LÖSNINGAR

Koncept

Inloggning

VoIP

WAN

Oönskat

Trådlöst

SPAM

Inventarier

Gästaccess

Hemarbete

 

 

Koncept/Normsäkring

Vi stärker våra kunders konkurrenskraft, genom att erbjuda kunskap och produkter i teknikens framkant.

Euro-SOX >>

PCI-DSS >>

PCI DSS är en gemensam industristandard som lanserades av American Express, Discover Financial Services, JCB International, MasterCard Worldwide, och Visa Inc för att säkra upp hanteringen av kreditkorts transaktioner. Inte minst kom detta i fokus i samband med att det avslöjades att amerikanska TJX Companies Inc’s förlorade kunddata till 48 miljoner kunder samt information om 455 000 butiker/handlare som var uppkopplat till TJX centrala transaktions system för betal och kreditkorts hantering. Standarden gäller för alla som handskas med betalnings transaktioner för betalkort och kreditkort.

Vilka är då kraven som PCI DSS ställer på organisationer som hanterar eller är involverad i att leverera tjänster kring själva hanteringen av kort transaktioner?

Följande 12 krav har definierats enligt följande:

Konstruktion och underhåll av säkert nätverk;
1. Installera och underhålla en brandväggskonfiguration för att skydda kortinnehavares data
2. Att ej använda tillverkares standard konfiguration för system lösenord och andra säkerhets parameters.

Skyddande av kortinnehavarens data;
3. Skyddande av kortinnehavares data som lagrats.
4. Kryptering av kortinnehavarens data vid överföring över öppna publika nätverk.

Aktiv sårbarhetshantering;
5. Använda och regelbundet uppdatera antivirus mjukvara eller program.
6. Utveckla och underhålla säkra system och applikationer.

Implementering av stark kontroll access åtgärder;
7. Begränsa access till kortinnehavares data baserat enligt affärs behov.
8. Tilldela unikt ID till samtliga individer med dator access.
9. Begränsa fysisk access till kortinnehavare data.

Regelbundet monitorera och testa nätverk;
10. Spåra och övervaka all access till nätverks resurser och kortinnehavare data.
11. Regelbundet testa säkerhetssystem och processer.

Aktivt underhålla en informations säkerhets policy;
12. Underhålla en policy som adresserar informations säkerhet för anställda och underleverantörer.

Utöver ovan krav finns det även tre steg som samtliga handlare och leverantörer måste genomgå för att uppfylla kraven:

Steg 1. Krav på att säkra all insamlad log data och att denna lagras på ett sådant sätt att det ej går att manipulera samt finnas tillgänglig för analys.

Steg 2. Samtliga företag skall kunna bevisa att de uppfyller ställda krav vid en granskning och uppvisa bevis för att det finns kontroller på plats för skydd av data.

Steg 3. Det måste finnas ett kontrollsystem på plats som automatiskt larmar och övervakar access och användning av data samt varnar vid problem och otillåten access av kort och log data för att kunna åtgärda dessa incidenter direkt.

Tydlig dokumentation och bevis måste finnas för att samtliga ovan tre steg utförs på ett korrekt sätt och i enlighet med standarden.

Vidare så gör man även skillnad mellan handlare och tjänsteleverantör av betalningssystem.

För handlare finns det fyra olika nivåer som baseras på antalet årliga transaktioner:

Nivå 1: Handlare med mer än 6 miljoner korttransaktioner samt även handlare som tidigare har förlorat kortdata.

Nivå 2: Handlare med 1 till 6 miljoner korttransaktioner.

Nivå 3: Handlare med 20 000 till 1 miljon korttransaktioner.

Nivå 4: Övriga handlare.

Handlare på nivå 1 måste genomföra en årlig säkerhetsgranskning på plats, dessa utförs av s.k. Qualified Security Assessors (QSA), samt genomföra nätverksskanning kvartalsvis. För övriga nivåer är det nog med att fylla i en självdeklaration där man garanterar att man uppfyller de uppsatta kraven i enlighet med standarden. Dock skall det även genomföras skanning av nätverket kvartalsvis av extern godkänd skannings leverantör, en s.k. Approved Scan Vendor (ASV).

För tjänsteleverantörer inklusive underleverantörer av tekniska lösningar för betalningssystem finns det tre nivåer:

Nivå 1: Alla centrala kortinlösens företag.

Nivå 2: Alla tjänsteleverantörer som inte tillhör nivå 1, men med fler än 1 miljon kreditkorts konton eller årliga transaktioner.

Nivå 3: Tjänsteleverantörer som inte tillhör nivå 1, samt med färre än 1 miljon kreditkorts konton eller årliga transaktioner.

HIPAA >>

 
 
Sunbelt Software: We keep the bad guys outcodima securenvoy azeticlearswift
 
© Copyright 2008. www.dataconstruction.se 08 - 680 70 00