- CIO Sweden:

PCI-DSS - vad är problemet?

Av

Sida 1 / 4
Björn Sjöholm, vd på Europoint
Björn Sjöholm, vd på Europoint
– PCI-regelverket är ganska omfattande. Jag ska inte säga att det är svårt. Men det är omfattande, många saker ska lösas. Att outsourca i den meningen att låta någon annan hantera sina korttransaktioner från sin egen verksamhet är ofta en väldigt bra idé, säger Björn Sjöholm, vd på Europoint, ett av de företag som säljer tjänster inom PCI DSS.

Det finns flera så kallade PSP:er, Payment Service Provider, i Sverige. De tar betalt för att hantera kort och uppfylla alla kraven. För företag som har en en webbtjänst så är det ganska enkelt och tekniken är ganska mogen för att göra det här.

– Du får upp en betalsida, och om du gör det rätt så hanterar din butik inte kort alls och därigenom berörs du inte nästan inte av PCI-DSS-regelverket över huvud taget. Du slipper den kostnden. Men det finns många verksamheter som inte kan göra så. Det är de som behöver hantera kortnumren. De kanske har dem som bokningsbegrepp till hotell eller bokningsnummer på flyget. Då har du problem. Då måste du uppfylla hela det regelverket. Många tror att de måste uppfylla hela regelverket, men de flesta kan bli av med det. Kan du hålla din verksamhet fri från kortnumrena så gör det. Om inte kan det så är det dags att börja uppfylla regelverket, berättar Björn Sjöholm.

Enligt honom kan även vara vanliga butiker bli av med hanteringen av kortdata genom att skicka sina betalströmmar någon annan stans. Även butiker där kunderna betalar genom att dra sitt kort i en terminal kan slippa ha kortnumrena i butiken genom att använda en krypterande kortterminal.

– Då skickas transaktionerna till en av de här PSP-firmorna och det är krypterat hela vägen till PSP:n. Då håller du dig fri. Det finns en hel del krav på att det ska vara en godkänd terminal och att det ska vara krypterat. Men gör du det rätt kan du hålla din verksamhet fri från kortnummer, säger Björn Sjöholm.

En vanlig erfarenhet från företag som infört end-to-end kryptering är att det är görbart men ofta tar mer tid och ork än väntat.

Var PCI kommer från

PCI DSS skapades av kreditkortsföretagen för att minska kortbedrägerierna. Standarden gäller alla organisationer som lagrar, hanterar eller utbyter kontokortsinformation från någon av de kontokortsföretag som står bakom PCI. Visa, Mastercard, American Express, Discover och JCB. Vissa av USA:s delstater har gjort delar av PCI till lag men främst är det ett avtal mellan kortföretagen och handlarna.

Alla goda ting är tre och ska vi vara noggranna så finns det mer än en PCI-regelsamling:

Payment Application Data Security Standard (PA DSS) gäller utvecklare, systemintegratörer och tjänsteleverantörer som säljer programvara för att hantera och betalkort. De flesta kreditkortsföretag kräver att programvaran som används följer PA DSS. Det företag som väljer att använda egenutvecklade program blir alltså själv ansvarig för att de programmen följer PA DSS-standarden. Syftet med PA DSS är att skydda data som finns på betalkortens magnetremsor och chip.

Personal Identification Number (PIN) Transaction Security Requirements, även kallad PTS gäller tillverkare av kortläsare för butiker.Gäller även mjukvaruutvecklare, handlare och företag som processar betalningar. Till exempel måste alltså svenska handlare ha kortläsare som är godkända enligt den här standarden.

PCI DSS (Payment Card Industry Data Security Standard) är huvudstandarden och berör handlare och företag som processar betalningar. Den fokuserar på skyddet av kortdata genom processer, teknik och kontroller. I fortsättningen av artikeln kommer vi att mena PCI DSS när vi skriver PCI.

På svenska IT-avdelningar kopplas PCI-arbetet dessutom gärna ihop med kassaregisterlagen och EMV-reglerna om kortterminaler med chip och PIN. Detta av rent praktiska skäl, ämnena ligger nära varandra och reglerna kommer nära i tiden.

Från och med 1 januari i år gäller version 2.0 av PCI, fram till årsskiftet parallellt med version 1.2 under året.

– Det är ingen stor skillnad mellan 1.2 och 2.0 även om versionsnumren indikerar att det skulle vara det. Den stora skillnaden är en annan cykel i revisionerna av den nya standarden. Den nya PCI-standarden gäller i tre år, vilket är längre än den gamla. Samtidigt har man ensat upp den här giltighetstiden med de andra butiksstandarderna som PCI-PA DSS och PCI PTS, säger Björn Sjöholm.

– En annan förändring i 2.0 är att det är många krav som är förtydligade. Några av dem är i princip, beroende på hur du läser, förenklingar. Andra kan tolkas som att de är hårdare. Inget krav har tillkommit, en hel del krav har delats upp i flera olika, tillägger Björn Sjöholm.

Sida 1 / 4

Innehållsförteckning


Gratis nyhetsbrev -- Nyheter från CIO Sweden i din e-post varje vecka

Software-as-a-Boss


Vi håller just nu på att uppgradera våra kommentarsystem. Mer info om hur du kommenterar och kommer åt dina gamla kommentarer hittar du på vår FAQ: idg.se/faq

Artikelkommentatorerna ansvarar själva för sina inlägg.

OBS! Läs dessa regler som gäller vid postning av inlägg.

Regler för inlägg i artikelforumet

Kommentatorn ansvarar själv för sina inlägg. Inlägg som innehåller diskriminerande uttalanden, personliga påhopp eller språk som kan uppfattas som stötande, kommer att tas bort av tjänstgörande redaktör. Även datorkrigsinlägg och inlägg som är utanför ämnet, kan tas bort.

IDG förbehåller sig dessutom rätten att i varje enskilt fall bedöma huruvida ett inlägg ska tas bort, även om det inte faller under någon av reglerna ovan.

Upprepat postande av olämpliga inlägg kan medföra avstängning från artikelforumen.

Frågor? Mejla till redaktören, carl.grape@idg.se.

Läs mer om vår policy i diskussionsforum

Fakta

Under arbetet med den här artikeln lyssnade vi på många olika människor hade att säga om PCI. Många kunder upplever att PCI-konsulyerna ibland är för rabiata och tolkar reglerna alldeles för bokstavstroget. Ordet fundamentalism har dykt upp. En annan tycker att PCI-cirkusen påminner henne lite om år 2000-buggen. Det vill säga att det finns ett problem, men att lösningen blir så överpolitiserad att den stora behållningen är att det görs en uppstädning av systemen.

Bland konsulterna själva knorras det en del över att vissa kollegor tar granskningen mycket lätt och inte gör ett grundligt arbete.

Både kunder och konsulter upplever också att Sverige generellt sett ligger rätt långt fram vad gäller säkerhet. Att då behöva anpassa sina system till ett omfattande regelverk från kortföretag som själva i vissa fall inte ens infört chip på sina kort. Det känns lite magstarkt.

PCI är en pågående process. Efter att du gått igenom ditt system och hittat alla brister är det dags att åtgärda dem. När du åtgärdat dem ska du rapportera till PCI-konsortiet. Sen är det dags att gå igenom systemet igen. Och så vidare.

Det finns flera böcker som kan ge vägledning i PCI-arbetet.

  • PCI Compliance av Anton Chuvakin och Branden R Williams
  • PCI-DSS – A Practical Guide to Implementation av Steve Wright
  • GFI Network Security and PCI Compliance Power Tools av Brien Posey
  • PCI DSSA Pocket Guide av Alan Calder
  • Den officiella handboken Payment Card Industry Data Security Standard Handbook av Timothy M Virtue
Det är viktigt att välja en utgåva som täcker version 2.0 av PCI-standarden.

En bra guide kallad ”quick reference” finns på PCI-konsortiets webbplats.

IT-säkerhetsföretaget Qualys har även tagit fram en For Dummies-guide som finns som PDF

Senaste nytt


Fler nyheter från CIO Sweden

Nu kan du nominera Årets digitala innovatör

- CIO Sweden:

De galnaste kontoren i Silicon Valley


- CIO Sweden:

Ny tjänst gör det lättare att få ersättning från flygbolagen


- CIO Sweden:

Kaspersky om cyberkriget: "Jag är paranoid - men optimistisk"


- CIO Sweden:

Grattis på it-chefens dag!


- CIO Sweden:

Hon är Stadsmissionens nya it-chef


- CIO Sweden:

4 frågor om stress


- CIO Sweden:

De 5 största it-haverierna


- CIO Sweden:

Han föreläser om "online-samhällets nattsida"


- CIO Sweden:

Greenpeace granskar it-jättar


- CIO Sweden:

Kundnöjdheten hög i omfattande outsourcing-studie


- CIO Sweden:

7 heta it-jobb


- CIO Sweden:

Ljudmoln över Berlin


Nu kan du nominera till Årets CIO, Årets projekt, Årets hållbara projekt

- CIO Sweden:

7 tips som hjälper dig fokusera


- CIO Sweden:

"CIO måste tänka om helt kring ostrukturerade data"


- CIO Sweden:

"Sverige förlorar på blyga myndigheter"


- CIO Sweden:

"Den perfekta leverantören"


- CIO Sweden:

"Många CIO:er har en offerroll"


6 frågor - CIO Sweden:

Handelsprofessorn går från massmördare till utomjordingar

Event på G

Nytt nummer ute nu

CIO Sweden 2/2014

Ny! Lägesrapport 2014

Månadens CIO

- CIO Sweden:

Hon laddar Strålfors it med värde

Bio med CIO

Annons: Partnerkrönikor

Finansinspektionen agerar i tiden


Crowdsourcing – en outnyttjad resurs

Krönikor

- CIO Sweden:

EA - stelt och orörligt eller något för flexibilitet


- CIO Sweden:

Zachman om Zachman


- CIO Sweden:

EA för att hantera applikationsportföljen

CIO-bloggat

Mest läst just nu


CIO överallt

CIO Sweden på:           

Artikelarkivet

CIO överallt


Håll koll med våra nyhetsbrev – CIO-brevet, Ledarskap & Styrning och SOA/EA. Anmäl dig här!

Köp CIO Sweden som PDF i IDG Shop.

Följ oss på:           





Aktuella event

Utvalda jobb

Mer business intelligence

Har du synpunkter på sajten? Kontakta sajtansvarig Alexandra Heymowska.

Kontakta CIO Sweden
  Adress: Karlbergsvägen 77, 106 78 Stockholm.
Telefon: 08-453 60 00 [Karta
  Om cookies, personuppgifter & copyright

Copyright © 1996-2012 International Data Group