Kontakt FortConsult, hvis I vil vide: Hvordan I skal for- tolke sikkerheds- kravene i PCI-stan- darden Om I har mulighed for at undgå at blive PCI-certificeret Hvordan I nemmest og hurtigst bliver PCI-godkendt Hvordan I kan mini- mere jeres omkost- ninger til at opnå PCI-godkendelsen Herudover kan vi hjælpe jer sikkert frem til en PCI-godkendelse. FortConsult er den eneste danske virksomhed, som er certificeret af kredit- kortselskaber til at udføre sikkerhedstjek af virk- somheders kritiske betalingssystemer i henhold til PCI-stan- darden. Herudover er FortConsult de eneste i Danmark, som er certificeret til at tjekke sikkerheden i betalingssoftware i hen- hold til PA-standarden. Danske banker, som udsteder eller indløser kreditkort skal uden undtagelse overholde kreditkortselskabernes PCI-standard. Det fremgår af kreditkortselskabernes operating manual, som beskriver de forpligtelser, som en bank skal overholde, hvis banken har licens til kreditkort. I praksis betyder det, at selvom PBS har licensen til kreditkort i Danmark, er alle banker omfattet af licensaftalen og som følge heraf forpligtiget til at opnå en PCI-godkendelse.   Udover at det er et krav, at banker skal følge PCI-standarden, er der en række fordele ved at gøre det:   Undgår generne ved et korttyveri PCI-standarden har til formål at beskytte kreditkortdata og de gener, der følger i kølvandet på et korttyveri. For banker drejer det sig primært om genudstedelse af kreditkort, dækning af tabet på de kort, der er blevet svindlet på, og en oprydning i it-systemerne. Herudover kan bankens image tage skade, hvis banken bliver udsat for kreditkorttyverier.   Attraktivt mål for hackere Tyveri af kreditkortdata har været stærkt stigende gennem de seneste år. I dag er kreditkortoplysninger efterhånden blevet et ligeså eftertragtet mål for hackere som netbanker. Samtidig er der en stigende tendens til, at butikker fjerner kreditkortdataene, så det primært er bankerne, som hackere kan stjæle kortoplysninger fra. Herudover er det i forvejen bankerne, som har adgang til de fulde kreditkortoplysninger inklusiv pinkodedata.   Uhensigtsmæssig beskyttelse af kreditkortdata Selv om de fleste banker har godt styr på deres it-sikkerhed generelt, har deres risikovurdering traditionelt set ikke taget højde for den stærkt stigende risiko for at få stjålet kreditkortdata. Bankernes systemer er i mange tilfælde designet på en måde som er uhensigtsmæssig i forhold til at beskytte kreditkortdata, fx ved at kreditkortnummeret benyttes som den primære nøgle. Derfor er det vigtigt at sætte ind for at forbedre både it-systemerne og processerne, så kreditkortsikkerheden dækker lige fra lagring af data på mainframes til forretningsgangene i filialerne.   Med andre ord er der mange gode grunde til at gøre noget ved kreditkortsikkerheden i danske banker, og her kan PCI-standarden være brugbar - ud over at være et krav. Husk også, at I formentlig kan spare tid på jeres interne revision, når I er blevet PCI-godkendt, fordi de kan gennemgå jeres it-sikkerhed med udgangspunkt i jeres PCI-godkendelse.   Effektiv PCI-hjælp Hvorvidt netop jeres bank skal have udført en audit, afhænger af, om I er indløserbank eller udstederbank - og af hvad I aftaler med kreditkortselskabernes organisation, PCI Council. Lige gyldigt hvilke PCI-krav I skal opfylde, kan FortConsult hjælpe jer - enten med rådgivning om, hvordan kravene skal fortolkes og afgrænses mellem jer og jeres datacenter eller ved at udføre en audit, som kan godkendes af kreditkortselskaberne og lede jer til en PCI-godkendelse.   Vi har desuden mulighed for at tilbyde jer en gap-analyse, hvor vi finder frem til jeres præcise PCI-scope inklusive, hvor langt I er fra at kunne opnå en PCI-godkendelse, og hvad I skal foretage jer - hverken mere eller mindre - for at blive klar. En sådan analyse er efter vores erfaring den bedste løsning til at få overblik over, hvor I skal sætte ind for at kunne opfylde PCI-standarden. På den måde sikrer I jer, at I kan arbejde effektivt hen imod at blive auditeret og opnå en PCI-godkendelse frem for at skulle haste det hele igennem og først risikere at blive færdige i sidste øjeblik.   I løbet af gap-analysen er det vigtigt, at I løbende kommunikerer jeres PCI-status til kreditkortselskaberne, når de har udstukket de præcise PCI-krav og tidsfrister for jeres PCI-godkendelse, så I får ro til at gennemføre en velovervejet og balanceret PCI-proces. FortConsult varetager gerne denne kommunikation for jer.   Hvorfor vælge FortConsult som PCI-partner? FortConsult er den eneste danske sikkerhedsvirksomhed, som er godkendt af PCI Council til at udføre audits og scanninger på kreditkortselskabernes vegne. Vi var den første virksomhed i Skandinavien, der blev PCI-certificeret, og har siden da opbygget en betydelig erfaring i at fortolke kravene fra kreditkortselskaberne og samarbejde med PCI Council og kreditkortselskaberne. Det betyder for jer, at vi kan hjælpe jer med at blive PCI-godkendt på den mest effektive måde.   Udvalgt af banksektoren På grund af vores mange kunder i den finansielle sektor og vores tidlige PCI-certificering, er vi blevet udvalgt af banksektoren til at hjælpe danske bankdatacentre med at blive PCI-godkendt. Herudover er vi fast sikkerhedsleverandør til de fleste danske banker med behov for PCI-assistance. Derved har vi opbygget stor erfaring i at vurdere, hvor meget der er nødvendigt for at blive PCI-godkendt og i at fastlægge grænsefladerne mellem bankernes og deres datacentres it-systemer.   Vælger I at samarbejde med FortConsult på PCI-området, vil I derfor kunne nyde godt af, at repræsentanter for banksektoren har lagt eller er ved at lægge et fælles niveau sammen med os for sektorens kreditkortsikkerhed med udgangspunkt i vores løsningsforslag. Det gælder eksempelvis inden for områderne sikkerhed i MPLS-netværk, håndtering af ATM'er, logningskrav og trådløst netværk.   Praktisk erfaring i at fortolke PCI-standarden Vores generelle tilgang til PCI-arbejdet er at finde den rigtige balance mellem at gøre nok men samtidig ikke for meget. Vi ved i kraft af vores erfaring, hvad der kan lade sig gøre i praksis - også fordi vi har en godt, mangeårigt samarbejde med kreditkortselskaberne og PCI Council. Herudover kan vi tilbyde forskellige løsningsmuligheder for vores kunder, fordi vi ved, hvordan gråzonerne i PCI-standarden skal fortolkes.   Vores PCI-konsulenter har efterhånden udført en lang række audits og andre PCI-opgaver for skandinaviske virksomheder. Ud over at være gode til at sætte sig hurtigt ind i vores forskellige kunders "kreditkortverden" er de øvede projektledere, der formår at styre store PCI-projekter sikkert og effektivt i mål.   Hvis I vil vide mere om PCI-standarden, og hvordan I bedst opnår en PCI-godkendelse, er I velkomne til at kontakte os på info@fortconsult.net.   Vi er én ud af få aktører på PCI-markedet, som via vores kernekompetencer inden for professionel hacking kombinerer PCI-kravene med et grundlæggende fokus på hele hensigten bag PCI-standarden, nemlig at beskytte virksomheder mod kredittyveri fra ondsindede hackere. Det betyder som regel, at vi kan balancere PCI-kravene mod jeres eksisterende eller planlagte sikkerhedskontroller.   I det følgende kan I læse mere om selve PCI-standarden, og hvad den betyder for danske banker: Sikkerhedskravene til danske banker Afgrænsning af ansvar i forhold til datacentre Banker som har outsourcet driften Udstedelsesbankers sikkerhedskrav til andre Udstedelsesbankers PCI-udfordringer FortConsult og PCI-standarden Kom godt i gang Sådan bliver I klar til en PCI-godkendelse Kontakt os PCI-certificeret i 2004 til at udføre sikker- hedsskanninger som de første og eneste i Skandinavien. PCI-certificeret i 2005 til at udføre audits som de første og eneste i Skandina- vien. Udvalgt af den finan- sielle sektor til at hjælpe danske data- centraler med at blive PCI-godkendte pga. vores tidlige PCI-certi- ficering, vores betydelige erfaring på PCI-området og vores store kendskab til den finansielle branche. Fast PCI-leverandør til alle danske banker med behov for PCI- assistance. Har udført PCI-opga- ver for nogle af de største butikskæder i Norden på internatio- nalt plan. Er i dag den største PCI-leverandør i Nor- den og Baltikum. Vi har fx PCI-certifice- ret over 60 procent af virksomhederne på VISA's liste over godkendte skandina- viske service provi- ders. PA-certificeret i 2008 som de første og eneste i Danmark - og blandt de første 14 på verdensplan.