30.4.2008 | 11:35
PCI gagnaöryggisstaðallinn - kröfur um uppfyllingu og ISO 27002
Mjög mörg fyrirtæki hér á landi þurfa að uppfylla kröfur gagnaöryggisstaðals greiðslukortafyrirtækjanna VISA og MasterCard eða Payment Card Industry (PCI) Data Security Standard (DSS). Í þessari grein verður farið yfir helstu atriði sem skipta máli.
Ásókn óprúttinna aðila í korthafaupplýsingar og kortafærslur hefur aukist mikið undanfarin ár. Er nú svo komið að í hverri viku koma upp mál, þar sem í ljós kemur að óviðkomandi hefur komist yfir slíkar upplýsingar og líklegast misnotað á einn eða annan hátt. Þetta hefur valdið bönkum, kortafyrirtækjum, söluaðilum og korthöfum margvíslegu tjóni. Alvarlegast er þegar brotist er inn í upplýsingakerfi, sem geyma korthafaupplýsingar, og er þá oftar en ekki stolið miklu magni upplýsinga, en algengast er að óheiðarlegir starfsmenn fyrirtækja afriti upplýsingar ýmist af segulrönd korta eða hreinlega útprentun söluaðila.
Til að reyna að sporna við þessu sameinuðust greiðslukortafyrirtækin VISA og MasterCard um gagnaöryggisstaðal, þ.e. Payment Card Industry Data Security Standard (PCI DSS), til að aðstoða fyrirtæki við að vernda viðskiptavini sína og verja orðspor sitt.
Ekki er ætlunin að fjalla um PCI DSS staðalinn sjálfan hér, en fyrir þá sem ekki þekkja til hans og vilja fá nánari fróðleik, er hægt að fá nánari upplýsingar hér og hér.
Nokkuð virðist hafa borið á því að fyrirtæki séu ekki með það á hreinu hverjir þurfa að uppfylla kröfur PCI DSS. Það er nokkuð einfalt: Undir kröfur PCI DSS falla allir sem taka við eða vinna með greiðslukort. VISA hefur gengið svo langt að allir meðlimabankar (e. member banks) skuli uppfylla PCI DSS. Svo kallaðir færsluhirðar (e. acquiring banks), t.d. VALITOR, Borgun og Kortaþjónustan, skulu síðan sjá til þess að allir söluaðilar sem eru í viðskiptum við færsluhirðinn uppfylli kröfurnar. Hvað hver aðili þarf að gera veltur á stærð hans og hvernig móttöku greiðsluheimilda er hátta. Aðili sem, t.d., vistar engar korthafaupplýsinga á upplýsingakerfum sínum, þá er það hlutverk þjónustuaðila viðkomandi að sýna fram á hlítingu við kröfurnar, en ábyrgðin er samt söluaðilans. Slíkir þjónustuaðilar geta verið smásalar, hugbúnaðarhús með sérhannaðan hugbúnað, færsluhirðir, aðili sem veitir greiðsluþjónustu, gagnamiðstöð, vefhýsingaraðili og hugbúnaðarsali með pakkalausnir. Allir framangreindra aðila þurfa því að innleiða ráðstafanir til að uppfylla kröfur PCI DSS.
Misjafnt er hvort fyrirtæki þurfa að fara í gegnum vottaðar úttektir, hvort þau þurfa að skila skýrslum eða eingöngu er mælt með því að aðili geri slíkt. Skipta má þessu kröfum í þrjá flokka eftir umfangi kortaviðskipta:
1. Stórir söluaðilar (e. merchants) sem eru með meira en 6.000.000 færslur á ári þurfa að:a. Fara árlega í gegnum úttekt á staðnum (e. on-site audit)
b. Framkvæma ársfjórðungslega veikleika skönnun (e. vulnerability scan)
2. Vefsöluaðilar (e. e-commecre merchants) sem eru með færslufjölda milli 20.000 og 6.000.000 færslna og millistórir söluaðilar sem eru með milli 1.000.000 og 6.000.000 færslur á ári þurfa að:a. Fara árlega í gegnum sjálfsmatsspurningar (e. Self-Assessment Questionnaire)
b. Framkvæma ársfjórðungslega veikleika skönnun (e. vulnerability scan)
3. Fyrir minni söluaðila, t.d. sem nota Posa, innhringingu eða tölvupóst, sem taka við innan við 1.000.000 færslna á ári, er mælt með því að þeir:a. Fara árlega í gegnum sjálfsmatsspurningar (e. Self-Assessment Questionnaire)
b. Framkvæma ársfjórðungslega veikleikaskönnun (e. vulnerability scan)
Hér á landi fellur mjög stór hópur söluaðila undir lið 3, þ.e. eingöngu er mælt með því að þeir framkvæmi úttektir og fari í gegnum veikleikaskönnun. Færsluhirðar geta þó beðið um upplýsingar frá þeim hvenær sem er, enda þarf hann að vera viss um að söluaðilar, sem tengjast honum, séu traustverðugir og uppfylli kröfur PCI DSS. Fyrirtæki með margar verslanir eða dótturfyrirtæki telst vera einn söluaðili, ef færslumóttökunni er beint á einn stað. Ef færslumóttökunni er dreift á landfræðilega aðskilin upplýsingakerfi (þ.e. í mismunandi húsnæði) og uppgjör eru framkvæmd fyrir hvern færslusöfnunarstað fyrir sig, þá telst hver staður vera sjálfstæður söluaðili í samkvæmt kröfunum að ofan.
Betri ákvörðun ráðgjafaþjónusta Marinós G. Njálssonar veitir ráðgjöf til fyrirtækja sem þurfa að uppfylla kröfur PCI DSS. M.a. hefur verið tekið saman skjal þar sem kröfum PCI DSS er varpað yfir í upplýsingaöryggisstaðlana ISO 27001 og ISO 27002 (áður ISO 17799). Skjalið inniheldur einnig tillögur að orðalagi öryggis- og/eða verklagsreglna sem hægt er að hafa sem hluta af öryggishandbók, leiðbeiningum til starfsmanna eða starfsreglna sem fylgt er í tengslum við móttöku, vinnslu eða vörslu greiðslukorta upplýsinga. Hægt er að fá nánari upplýsingar um ráðgjöf fyrirtækisins og þessar varpanir með því að senda tölvupóst á oryggi@internet.is.
RSSHeimsóknir
Flettingar
- Í dag (26.4.): 5
- Sl. sólarhring: 6
- Sl. viku: 44
- Frá upphafi: 1678171
Annað
- Innlit í dag: 5
- Innlit sl. viku: 43
- Gestir í dag: 5
- IP-tölur í dag: 5
Uppfært á 3 mín. fresti.
Skýringar
Eldri færslur
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
Tenglar
Upplýsingaöryggi og persónuvernd
- Betri ákvörðun ráðgjafarþjónusta Marinós G. Njálssonar
- CISA, CISM, COBIT, Val IT
- Staðlaráð Íslands
- Heimasíða Persónuverndar
Hagsmunabarátta
- Hagsmunasamtök heimilanna
- Hugmyndir að úrræðum fyrir almenning
- Færa þarf höfuðstól lánanna niður
- Fólk þarf leið út úr fjárhagsvandanum
- Innlegg í naflaskoðun og endurreisn
- Er raunhæft að afnema verðtrygginguna eða setja henni skorður?
- Aðgerðaráætlun fyrir Ísland
- Hinn almenni borgari á að blæða
- Leið ríkisstjórnarinnar er röng
- Innantómar aðgerðir til stuðnings heimilunum
- Tillögur talsmanns neytenda
- Á hverju munu Íslendingar lifa?
- Verðbólga sem hefði geta orðið
- Aðgerða þörf strax - Tillaga að aðgerðahópum
- Mikilvægast að varðveita störfin
- Hvar setjum við varnarlínuna?
- 385 milljarða til bankanna og reikningurinn til heimilanna
- 2009 gengið í garð, ár endurreisnar, en hvernig endurreisn viljum við?
- Jöklabréf, erlend lán og vaxtaskiptasamningar
Færsluflokkar
- Áhættustjórnun
- Bloggar
- Dægurmál
- Efnahagsmál
- Endurreisn
- Ferðalög
- Ferðaþjónusta
- Heimspeki
- HRUNIÐ
- Icesave
- Íbúðalánasjóður
- Íþróttir
- Lánamál
- Leiðsögn
- Lífeyrissjóðir
- Lífspeki
- Menning og listir
- Menntun og skóli
- Neytendavernd
- Persónuvernd
- Skuldamál heimilanna
- Snjóhengjur
- Stjórnmál og samfélag
- Trúmál og siðferði
- Tölvur og tækni
- Umhverfismál
- Upplýsingaöryggi
- Utanríkismál/alþjóðamál
- Viðskipti og fjármál
- Vinir og fjölskylda
- Vísindi og fræði
Athugasemdir
Veistu hvað eru margir "Certified ISO 27001 Lead Auditors" á Íslandi ?
Og þá skv ISO 19011 ?
Ætli maður fái vinnu ef maður flytur aftur "heim" ?
Fransman (IP-tala skráð) 30.4.2008 kl. 16:14
Varðandi atvinnumöguleikana, þá held ég að einkunnarorð síðunnar þinnar eigi bara best við: ,,Hver er sinnar gæfu smiður!" Sjálfur fitna ég ekkert ógurlega á þeim verkefnum sem ég er með.
Varðandi fjölda ,,Certified ISO 27001 Lead Auditors" á Íslandi, þá held ég að ég fari með rétt mál að aðeins einn Íslendingur (sem er starfandi hér á landi) hafi réttindi til að leiða úttekt. Hvort hann sé ,,certified" skv. ISO 19011 veit ég ekki. Síðan erum við nokkur sem höfum lokið Lead Auditor námskeiðinu með prófi, en höfum ekki tekið þátt í þeim tilskylda fjölda úttekta sem þarf til að mega stjórna/leiða úttektir. Hitt er annað að þau eru ekki mörg íslensku fyrirtækin sem hafa farið í úttekt og því hafa ekki gefist mörg tækifæri til að taka þátt í úttektum hér á landi.
Ert þú að sinna svona verkefnum í Frakklandi?
Marinó G. Njálsson, 30.4.2008 kl. 22:33
Bæta við athugasemd [Innskráning]
Ekki er lengur hægt að skrifa athugasemdir við færsluna, þar sem tímamörk á athugasemdir eru liðin.