Leita í fréttum mbl.is

PCI gagnaöryggisstaðallinn - kröfur um uppfyllingu og ISO 27002

Mjög mörg fyrirtæki hér á landi þurfa að uppfylla kröfur gagnaöryggisstaðals greiðslukortafyrirtækjanna VISA og MasterCard eða Payment Card Industry (PCI) Data Security Standard (DSS). Í þessari grein verður farið yfir helstu atriði sem skipta máli.

Ásókn óprúttinna aðila í korthafaupplýsingar og kortafærslur hefur aukist mikið undanfarin ár. Er nú svo komið að í hverri viku koma upp mál, þar sem í ljós kemur að óviðkomandi hefur komist yfir slíkar upplýsingar og líklegast misnotað á einn eða annan hátt. Þetta hefur valdið bönkum, kortafyrirtækjum, söluaðilum og korthöfum margvíslegu tjóni. Alvarlegast er þegar brotist er inn í upplýsingakerfi, sem geyma korthafaupplýsingar, og er þá oftar en ekki stolið miklu magni upplýsinga, en algengast er að óheiðarlegir starfsmenn fyrirtækja afriti upplýsingar ýmist af segulrönd korta eða hreinlega útprentun söluaðila.

Til að reyna að sporna við þessu sameinuðust greiðslukortafyrirtækin VISA og MasterCard um gagnaöryggisstaðal, þ.e. Payment Card Industry Data Security Standard (PCI DSS), til að aðstoða fyrirtæki við að vernda viðskiptavini sína og verja orðspor sitt.

Ekki er ætlunin að fjalla um PCI DSS staðalinn sjálfan hér, en fyrir þá sem ekki þekkja til hans og vilja fá nánari fróðleik, er hægt að fá nánari upplýsingar hér og hér.

Nokkuð virðist hafa borið á því að fyrirtæki séu ekki með það á hreinu hverjir þurfa að uppfylla kröfur PCI DSS. Það er nokkuð einfalt: Undir kröfur PCI DSS falla allir sem taka við eða vinna með greiðslukort. VISA hefur gengið svo langt að allir meðlimabankar (e. member banks) skuli uppfylla PCI DSS. Svo kallaðir færsluhirðar (e. acquiring banks), t.d. VALITOR, Borgun og Kortaþjónustan, skulu síðan sjá til þess að allir söluaðilar sem eru í viðskiptum við færsluhirðinn uppfylli kröfurnar. Hvað hver aðili þarf að gera veltur á stærð hans og hvernig móttöku greiðsluheimilda er hátta. Aðili sem, t.d., vistar engar korthafaupplýsinga á upplýsingakerfum sínum, þá er það hlutverk þjónustuaðila viðkomandi að sýna fram á hlítingu við kröfurnar, en ábyrgðin er samt söluaðilans. Slíkir þjónustuaðilar geta verið smásalar, hugbúnaðarhús með sérhannaðan hugbúnað, færsluhirðir, aðili sem veitir greiðsluþjónustu, gagnamiðstöð, vefhýsingaraðili og hugbúnaðarsali með pakkalausnir. Allir framangreindra aðila þurfa því að innleiða ráðstafanir til að uppfylla kröfur PCI DSS.

Misjafnt er hvort fyrirtæki þurfa að fara í gegnum vottaðar úttektir, hvort þau þurfa að skila skýrslum eða eingöngu er mælt með því að aðili geri slíkt. Skipta má þessu kröfum í þrjá flokka eftir umfangi kortaviðskipta:

1. Stórir söluaðilar (e. merchants) sem eru með meira en 6.000.000 færslur á ári þurfa að:

a. Fara árlega í gegnum úttekt á staðnum (e. on-site audit)

b. Framkvæma ársfjórðungslega veikleika skönnun (e. vulnerability scan)

2. Vefsöluaðilar (e. e-commecre merchants) sem eru með færslufjölda milli 20.000 og 6.000.000 færslna og millistórir söluaðilar sem eru með milli 1.000.000 og 6.000.000 færslur á ári þurfa að:

a. Fara árlega í gegnum sjálfsmatsspurningar (e. Self-Assessment Questionnaire)

b. Framkvæma ársfjórðungslega veikleika skönnun (e. vulnerability scan)

3. Fyrir minni söluaðila, t.d. sem nota Posa, innhringingu eða tölvupóst, sem taka við innan við 1.000.000 færslna á ári, er mælt með því að þeir:

a. Fara árlega í gegnum sjálfsmatsspurningar (e. Self-Assessment Questionnaire)

b. Framkvæma ársfjórðungslega veikleikaskönnun (e. vulnerability scan)
 

Hér á landi fellur mjög stór hópur söluaðila undir lið 3, þ.e. eingöngu er mælt með því að þeir framkvæmi úttektir og fari í gegnum veikleikaskönnun. Færsluhirðar geta þó beðið um upplýsingar frá þeim hvenær sem er, enda þarf hann að vera viss um að söluaðilar, sem tengjast honum, séu traustverðugir og uppfylli kröfur PCI DSS. Fyrirtæki með margar verslanir eða dótturfyrirtæki telst vera einn söluaðili, ef færslumóttökunni er beint á einn stað. Ef færslumóttökunni er dreift á landfræðilega aðskilin upplýsingakerfi (þ.e. í mismunandi húsnæði) og uppgjör eru framkvæmd fyrir hvern færslusöfnunarstað fyrir sig, þá telst hver staður vera sjálfstæður söluaðili í samkvæmt kröfunum að ofan.

Betri ákvörðun ráðgjafaþjónusta Marinós G. Njálssonar veitir ráðgjöf til fyrirtækja sem þurfa að uppfylla kröfur PCI DSS. M.a. hefur verið tekið saman skjal þar sem kröfum PCI DSS er varpað yfir í upplýsingaöryggisstaðlana ISO 27001 og ISO 27002 (áður ISO 17799). Skjalið inniheldur einnig tillögur að orðalagi öryggis- og/eða verklagsreglna sem hægt er að hafa sem hluta af öryggishandbók, leiðbeiningum til starfsmanna eða starfsreglna sem fylgt er í tengslum við móttöku, vinnslu eða vörslu greiðslukorta upplýsinga. Hægt er að fá nánari upplýsingar um ráðgjöf fyrirtækisins og þessar varpanir með því að senda tölvupóst á oryggi@internet.is.

 


« Síðasta færsla | Næsta færsla »

Athugasemdir

1 identicon

Veistu hvað eru margir "Certified ISO 27001 Lead Auditors" á Íslandi ?

Og þá skv ISO 19011 ?

Ætli maður fái vinnu ef maður flytur aftur "heim" ?

Fransman (IP-tala skráð) 30.4.2008 kl. 16:14

2 Smámynd: Marinó G. Njálsson

Varðandi atvinnumöguleikana, þá held ég að einkunnarorð síðunnar þinnar eigi bara best við:  ,,Hver er sinnar gæfu smiður!"  Sjálfur fitna ég ekkert ógurlega á þeim verkefnum sem ég er með.

Varðandi fjölda ,,Certified ISO 27001 Lead Auditors" á Íslandi, þá held ég að ég fari með rétt mál að aðeins einn Íslendingur (sem er starfandi hér á landi) hafi réttindi til að leiða úttekt.  Hvort hann sé ,,certified" skv. ISO 19011 veit ég ekki.  Síðan erum við nokkur sem höfum lokið Lead Auditor námskeiðinu með prófi, en höfum ekki tekið þátt í þeim tilskylda fjölda úttekta sem þarf til að mega stjórna/leiða úttektir.  Hitt er annað að þau eru ekki mörg íslensku fyrirtækin sem hafa farið í úttekt og því hafa ekki gefist mörg tækifæri til að taka þátt í úttektum hér á landi. 

Ert þú að sinna svona verkefnum í Frakklandi? 

Marinó G. Njálsson, 30.4.2008 kl. 22:33

Bæta við athugasemd

Ekki er lengur hægt að skrifa athugasemdir við færsluna, þar sem tímamörk á athugasemdir eru liðin.

Höfundur

Marinó G. Njálsson
Marinó G. Njálsson
Upplýsingaöryggi og persónuvernd eru mínar ær og kýr, þó ég blaðri um allt og ekkert hér á blogginu. Er í Hagsmunasamtökum heimilanna og berst fyrir réttlæti fyrir heimili í landinu.  Loks er ég faggiltur leiðsögumaður.  Netfangið mitt er mgn@islandia.is og netfang fyrirtækisins oryggi@internet.is.

Heimsóknir

Flettingar

  • Í dag (21.11.): 7
  • Sl. sólarhring: 7
  • Sl. viku: 41
  • Frá upphafi: 1680022

Annað

  • Innlit í dag: 7
  • Innlit sl. viku: 37
  • Gestir í dag: 7
  • IP-tölur í dag: 7

Uppfært á 3 mín. fresti.
Skýringar

Nóv. 2024
S M Þ M F F L
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

Innskráning

Ath. Vinsamlegast kveikið á Javascript til að hefja innskráningu.

Hafðu samband