- CIO Sweden:

PCI-DSS - vad är problemet?

Av

Sida 1 / 4
Björn Sjöholm, vd på Europoint
Björn Sjöholm, vd på Europoint
– PCI-regelverket är ganska omfattande. Jag ska inte säga att det är svårt. Men det är omfattande, många saker ska lösas. Att outsourca i den meningen att låta någon annan hantera sina korttransaktioner från sin egen verksamhet är ofta en väldigt bra idé, säger Björn Sjöholm, vd på Europoint, ett av de företag som säljer tjänster inom PCI DSS.

Det finns flera så kallade PSP:er, Payment Service Provider, i Sverige. De tar betalt för att hantera kort och uppfylla alla kraven. För företag som har en en webbtjänst så är det ganska enkelt och tekniken är ganska mogen för att göra det här.

– Du får upp en betalsida, och om du gör det rätt så hanterar din butik inte kort alls och därigenom berörs du inte nästan inte av PCI-DSS-regelverket över huvud taget. Du slipper den kostnden. Men det finns många verksamheter som inte kan göra så. Det är de som behöver hantera kortnumren. De kanske har dem som bokningsbegrepp till hotell eller bokningsnummer på flyget. Då har du problem. Då måste du uppfylla hela det regelverket. Många tror att de måste uppfylla hela regelverket, men de flesta kan bli av med det. Kan du hålla din verksamhet fri från kortnumrena så gör det. Om inte kan det så är det dags att börja uppfylla regelverket, berättar Björn Sjöholm.

Enligt honom kan även vara vanliga butiker bli av med hanteringen av kortdata genom att skicka sina betalströmmar någon annan stans. Även butiker där kunderna betalar genom att dra sitt kort i en terminal kan slippa ha kortnumrena i butiken genom att använda en krypterande kortterminal.

– Då skickas transaktionerna till en av de här PSP-firmorna och det är krypterat hela vägen till PSP:n. Då håller du dig fri. Det finns en hel del krav på att det ska vara en godkänd terminal och att det ska vara krypterat. Men gör du det rätt kan du hålla din verksamhet fri från kortnummer, säger Björn Sjöholm.

En vanlig erfarenhet från företag som infört end-to-end kryptering är att det är görbart men ofta tar mer tid och ork än väntat.

Var PCI kommer från

PCI DSS skapades av kreditkortsföretagen för att minska kortbedrägerierna. Standarden gäller alla organisationer som lagrar, hanterar eller utbyter kontokortsinformation från någon av de kontokortsföretag som står bakom PCI. Visa, Mastercard, American Express, Discover och JCB. Vissa av USA:s delstater har gjort delar av PCI till lag men främst är det ett avtal mellan kortföretagen och handlarna.

Alla goda ting är tre och ska vi vara noggranna så finns det mer än en PCI-regelsamling:

Payment Application Data Security Standard (PA DSS) gäller utvecklare, systemintegratörer och tjänsteleverantörer som säljer programvara för att hantera och betalkort. De flesta kreditkortsföretag kräver att programvaran som används följer PA DSS. Det företag som väljer att använda egenutvecklade program blir alltså själv ansvarig för att de programmen följer PA DSS-standarden. Syftet med PA DSS är att skydda data som finns på betalkortens magnetremsor och chip.

Personal Identification Number (PIN) Transaction Security Requirements, även kallad PTS gäller tillverkare av kortläsare för butiker.Gäller även mjukvaruutvecklare, handlare och företag som processar betalningar. Till exempel måste alltså svenska handlare ha kortläsare som är godkända enligt den här standarden.

PCI DSS (Payment Card Industry Data Security Standard) är huvudstandarden och berör handlare och företag som processar betalningar. Den fokuserar på skyddet av kortdata genom processer, teknik och kontroller. I fortsättningen av artikeln kommer vi att mena PCI DSS när vi skriver PCI.

På svenska IT-avdelningar kopplas PCI-arbetet dessutom gärna ihop med kassaregisterlagen och EMV-reglerna om kortterminaler med chip och PIN. Detta av rent praktiska skäl, ämnena ligger nära varandra och reglerna kommer nära i tiden.

Från och med 1 januari i år gäller version 2.0 av PCI, fram till årsskiftet parallellt med version 1.2 under året.

– Det är ingen stor skillnad mellan 1.2 och 2.0 även om versionsnumren indikerar att det skulle vara det. Den stora skillnaden är en annan cykel i revisionerna av den nya standarden. Den nya PCI-standarden gäller i tre år, vilket är längre än den gamla. Samtidigt har man ensat upp den här giltighetstiden med de andra butiksstandarderna som PCI-PA DSS och PCI PTS, säger Björn Sjöholm.

– En annan förändring i 2.0 är att det är många krav som är förtydligade. Några av dem är i princip, beroende på hur du läser, förenklingar. Andra kan tolkas som att de är hårdare. Inget krav har tillkommit, en hel del krav har delats upp i flera olika, tillägger Björn Sjöholm.

Sida 1 / 4

Innehållsförteckning


Gratis nyhetsbrev -- Nyheter från CIO Sweden i din e-post varje vecka

Whitepaper: Skapa det digitala företaget


Vi håller just nu på att uppgradera våra kommentarsystem. Mer info om hur du kommenterar och kommer åt dina gamla kommentarer hittar du på vår FAQ: idg.se/faq

Artikelkommentatorerna ansvarar själva för sina inlägg.

OBS! Läs dessa regler som gäller vid postning av inlägg.

Regler för inlägg i artikelforumet

Kommentatorn ansvarar själv för sina inlägg. Inlägg som innehåller diskriminerande uttalanden, personliga påhopp eller språk som kan uppfattas som stötande, kommer att tas bort av tjänstgörande redaktör. Även datorkrigsinlägg och inlägg som är utanför ämnet, kan tas bort.

IDG förbehåller sig dessutom rätten att i varje enskilt fall bedöma huruvida ett inlägg ska tas bort, även om det inte faller under någon av reglerna ovan.

Upprepat postande av olämpliga inlägg kan medföra avstängning från artikelforumen.

Frågor? Mejla till redaktören, carl.grape@idg.se.

Läs mer om vår policy i diskussionsforum

Fakta

Under arbetet med den här artikeln lyssnade vi på många olika människor hade att säga om PCI. Många kunder upplever att PCI-konsulyerna ibland är för rabiata och tolkar reglerna alldeles för bokstavstroget. Ordet fundamentalism har dykt upp. En annan tycker att PCI-cirkusen påminner henne lite om år 2000-buggen. Det vill säga att det finns ett problem, men att lösningen blir så överpolitiserad att den stora behållningen är att det görs en uppstädning av systemen.

Bland konsulterna själva knorras det en del över att vissa kollegor tar granskningen mycket lätt och inte gör ett grundligt arbete.

Både kunder och konsulter upplever också att Sverige generellt sett ligger rätt långt fram vad gäller säkerhet. Att då behöva anpassa sina system till ett omfattande regelverk från kortföretag som själva i vissa fall inte ens infört chip på sina kort. Det känns lite magstarkt.

PCI är en pågående process. Efter att du gått igenom ditt system och hittat alla brister är det dags att åtgärda dem. När du åtgärdat dem ska du rapportera till PCI-konsortiet. Sen är det dags att gå igenom systemet igen. Och så vidare.

Det finns flera böcker som kan ge vägledning i PCI-arbetet.

  • PCI Compliance av Anton Chuvakin och Branden R Williams
  • PCI-DSS – A Practical Guide to Implementation av Steve Wright
  • GFI Network Security and PCI Compliance Power Tools av Brien Posey
  • PCI DSSA Pocket Guide av Alan Calder
  • Den officiella handboken Payment Card Industry Data Security Standard Handbook av Timothy M Virtue
Det är viktigt att välja en utgåva som täcker version 2.0 av PCI-standarden.

En bra guide kallad ”quick reference” finns på PCI-konsortiets webbplats.

IT-säkerhetsföretaget Qualys har även tagit fram en For Dummies-guide som finns som PDF

Senaste nytt


Fler nyheter från CIO Sweden

- CIO Sweden:

FPs it-ansvarige: "Nätet ger oss nya möjligheter att se trender och mönster"


- CIO Sweden:

Affärssystem, totalägandekostnad

Här är affärssystemen som är dyrast i drift


- CIO Sweden:

Få kontroll över stresskänslorna

Få kontroll över stresskänslorna


- CIO Sweden:

4 tips för framgångsrik förändring


- CIO Sweden:

Han blir myndighetens nya it-direktör


- CIO Sweden:

Dåliga surfvanor får it-avdelningen att se rött

Dåliga surfvanor får it-avdelningen att se rött


- CIO Sweden:

Fi:s it-strateg: "Vårt kansli finns på Facebook och Skype"


- CIO Sweden:

Världens 6 hetaste innovationstrender

Världens 6 hetaste innovationstrender


- CIO Sweden:

Statens servicecenter utvecklar ny lösning för e-arkiv


- CIO Sweden:

Därför prioriteras inte it-strategi

Därför prioriteras inte it-strategi


- CIO Sweden:

Så ror du iland projektet med effektiva mål

Så ror du iland projektet med effektiva mål


- CIO Sweden:

CIO:er, CMO:er och Big Data


- CIO Sweden:

CIO:ernas planer inför hösten


- CIO Sweden:

Video populärt bland it-chefer i offentlig sektor

Video hett bland it-chefer i offentlig sektor


- CIO Sweden:

Johanna Kjellberg

Årets CIO 2010 byter bransch


- CIO Sweden:

"Den digitala klyftan är oroväckande"


- CIO Sweden:

Så arbetar Länsstyrelsernas it-enhet under branden


- CIO Sweden:

Användarnas krav på it formar framtidens arbetsplats


- CIO Sweden:

12 egenskaper hos framgångsrika it-proffs

12 egenskaper hos framgångsrika it-proffs


- CIO Sweden:

olof röhlander

5 tips: Kom igång efter semestern

Nästa event

Nytt nummer ute nu

CIO Sweden 4/2014

Arena för IT

CIO Lägesrapport

Månadens CIO

- CIO Sweden:

Ständigt nya utmaningar för Viking Lines CIO

Bio med CIO

Annons: Partnerkrönikor

Outsourca rätt!


Att ge av det man är bäst på

Krönikor

- CIO Sweden:

Stabil och dynamisk arkitektur - finns det?


- CIO Sweden:

Att centralisera eller inte, det är frågan.


- CIO Sweden:

Ordning och reda

CIO-bloggat

Mest läst just nu


CIO överallt

CIO Sweden på:           

Artikelarkivet

CIO överallt


Håll koll med våra nyhetsbrev – CIO-brevet, Ledarskap & Styrning och SOA/EA. Anmäl dig här!

Köp CIO Sweden som PDF i IDG Shop.

Följ oss på:           





Aktuella event

Rekryterar just nu

Har du synpunkter på sajten? Kontakta sajtansvarig Alexandra Heymowska.

Kontakta CIO Sweden
  Adress: Karlbergsvägen 77, 106 78 Stockholm.
Telefon: 08-453 60 00 [Karta
  Om cookies, personuppgifter & copyright

Copyright © 1996-2012 International Data Group