Leita Ý frÚttum mbl.is

PCI gagna÷ryggissta­allinn - kr÷fur um uppfyllingu og ISO 27002

Mj÷g m÷rg fyrirtŠki hÚr ß landi ■urfa a­ uppfylla kr÷fur gagna÷ryggissta­als grei­slukortafyrirtŠkjanna VISA og MasterCard e­a Payment Card Industry (PCI) Data Security Standard (DSS). ═ ■essari grein ver­ur fari­ yfir helstu atri­i sem skipta mßli.

┴sˇkn ˇpr˙ttinna a­ila Ý korthafaupplřsingar og kortafŠrslur hefur aukist miki­ undanfarin ßr. Er n˙ svo komi­ a­ Ý hverri viku koma upp mßl, ■ar sem Ý ljˇs kemur a­ ˇvi­komandi hefur komist yfir slÝkar upplřsingar og lÝklegast misnota­ ß einn e­a annan hßtt. Ůetta hefur valdi­ b÷nkum, kortafyrirtŠkjum, s÷lua­ilum og korth÷fum margvÝslegu tjˇni. Alvarlegast er ■egar brotist er inn Ý upplřsingakerfi, sem geyma korthafaupplřsingar, og er ■ß oftar en ekki stoli­ miklu magni upplřsinga, en algengast er a­ ˇhei­arlegir starfsmenn fyrirtŠkja afriti upplřsingar řmist af segulr÷nd korta e­a hreinlega ˙tprentun s÷lua­ila.

Til a­ reyna a­ sporna vi­ ■essu sameinu­ust grei­slukortafyrirtŠkin VISA og MasterCard um gagna÷ryggissta­al, ■.e. Payment Card Industry Data Security Standard (PCI DSS), til a­ a­sto­a fyrirtŠki vi­ a­ vernda vi­skiptavini sÝna og verja or­spor sitt.

Ekki er Štlunin a­ fjalla um PCI DSS sta­alinn sjßlfan hÚr, en fyrir ■ß sem ekki ■ekkja til hans og vilja fß nßnari frˇ­leik, er hŠgt a­ fß nßnari upplřsingar hÚr og hÚr.

Nokku­ vir­ist hafa bori­ ß ■vÝ a­ fyrirtŠki sÚu ekki me­ ■a­ ß hreinu hverjir ■urfa a­ uppfylla kr÷fur PCI DSS. Ůa­ er nokku­ einfalt: Undir kr÷fur PCI DSS falla allir sem taka vi­ e­a vinna me­ grei­slukort. VISA hefur gengi­ svo langt a­ allir me­limabankar (e. member banks) skuli uppfylla PCI DSS. Svo kalla­ir fŠrsluhir­ar (e. acquiring banks), t.d. VALITOR, Borgun og Korta■jˇnustan, skulu sÝ­an sjß til ■ess a­ allir s÷lua­ilar sem eru Ý vi­skiptum vi­ fŠrsluhir­inn uppfylli kr÷furnar. Hva­ hver a­ili ■arf a­ gera veltur ß stŠr­ hans og hvernig mˇtt÷ku grei­sluheimilda er hßtta. A­ili sem, t.d., vistar engar korthafaupplřsinga ß upplřsingakerfum sÝnum, ■ß er ■a­ hlutverk ■jˇnustua­ila vi­komandi a­ sřna fram ß hlÝtingu vi­ kr÷furnar, en ßbyrg­in er samt s÷lua­ilans. SlÝkir ■jˇnustua­ilar geta veri­ smßsalar, hugb˙na­arh˙s me­ sÚrhanna­an hugb˙na­, fŠrsluhir­ir, a­ili sem veitir grei­slu■jˇnustu, gagnami­st÷­, vefhřsingara­ili og hugb˙na­arsali me­ pakkalausnir. Allir framangreindra a­ila ■urfa ■vÝ a­ innlei­a rß­stafanir til a­ uppfylla kr÷fur PCI DSS.

Misjafnt er hvort fyrirtŠki ■urfa a­ fara Ý gegnum votta­ar ˙ttektir, hvort ■au ■urfa a­ skila skřrslum e­a eing÷ngu er mŠlt me­ ■vÝ a­ a­ili geri slÝkt. Skipta mß ■essu kr÷fum Ý ■rjß flokka eftir umfangi kortavi­skipta:

1. Stˇrir s÷lua­ilar (e. merchants) sem eru me­ meira en 6.000.000 fŠrslur ß ßri ■urfa a­:

a. Fara ßrlega Ý gegnum ˙ttekt ß sta­num (e. on-site audit)

b. FramkvŠma ßrsfjˇr­ungslega veikleika sk÷nnun (e. vulnerability scan)

2. Vefs÷lua­ilar (e. e-commecre merchants) sem eru me­ fŠrslufj÷lda milli 20.000 og 6.000.000 fŠrslna og millistˇrir s÷lua­ilar sem eru me­ milli 1.000.000 og 6.000.000 fŠrslur ß ßri ■urfa a­:

a. Fara ßrlega Ý gegnum sjßlfsmatsspurningar (e. Self-Assessment Questionnaire)

b. FramkvŠma ßrsfjˇr­ungslega veikleika sk÷nnun (e. vulnerability scan)

3. Fyrir minni s÷lua­ila, t.d. sem nota Posa, innhringingu e­a t÷lvupˇst, sem taka vi­ innan vi­ 1.000.000 fŠrslna ß ßri, er mŠlt me­ ■vÝ a­ ■eir:

a. Fara ßrlega Ý gegnum sjßlfsmatsspurningar (e. Self-Assessment Questionnaire)

b. FramkvŠma ßrsfjˇr­ungslega veikleikask÷nnun (e. vulnerability scan)
á

HÚr ß landi fellur mj÷g stˇr hˇpur s÷lua­ila undir li­ 3, ■.e. eing÷ngu er mŠlt me­ ■vÝ a­ ■eir framkvŠmi ˙ttektir og fari Ý gegnum veikleikask÷nnun. FŠrsluhir­ar geta ■ˇ be­i­ um upplřsingar frß ■eim hvenŠr sem er, enda ■arf hann a­ vera viss um a­ s÷lua­ilar, sem tengjast honum, sÚu traustver­ugir og uppfylli kr÷fur PCI DSS. FyrirtŠki me­ margar verslanir e­a dˇtturfyrirtŠki telst vera einn s÷lua­ili, ef fŠrslumˇtt÷kunni er beint ß einn sta­. Ef fŠrslumˇtt÷kunni er dreift ß landfrŠ­ilega a­skilin upplřsingakerfi (■.e. Ý mismunandi h˙snŠ­i) og uppgj÷r eru framkvŠmd fyrir hvern fŠrslus÷fnunarsta­ fyrir sig, ■ß telst hver sta­ur vera sjßlfstŠ­ur s÷lua­ili Ý samkvŠmt kr÷funum a­ ofan.

Betri ßkv÷r­un rß­gjafa■jˇnusta Marinˇs G. Njßlssonar veitir rß­gj÷f til fyrirtŠkja sem ■urfa a­ uppfylla kr÷fur PCI DSS. M.a. hefur veri­ teki­ saman skjal ■ar sem kr÷fum PCI DSS er varpa­ yfir Ý upplřsinga÷ryggissta­lana ISO 27001 og ISO 27002 (ß­ur ISO 17799). Skjali­ inniheldur einnig till÷gur a­ or­alagi ÷ryggis- og/e­a verklagsreglna sem hŠgt er a­ hafa sem hluta af ÷ryggishandbˇk, lei­beiningum til starfsmanna e­a starfsreglna sem fylgt er Ý tengslum vi­ mˇtt÷ku, vinnslu e­a v÷rslu grei­slukorta upplřsinga. HŠgt er a­ fß nßnari upplřsingar um rß­gj÷f fyrirtŠkisins og ■essar varpanir me­ ■vÝ a­ senda t÷lvupˇst ß oryggi@internet.is.

á


ź SÝ­asta fŠrsla | NŠsta fŠrsla

Athugasemdir

1 identicon

Veistu hva­ eru margir "Certified ISO 27001 Lead Auditors" ß ═slandi ?

Og ■ß skv ISO 19011 ?

Ătli ma­ur fßi vinnu ef ma­ur flytur aftur "heim" ?

Fransman (IP-tala skrß­) 30.4.2008 kl. 16:14

2 Smßmynd: Marinˇ G. Njßlsson

Var­andi atvinnum÷guleikana, ■ß held Úg a­ einkunnaror­ sÝ­unnar ■innar eigi bara best vi­:á ,,Hver er sinnar gŠfu smi­ur!"á Sjßlfur fitna Úg ekkert ˇgurlega ß ■eim verkefnum sem Úg er me­.

Var­andi fj÷lda ,,Certified ISO 27001 Lead Auditors" ß ═slandi, ■ß held Úg a­ Úg fari me­ rÚtt mßl a­ a­eins einn ═slendingur (sem er starfandi hÚr ß landi) hafi rÚttindi til a­ lei­a ˙ttekt.á Hvort hann sÚ ,,certified" skv. ISO 19011 veit Úg ekki.á SÝ­an erum vi­ nokkur sem h÷fum loki­ Lead Auditor nßmskei­inu me­ prˇfi, en h÷fum ekki teki­ ■ßtt Ý ■eim tilskylda fj÷lda ˙ttekta sem ■arf til a­ mega stjˇrna/lei­a ˙ttektir.á Hitt er anna­ a­ ■au eru ekki m÷rg Ýslensku fyrirtŠkin sem hafa fari­ Ý ˙ttekt og ■vÝ hafa ekki gefist m÷rg tŠkifŠri til a­ taka ■ßtt Ý ˙ttektum hÚr ß landi.á

Ert ■˙ a­ sinna svona verkefnum Ý Frakklandi?á

Marinˇ G. Njßlsson, 30.4.2008 kl. 22:33

BŠta vi­ athugasemd

Ekki er lengur hŠgt a­ skrifa athugasemdir vi­ fŠrsluna, ■ar sem tÝmam÷rk ß athugasemdir eru li­in.

Höfundur

Marinó G. Njálsson
Marinó G. Njálsson
Upplýsingaöryggi og persónuvernd eru mínar ær og kýr, þó ég blaðri um allt og ekkert hér á blogginu. Er í Hagsmunasamtökum heimilanna og berst fyrir réttlæti fyrir heimili í landinu.  Loks er ég faggiltur leiðsögumaður.  Netfangið mitt er mgn@islandia.is og netfang fyrirtækisins oryggi@internet.is.

Heimsˇknir

Flettingar

  • ═ dag (24.3.): 2
  • Sl. sˇlarhring: 3
  • Sl. viku: 52
  • Frß upphafi: 1673443

Anna­

  • Innlit Ý dag: 2
  • Innlit sl. viku: 45
  • Gestir Ý dag: 2
  • IP-t÷lur Ý dag: 2

UppfŠrt ß 3 mÝn. fresti.
Skřringar

Mars 2023
S M Ů M F F L
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  

Innskrßning

Ath. Vinsamlegast kveiki­ ß Javascript til a­ hefja innskrßningu.

Haf­u samband