>> Hvad går de skærpede sikkerhedskrav fra VISA og MasterCard ud på? >> Hvornår er sikkerhedskravene trådt i kraft? >> Hvilke virksomheder skal overholde sikkerhedskravene? >> Hvad kræves for at kunne opfylde sikkerhedskravene? >> Efter hvor lang tid udløber en PCI-certificering? >> Hvordan foregår den påkrævede sikkerhedsgennemgang? >> Hvordan foregår den påkrævede sikkerhedsskanning? >> Hvem kontrollerer at sikkerhedskravene bliver opfyldt? >> Hvornår blev FortConsult certificeret til at udføre kontrollen? >> Hvad indebærer en certificering? >> Hvorfor er FortConsult blevet certificeret? >> Hvordan lyder FortConsults kommentarer til standarden? >> Hvilken dansk virksomhed blev sikkerhedsgodkendt som de første? >> Hvorfor har DIBS valgt at blive sikkerhedsgodkendt allerede nu? >> Hvem valgte DIBS som certificeret sikkerhedsleverandør og hvorfor? >> Hvad synes DIBS om samarbejdet med FortConsult? >> Hvilke certificerede ydelser kan FortConsult tilbyde?   Hvad går de skærpede sikkerhedskrav fra VISA og MasterCard ud på? VISA og MasterCard har igennem de seneste år arbejdet på nogle initiativer, som skal medvirke til at hæve sikkerhedsniveauet hos de virksomheder, der håndterer kreditkort-informationer på nettet. Initiativet fra VISA hed oprindeligt AIS-programmet og MasterCards initiativ hed SDP-programmet.   I 2005 blev de forskellige initiativer til en fælles, verdensomspændende sikkerhedsstandard for VISA og Mastercard - og en række af de øvrige betalingskort har også tilsluttet sig denne standard. Standarden er blevet navngivet PCI, som står for Payment Card Industry og hedder i al sin enkelthed Payment Card Industry Data Security Standard - i daglig tale PCI-standarden.   Formålet med PCI-standarden er at have en fælles, international standard for, hvordan kreditkortdata skal håndteres. Standarden definerer en række krav til opbevaring, transmission og håndtering af kortdata - og til hvordan det skal kontrolleres, at kravene bliver overholdt.   Alle kortorganisationer, som er repræsenteret på det danske marked, har tilsluttet sig PCI-standarden. Og da langt størstedelen af de udstedte Dankort i dag er kombineret med VISA, gælder den nye sikkerhedsstandard også for Dankort. Læs mere om PCI-standarden på: http://www.visaeurope.com/documents/ais/datasecuritystandard.pdf   Hvornår er sikkerhedskravene trådt i kraft?  PCI-standarden trådte i kraft 1. juli 2005 og indebærer, at virksomheder, der håndterer kreditkort-informationer og butikker af en vis størrelse har skullet imødekomme sikkerhedskravene i standarden siden udgangen af 2005.   Hvilke virksomheder skal overholde sikkerhedskravene?  Følgende virksomheder skal overholde kravene: Indløsere af kreditkort (acquirers) – i Danmark er det kun PBS Kort-processorer, udbydere af outsourcet kreditkortbetaling og anden it-service som indeholder kreditkort-transaktioner (service providers) Leverandører af betalingssoftware Butikker med kreditkortbetaling inkl. dankort (merchants)   Alle, der har med betalingskort at gøre, skal overholde reglerne, men mængden af kortdata bestemmer, hvor stor en kontrol, der skal foretages. Det er eksempelvis kun obligatorisk for butikker med mere end 20.000 kreditkort-transaktioner om året at få udført en kontrol, forudsat de selv håndterer betalingen. Har man færre transaktioner, er det stadigvæk et krav fra VISA og MasterCard, at man skal overholde sikkerhedskravene, men de udfører ikke kontrol med det. Butikker, der ikke selv håndterer betalingen eller har transmissioner over TCP/IP-netværk, er generelt ikke underlagt sikkerhedskravene.   En guide for merchants: http://www.visaeurope.com/documents/ais/members_guide.pdf   En guide for service providers: http://www.visaeurope.com/documents/ais/service_providers_guide.pdf   Hvad kræves for at kunne opfylde sikkerhedskravene? For at blive godkendt af VISA og MasterCard og opnå en PCI-certificering kræves, at man får foretaget en sikkerhedsgennemgang af en leverandør, der er certificeret af VISA og MasterCard. Sikkerhedsgennemgangen skal udføres én gang om året.   Herudover skal man have udført en sikkerhedsskanning hvert kvartal – ligeledes af en certificeret leverandør. Skanningen vil give svar på, om orme og amatørhackere kan få adgang til it-systemerne og dermed kreditkortinformationerne, og den skal omfatte alle it-systemer, der er tilgængelige fra internettet.   Efter hvor lang tid udløber en PCI-certificering?  En PCI-certificering udløber i løbet af et år og skal derfor forlænges årligt.   Hvordan foregår den påkrævede sikkerhedsgennemgang?  PCI-sikkerhedsgennemgangen foregår ved, at den certificerede leverandør via interviews og fysiske, tekniske inspektioner vurderer, om sikkerheden er i orden ud fra VISAs tjekliste på mere end 200 punkter. Her udover skal der udføres en grundig sikkerhedstest, som vil give svar på, om virksomheden er resistent over for angreb fra dygtige hackere. Den samlede vurdering sendes til VISA, som foretager den formelle sikkerhedsmæssige godkendelse baseret på leverandørens anbefaling.   Hvad undersøges i sikkerhedsgennemgangen? Sikkerhedsgennemgangen fokuserer på sikkerhed i og omkring de systemer, der håndterer og lagrer kreditkortnumre - det vil sige servere, udviklingsmiljøer, backup-systemer og lignende. Der stilles relativt strenge krav til alle områder.   I gennemgangen undersøges blandt andet følgende områder: Om der er foretaget en årlig sikkerhedstest og kvartalsvise skanninger Placering og konfiguration af firewall(s) Passwordpolitik og password på netværksenheder Sikkerheden for gemte data - herunder sletning, maskering af data, adgang til data, kryptering og backup Kryptering af data sendt over Internettet, på e-mail og via trådløst net Fungerende procedurer for patchning og opdatering af antivirus Procedure for sikker udvikling og testning Begrænsning af medarbejdernes adgang til kortdata Begrænsning og overvågning af fysisk adgang Fysisk destruktion af oplysninger på alle former for medier Overvågning af hændelser på udstyr og netværk Udvidet it og it-sikkerhedspolitik Ansvar i forhold til underleverandører   Hvordan foregår den påkrævede sikkerhedsskanning? Sikkerhedsskanningen foregår ved at it-systemerne skannes via automatiske værktøjer af en certificeret leverandør. Ved at benytte en certificeret leverandør sikrer VISA og MasterCard sig, at alle alvorlige sikkerhedshuller bliver fundet.   Sikkerhedshullerne bliver dokumenteret i en udførlig rapport, som virksomheden kan benytte til at få bragt sikkerheden i orden i henhold til VISA og MasterCards krav.   Hvad testes i sikkerhedsskanningen? Sikkerhedsskanningen består af en sikkerhedstest af alle it-systemer, der vender ud mod internettet, og som har kontakt med kreditkort-miljøet, herunder firewalls, mail-servere, web-servere, dns-servere og load balancers. Herudover skal der udføres en skanning af web-applikationer og trådløse netværk.   Ingen systemer må have sårbarheder, der vurderes at have risikoen "high". I så fald skal sårbarheden udbedres, og der skal udføres en ny test, der verificerer, at sårbarheden er fjernet.   Hvem kontrollerer at sikkerhedskravene bliver opfyldt? VISA og MasterCard udfører kontrollen selv i enkelte lande. I den øvrige del af verden har de udpeget sikkerhedsleverandører til at udføre kontrollen på deres vegne. Disse sikkerhedsvirksomheder er certificeret - det vil sige på forhånd godkendt - af VISA og Mastercard til at udføre denne kontrol. I Skandinavien er FortConsult den første - og indtil nu eneste - sikkerhedsvirksomhed, der er blevet certificeret af VISA og MasterCard til at udføre både sikkerhedsgennemgange og -skanninger efter PCI-standarden.   Hvornår blev FortConsult certificeret til at udføre kontrollen?  FortConsult blev som den første virksomhed i Skandinavien certificeret af VISA og MasterCard til at udføre sikkerhedsskanninger i november 2004. I august 2005 fulgte certificeringen i sikkerhedsgennemgange. Også denne gang var FortConsult de første i Skandinavien.   Pr. 26. september 2006 er FortConsult fortsat den eneste danske virksomhed, som kan udføre både sikkerhedsgennemgange og -skanninger efter PCI-standarden. På europæisk plan er femten virksomheder PCI-certificeret pr. denne dato - inklusive FortConsult.   Se VISAs liste med certificerede sikkerhedsleverandører i Europa: http://www.visaeurope.com/documents/ais/qualified_security_assessors.pdf   Hvad indebærer en certificering?  For at blive certificeret af VISA og MasterCard til at udføre PCI-sikkerhedstest er proceduren, at man skal bestå en praktisk prøve, der dokumenterer sort på hvidt, at éns sikkerhedstest lever op til standarden. Det samme er gældende for at blive certificeret i at udføre PCI-sikkerhedsgennemgange. Her skal man op til både en teoretisk og en praktisk prøve, hvor man gennemgår sikkerheden i en aktuel virksomhed. Herudover foretager VISA stikprøver af éns arbejde undervejs.   Hvorfor er FortConsult blevet certificeret?  "Vi hørte først om de sikkerhedskrav fra PBS, som anbefalede os at blive certificeret. PBS har gennem flere år været kunde hos FortConsult, så det var naturligt for dem at tage fat i os.   Vores certificering åbner op for en masse nye forretningsmuligheder. Ikke kun i den finansielle sektor, som vi er specielt stærke indenfor, men også ikke-finansielle virksomheder kan få fordele af at benytte en leverandør, der har fået sine ydelser blåstemplet af VISA og MasterCard. Oveni er det et generelt plus for forretningen at blive kigget efter i sømmene og få andre til at sige god for, at vi er et sundt og velkvalificeret firma."   Hvordan lyder FortConsults kommentarer til standarden?  "Vi er glade for, at VISA og MasterCard har indført en standard, som vores sikkerhedstest, StaySolid™, og sikkerhedsgennemgange, StaySafe™ Review, er blevet afprøvet op imod. Det kan netop være et problem for mange kunder i dag at sammenligne kvaliteten af de mange forskellige penetrationstest og audits, der findes på markedet.   Standarden vil uden tvivl medvirke til at sikre en ensartet kvalitet i de sikkerhedsgennemgange og -test, der bliver udført - og gøre det nemmere for kunderne at vælge leverandør. Nu har de i hvert fald mulighed for at få en garanti for, at deres sikkerhedsleverandør lever op til standarden."   Hvilken dansk virksomhed blev sikkerhedsgodkendt som de første?  Den første danske virksomhed, som er blevet sikkerhedsgodkendt efter PCI-ordningen af VISA og MasterCard er DIBS, Danmarks største leverandør af betalingsløsninger. DIBS udbyder betalingsløsninger baseret på Internet-teknologi og betjener i dag mere end 2000 virksomheder i 15 lande. Læs mere om DIBS på www.dibs.dk   Hvorfor har DIBS valgt at blive sikkerhedsgodkendt allerede nu?  Adm. direktør Jon Wichmann udtaler for DIBS:   "For et kunne bibeholde vores position som en af Skandinaviens førende udbydere af betalingsløsninger er det helt afgørende, at vi lever op til de nyeste sikkerhedskrav. Vi er stolte af at være blevet PCI-godkendt som den første virksomhed i Danmark og derved få mulighed for at vise vores kunder, at vi tager sikkerhed alvorligt. Og at bidrage til at sætte en høj standard inden for it- og datasikkerhed."   Hvem valgte DIBS som certificeret sikkerhedsleverandør og hvorfor?  DIBS valgte at få FortConsult til at foretage den sikkerhedsmæssige gennemgang af deres virksomhed. DIBS’ adm. direktør Jon Wichmann udtaler følgende om årsagen til valget:   "Vi valgte FortConsult som it-sikkerhedsleverandør på grund af deres stærke renommé i branchen. Herudover var det en klar fordel, at de som de allerførste i Danmark var blevet certificeret til at udføre sikkerhedstest og -audits på VISA og MasterCards vegne. Vi ønskede nemlig at få en sikkerhedsgodkendelse hurtigst muligt og forventede, at det ville glide nemmest med en dansk leverandør."   Hvad synes DIBS om samarbejdet med FortConsult?  Jon Wichmann, adm. direktør i DIBS, udtaler om samarbejdet:   "Samarbejdet med FortConsult har været en meget positiv oplevelse. De har været meget fleksible og gode til at imødekomme vores behov. Og fokus har hele vejen igennem været rettet mod de ting, der har reel betydning. Vi er meget tilfredse med at være Danmarks første virksomhed, der har opnået en sikkerhedsgodkendelse fra VISA og MasterCard."   Hvilke certificerede ydelser kan FortConsult tilbyde?  FortConsults sikkerhedsgennemgang, StaySafe™ Review, og FortConsults sikkerhedsstest, StaySolid™, er blevet certificeret af VISA og MasterCard. Læs mere >> om FortConsults PCI-sikkerhedsgennemgange og PCI-sikkerhedstest. Tilbage >