- CIO Sweden:

PCI-DSS - vad är problemet?

Av

Sida 1 / 4
Björn Sjöholm, vd på Europoint
Björn Sjöholm, vd på Europoint
– PCI-regelverket är ganska omfattande. Jag ska inte säga att det är svårt. Men det är omfattande, många saker ska lösas. Att outsourca i den meningen att låta någon annan hantera sina korttransaktioner från sin egen verksamhet är ofta en väldigt bra idé, säger Björn Sjöholm, vd på Europoint, ett av de företag som säljer tjänster inom PCI DSS.

Det finns flera så kallade PSP:er, Payment Service Provider, i Sverige. De tar betalt för att hantera kort och uppfylla alla kraven. För företag som har en en webbtjänst så är det ganska enkelt och tekniken är ganska mogen för att göra det här.

– Du får upp en betalsida, och om du gör det rätt så hanterar din butik inte kort alls och därigenom berörs du inte nästan inte av PCI-DSS-regelverket över huvud taget. Du slipper den kostnden. Men det finns många verksamheter som inte kan göra så. Det är de som behöver hantera kortnumren. De kanske har dem som bokningsbegrepp till hotell eller bokningsnummer på flyget. Då har du problem. Då måste du uppfylla hela det regelverket. Många tror att de måste uppfylla hela regelverket, men de flesta kan bli av med det. Kan du hålla din verksamhet fri från kortnumrena så gör det. Om inte kan det så är det dags att börja uppfylla regelverket, berättar Björn Sjöholm.

Enligt honom kan även vara vanliga butiker bli av med hanteringen av kortdata genom att skicka sina betalströmmar någon annan stans. Även butiker där kunderna betalar genom att dra sitt kort i en terminal kan slippa ha kortnumrena i butiken genom att använda en krypterande kortterminal.

– Då skickas transaktionerna till en av de här PSP-firmorna och det är krypterat hela vägen till PSP:n. Då håller du dig fri. Det finns en hel del krav på att det ska vara en godkänd terminal och att det ska vara krypterat. Men gör du det rätt kan du hålla din verksamhet fri från kortnummer, säger Björn Sjöholm.

En vanlig erfarenhet från företag som infört end-to-end kryptering är att det är görbart men ofta tar mer tid och ork än väntat.

Var PCI kommer från

PCI DSS skapades av kreditkortsföretagen för att minska kortbedrägerierna. Standarden gäller alla organisationer som lagrar, hanterar eller utbyter kontokortsinformation från någon av de kontokortsföretag som står bakom PCI. Visa, Mastercard, American Express, Discover och JCB. Vissa av USA:s delstater har gjort delar av PCI till lag men främst är det ett avtal mellan kortföretagen och handlarna.

Alla goda ting är tre och ska vi vara noggranna så finns det mer än en PCI-regelsamling:

Payment Application Data Security Standard (PA DSS) gäller utvecklare, systemintegratörer och tjänsteleverantörer som säljer programvara för att hantera och betalkort. De flesta kreditkortsföretag kräver att programvaran som används följer PA DSS. Det företag som väljer att använda egenutvecklade program blir alltså själv ansvarig för att de programmen följer PA DSS-standarden. Syftet med PA DSS är att skydda data som finns på betalkortens magnetremsor och chip.

Personal Identification Number (PIN) Transaction Security Requirements, även kallad PTS gäller tillverkare av kortläsare för butiker.Gäller även mjukvaruutvecklare, handlare och företag som processar betalningar. Till exempel måste alltså svenska handlare ha kortläsare som är godkända enligt den här standarden.

PCI DSS (Payment Card Industry Data Security Standard) är huvudstandarden och berör handlare och företag som processar betalningar. Den fokuserar på skyddet av kortdata genom processer, teknik och kontroller. I fortsättningen av artikeln kommer vi att mena PCI DSS när vi skriver PCI.

På svenska IT-avdelningar kopplas PCI-arbetet dessutom gärna ihop med kassaregisterlagen och EMV-reglerna om kortterminaler med chip och PIN. Detta av rent praktiska skäl, ämnena ligger nära varandra och reglerna kommer nära i tiden.

Från och med 1 januari i år gäller version 2.0 av PCI, fram till årsskiftet parallellt med version 1.2 under året.

– Det är ingen stor skillnad mellan 1.2 och 2.0 även om versionsnumren indikerar att det skulle vara det. Den stora skillnaden är en annan cykel i revisionerna av den nya standarden. Den nya PCI-standarden gäller i tre år, vilket är längre än den gamla. Samtidigt har man ensat upp den här giltighetstiden med de andra butiksstandarderna som PCI-PA DSS och PCI PTS, säger Björn Sjöholm.

– En annan förändring i 2.0 är att det är många krav som är förtydligade. Några av dem är i princip, beroende på hur du läser, förenklingar. Andra kan tolkas som att de är hårdare. Inget krav har tillkommit, en hel del krav har delats upp i flera olika, tillägger Björn Sjöholm.

Sida 1 / 4

Innehållsförteckning


Gratis nyhetsbrev -- Nyheter från CIO Sweden i din e-post varje vecka

Whitepaper: Konvertera snack till pengar


Vi håller just nu på att uppgradera våra kommentarsystem. Mer info om hur du kommenterar och kommer åt dina gamla kommentarer hittar du på vår FAQ: idg.se/faq

Artikelkommentatorerna ansvarar själva för sina inlägg.

OBS! Läs dessa regler som gäller vid postning av inlägg.

Regler för inlägg i artikelforumet

Kommentatorn ansvarar själv för sina inlägg. Inlägg som innehåller diskriminerande uttalanden, personliga påhopp eller språk som kan uppfattas som stötande, kommer att tas bort av tjänstgörande redaktör. Även datorkrigsinlägg och inlägg som är utanför ämnet, kan tas bort.

IDG förbehåller sig dessutom rätten att i varje enskilt fall bedöma huruvida ett inlägg ska tas bort, även om det inte faller under någon av reglerna ovan.

Upprepat postande av olämpliga inlägg kan medföra avstängning från artikelforumen.

Frågor? Mejla till redaktören, carl.grape@idg.se.

Läs mer om vår policy i diskussionsforum

Fakta

Under arbetet med den här artikeln lyssnade vi på många olika människor hade att säga om PCI. Många kunder upplever att PCI-konsulyerna ibland är för rabiata och tolkar reglerna alldeles för bokstavstroget. Ordet fundamentalism har dykt upp. En annan tycker att PCI-cirkusen påminner henne lite om år 2000-buggen. Det vill säga att det finns ett problem, men att lösningen blir så överpolitiserad att den stora behållningen är att det görs en uppstädning av systemen.

Bland konsulterna själva knorras det en del över att vissa kollegor tar granskningen mycket lätt och inte gör ett grundligt arbete.

Både kunder och konsulter upplever också att Sverige generellt sett ligger rätt långt fram vad gäller säkerhet. Att då behöva anpassa sina system till ett omfattande regelverk från kortföretag som själva i vissa fall inte ens infört chip på sina kort. Det känns lite magstarkt.

PCI är en pågående process. Efter att du gått igenom ditt system och hittat alla brister är det dags att åtgärda dem. När du åtgärdat dem ska du rapportera till PCI-konsortiet. Sen är det dags att gå igenom systemet igen. Och så vidare.

Det finns flera böcker som kan ge vägledning i PCI-arbetet.

  • PCI Compliance av Anton Chuvakin och Branden R Williams
  • PCI-DSS – A Practical Guide to Implementation av Steve Wright
  • GFI Network Security and PCI Compliance Power Tools av Brien Posey
  • PCI DSSA Pocket Guide av Alan Calder
  • Den officiella handboken Payment Card Industry Data Security Standard Handbook av Timothy M Virtue
Det är viktigt att välja en utgåva som täcker version 2.0 av PCI-standarden.

En bra guide kallad ”quick reference” finns på PCI-konsortiets webbplats.

IT-säkerhetsföretaget Qualys har även tagit fram en For Dummies-guide som finns som PDF

Senaste nytt


Fler nyheter från CIO Sweden

- CIO Sweden:

Myndigheter vill ha tillgång till användardata


- CIO Sweden:

Allt fler annonserar i webb-tv


- CIO Sweden:

Nytt program ska hjälpa studenter med adhd


- CIO Sweden:

Ny app håller koll på övertiden

Ny app håller koll på övertiden


- CIO Sweden:

Verktyget som ska underlätta framtidens stadsplanering


- CIO Sweden:

Korkat med e-röstning, tycker KTH-professorn


- CIO Sweden:

5 it-roller för framtiden


- CIO Sweden:

Missnöje med it-budgeten i offentlig sektor

Missnöje med it-budgeten i offentlig sektor


- CIO Sweden:

Robert Lisborg, it-chef på Kristdemokraterna

Digitala kanaler ställer nya krav på KD:s it-arbete


- CIO Sweden:

Obehöriga fiskar hemlig information hos Miljöpartiet


- CIO Sweden:

Kaj Johansson

Vänsterpartiets it-chef: "Kraven på driftssidan ökar under ett valår"


- CIO Sweden:

Dataintrång

Dataintrånget blev ett bryskt uppvaknande


- CIO Sweden:

Leadership

Konsten att delegera rätt


- CIO Sweden:

Rikard Lidén, ny chef för it, inköp och supply chain hos Jetpak Group

"It kan aldrig bli viktigare än kunden"


- CIO Sweden:

CIO:er måste släppa ifrån sig en del av makten


- CIO Sweden:

8 tips för att bli en bättre karriärförhandlare

8 tips för att bli en bättre karriärförhandlare


- CIO Sweden:

Så jobbar Centerns it-avdelning inför valet


- CIO Sweden:

Johan Kroon

"Många intressen att ta till vara i en outsourcing-process"


- CIO Sweden:

Så tänker den nya it-generationen


- CIO Sweden:

It-chefer ofta missnöjda med ledningens beslut

It-chefer ofta missnöjda med ledningens beslut

Poddradio

Karriärpodden

Nästa event

CIO Awards 10 år

Nytt nummer ute nu

CIO Sweden 4/2014

Arena för IT

CIO Lägesrapport

Månadens CIO

- CIO Sweden:

Stolt e-förvaltare styr SSM:s it

Bio med CIO

Annons: Partnerkrönikor

Outsourca rätt!


Att ge av det man är bäst på

Krönikor

- CIO Sweden:

Titta mot Vintergatan för att förbättra er enterprise arkitektur


- CIO Sweden:

Spegel, spegel säg mig vilken arkitektur jag får


- CIO Sweden:

Stabil och dynamisk arkitektur - finns det?

CIO-bloggat

Mest läst just nu


CIO överallt

CIO Sweden på:           

Artikelarkivet

CIO överallt


Håll koll med våra nyhetsbrev – CIO-brevet, Ledarskap & Styrning och SOA/EA. Anmäl dig här!

Köp CIO Sweden som PDF i IDG Shop.

Följ oss på:           





Aktuella event

Rekryterar just nu

Har du synpunkter på sajten? Kontakta sajtansvarig Alexandra Heymowska.

Kontakta CIO Sweden
  Adress: Karlbergsvägen 77, 106 78 Stockholm.
Telefon: 08-453 60 00 [Karta
  Om cookies, personuppgifter & copyright

Copyright © 1996-2012 International Data Group