Industry Data Security Standard) är huvudstandarden och berör handlare och företag som processar betalningar. Den fokuserar på skyddet av kortdata genom processer, teknik och kontroller. I fortsättningen av artikeln kommer vi att mena PCI DSS när vi skriver PCI.

På svenska IT-avdelningar kopplas PCI-arbetet dessutom gärna ihop med kassaregisterlagen och EMV-reglerna om kortterminaler med chip och PIN. Detta av rent praktiska skäl, ämnena ligger nära varandra och reglerna kommer nära i tiden.

Från och med 1 januari i år gäller version 2.0 av PCI, fram till årsskiftet parallellt med version 1.2 under året.

– Det är ingen stor skillnad mellan 1.2 och 2.0 även om versionsnumren indikerar att det skulle vara det. Den stora skillnaden är en annan cykel i revisionerna av den nya standarden. Den nya PCI-standarden gäller i tre år, vilket är längre än den gamla. Samtidigt har man ensat upp den här giltighetstiden med de andra butiksstandarderna som PCI-PA DSS och PCI PTS, säger Björn Sjöholm.

– En annan förändring i 2.0 är att det är många krav som är förtydligade. Några av dem är i princip, beroende på hur du läser, förenklingar. Andra kan tolkas som att de är hårdare. Inget krav har tillkommit, en hel del krav har delats upp i flera olika, tillägger Björn Sjöholm.

Sida 1 / 4

Innehållsförteckning


Gratis nyhetsbrev -- Nyheter från CIO Sweden i din e-post varje vecka

Whitepaper: Förstå din personal med data


Vi håller just nu på att uppgradera våra kommentarsystem. Mer info om hur du kommenterar och kommer åt dina gamla kommentarer hittar du på vår FAQ: idg.se/faq

Artikelkommentatorerna ansvarar själva för sina inlägg.

OBS! Läs dessa regler som gäller vid postning av inlägg.

Regler för inlägg i artikelforumet

Kommentatorn ansvarar själv för sina inlägg. Inlägg som innehåller diskriminerande uttalanden, personliga påhopp eller språk som kan uppfattas som stötande, kommer att tas bort av tjänstgörande redaktör. Även datorkrigsinlägg och inlägg som är utanför ämnet, kan tas bort.

IDG förbehåller sig dessutom rätten att i varje enskilt fall bedöma huruvida ett inlägg ska tas bort, även om det inte faller under någon av reglerna ovan.

Upprepat postande av olämpliga inlägg kan medföra avstängning från artikelforumen.

Frågor? Mejla till redaktören, carl.grape@idg.se.

Läs mer om vår policy i diskussionsforum

Fakta

Under arbetet med den här artikeln lyssnade vi på många olika människor hade att säga om PCI. Många kunder upplever att PCI-konsulyerna ibland är för rabiata och tolkar reglerna alldeles för bokstavstroget. Ordet fundamentalism har dykt upp. En annan tycker att PCI-cirkusen påminner henne lite om år 2000-buggen. Det vill säga att det finns ett problem, men att lösningen blir så överpolitiserad att den stora behållningen är att det görs en uppstädning av systemen.

Bland konsulterna själva knorras det en del över att vissa kollegor tar granskningen mycket lätt och inte gör ett grundligt arbete.

Både kunder och konsulter upplever också att Sverige generellt sett ligger rätt långt fram vad gäller säkerhet. Att då behöva anpassa sina system till ett omfattande regelverk från kortföretag som själva i vissa fall inte ens infört chip på sina kort. Det känns lite magstarkt.

PCI är en pågående process. Efter att du gått igenom ditt system och hittat alla brister är det dags att åtgärda dem. När du åtgärdat dem ska du rapportera till PCI-konsortiet. Sen är det dags att gå igenom systemet igen. Och så vidare.

Det finns flera böcker som kan ge vägledning i PCI-arbetet.

  • PCI Compliance av Anton Chuvakin och Branden R Williams
  • PCI-DSS – A Practical Guide to Implementation av Steve Wright
  • GFI Network Security and PCI Compliance Power Tools av Brien Posey
  • PCI DSSA Pocket Guide av Alan Calder
  • Den officiella handboken Payment Card Industry Data Security Standard Handbook av Timothy M Virtue
Det är viktigt att välja en utgåva som täcker version 2.0 av PCI-standarden.

En bra guide kallad ”quick reference” finns på PCI-konsortiets webbplats.

IT-säkerhetsföretaget Qualys har även tagit fram en For Dummies-guide som finns som PDF

Senaste nytt


Fler nyheter från CIO Sweden

- CIO Sweden:

Fredrik Runnquist

Sex tips för smartare riskhantering


- CIO Sweden:

BYOD och wearables innebär nya säkerhetsutmaningar


- CIO Sweden:

Webb-tv: CIO Awards på Berns


- CIO Sweden:

”Äntligen är det
människans tid”


- CIO Sweden:

Så firar CIO:erna jul


- CIO Sweden:

Elisabeth Hoeflich, CIO på Continental: "Hur mycket styrning behöver it?"


- CIO Sweden:

Ddos-attacker ej en prioriterad fråga hos företag

Belastningsattacker ej en prioriterad säkerhetsfråga


- CIO Sweden:

5 stora säkerhetstrender under 2015

5 stora it-säkerhetstrender 2015


- CIO Sweden:

I vimlet på CIO Awards


- CIO Sweden:

Mobiloperatören låter kunderna spara surftid


- CIO Sweden:

Allt fler jobb övertas av smarta maskiner


- CIO Sweden:

Inspiratörerna som vill hacka läroplanen


- CIO Sweden:

Mellanchefer mest missnöjda på jobbet

Mellanchefer mest missnöjda på jobbet


- CIO Sweden:

Klas Bendrik, Volvo Cars, är Årets CIO 2014


- CIO Sweden:

Karolinska institutets SMS-livräddare är Årets projekt 2014


- CIO Sweden:

Dr Maombi Project är Årets hållbara projekt 2014


- CIO Sweden:

Så mycket tjänar CIO:erna

Så mycket tjänar topp-CIO:erna


- CIO Sweden:

Elektroniskt körkort lanseras i USA


- CIO Sweden:

"Tillgång till internet bör vara en mänsklig rättighet"


- CIO Sweden:

"Digital affärsutveckling kräver ny kompetens"

CIO Lägesrapport 2015

För tolfte året i rad genomför CIO Sweden CIO Lägesrapport – den största oberoende studien av CIO-rollen i Sverige. 

För att det ska bli en intressant studie är vi beroende av att du som CIO är med och bidrar. Vi hoppas att du kan avsätta lite av din tid.

Delta i undersökningen

Du som deltar får rapporten skickad till din e-postadress, helt gratis (värde 1 795 kr). Dessutom bjuder vi in 15 personer till middag och diskussionsträff.

Resultatet presenteras vid eventet CIO Trend 2015 och i CIO Lägesrapport 2015 som kommer ut till dig som är CIO-prenumerant tillsammans med CIO 1/2015.

Nästa event

Nytt nummer ute nu

CIO Sweden 8/2014

Arena för IT

Månadens CIO

- CIO Sweden:

Kunskaps-CIO i Sverige och världen

Annons: Partnerkrönikor

”Innovation och tillgänglighet – framtidens konstanter”


Poddradio

Karriärpodden

CIO Lägesrapport

Bio med CIO

Krönikor

- CIO Sweden:

EA måste vara summan av alla delarna


- CIO Sweden:

EA kan inte vara summan av hela delarna


- CIO Sweden:

Rikets säkerhet står på spel

CIO-bloggat

Mest läst just nu


CIO överallt

CIO Sweden på:           

Whitepaper

Whitepaper: Förstå din personal med data

Artikelarkivet

CIO överallt


Håll koll med våra nyhetsbrev – CIO-brevet, Ledarskap & Styrning och SOA/EA. Anmäl dig här!

Köp CIO Sweden som PDF i IDG Shop.

Följ oss på:           





Aktuella event

Aktuella jobb

CS Kalender

Event för it-proffs -
anmäl ditt event här
Har du synpunkter på sajten? Kontakta sajtansvarig Alexandra Heymowska.

Kontakta CIO Sweden
  Adress: Karlbergsvägen 77, 106 78 Stockholm.
Telefon: 08-453 60 00 [Karta
  Om cookies, personuppgifter & copyright

Copyright © 1996-2012 International Data Group