|
|
 |
|
|
|
 |
 |
| FortConsult er den eneste danske virksomhed, som er certificeret af kredit- kortselskaber til at udføre sikkerhedstjek af virk- somheders kritiske betalingssystemer i henhold til PCI-stan- darden. Herudover er FortConsult de eneste i Danmark, som er certificeret til at tjekke sikkerheden i betalingssoftware i hen- hold til PA-standarden. |
|
|
|
|
|
|
|
|
 |
 |
|
 |
| |
| 1. PCI-standarden |
| VISA og MasterCard gik i 2005 sammen om at etablere en fælles, verdensomspændende sikkerhedsstandard. Standarden blev navngivet PCI, som står for Payment Card Industry og hedder "i al sin enkelthed" Payment Card Industry Data Security Standard - i daglig tale PCI-standarden. Efterfølgende tilsluttede virksomhederne bag en lang række af de øvrige betalingskort som fx Diners Club, Amex, JCB og Discover sig standarden. |
|
| |
Gælder også for Dankort
PCI-standarden er siden hen blevet udpeget og anerkendt som kreditkortselskabernes sikkerhedsstandard. Den gælder nu for alle kortorganisationer, som er repræsenteret på det danske marked. Og da langt størstedelen af de udstedte Dankort i dag er kombineret med VISA, gælder den nye sikkerhedsstandard også for Dankort. |
|
| |
PCI Council
I 2006 etablerede kreditkortselskaberne det såkaldte PCI Council, som er en organisation bestående af repræsentanter fra kreditkortselskaberne - ikke kun VISA og MasterCard - og fra virksomheder, der er underlagt PCI-sikkerhedskravene. PCI Councils formål er at vedligeholde PCI-standarden og etablere yderligere sikkerhedsstandarder, som vedrører betalingskort. |
|
| |
| I Danmark er det PBS, som beslutter, hvilke virksomheder der skal overholde PCI-standarden hvornår. |
| |
| 2. Baggrunden for PCI-standarden |
| Visa og MasterCard arbejdede igennem flere år på initiativer, som havde til formål at hæve sikkerhedsniveauet hos virksomheder, der håndterer kreditkortinformationer på nettet. Ganske enkelt for at minimere tilfældene, hvor kreditkortinformationer bliver stjålet og efterfølgende misbrugt. Initiativet fra VISA hed oprindeligt AIS-programmet, og MasterCards initiativ hed SDP-programmet. |
|
| |
Optrapning i antal hackerangreb
I 2005 besluttede VISA og MasterCard sig for at forbedre forsvarsværkerne. Det skyldtes en række forhold men uden tvivl især det faktum, at der var sket en optrapning af hackerangreb rettet mod kreditkortinformationer. Der var fx set flere alvorlige tilfælde af tyveri af kreditkortinformationer, hvor store summer var blevet stjålet over nettet. I Sverige blev eksempelvis mere end 800.000 euro stjålet fra omkring 24.000 europæiske kreditkort i restaurant- og hotelsektoren ved udgangen af 2005. Tyveriet skyldtes en sikkerhedsbrist hos en betalingssystem-leverandør. |
|
| |
Behov for en skærpet indsats
Eksemplet viste - sammen med andre eksempler - at der var behov for en skærpelse af sikkerheden i forbindelse med kreditkort-transaktioner. Ganske enkelt fordi hackerne var begyndt at interessere sig betydeligt mere for at stjæle kreditkortnumre og derved opnå økonomiske gevinster, samtidig med at der var kommet væsentligt flere dygtige hackere til. |
|
| |
Stigning i kriminaliteten sidenhen
Siden PCI-standarden blev indført i 2005, har vi oplevet en yderligere stigning i tyverier af kreditkortinformationer på nettet og i fysiske butikker. Derfor må man sige, at PCI-standarden er blevet introduceret på et velvalgt tidspunkt - og det er formentlig en af årsagerne til, at den er blevet udbredt så hurtigt. |
| |
| 3. Formålet med PCI-standarden |
| Formålet med PCI-standarden har været at introducere en fælles, international standard for, hvordan kreditkortdata skal håndteres. Ganske enkelt for at have en best practise for hvordan man beskytter sin virksomhed mod dygtige hackere, som målrettet går efter at stjæle kreditkortinformationer. Standarden definerer som et resultat heraf en række krav til opbevaring, transmission og håndtering af kortdata - og til hvordan det skal kontrolleres, at kravene bliver overholdt. |
| |
| 4. Hvem skal overholde PCI-standarden? |
| PCI-standarden trådte i kraft 1. juli 2005 og indebærer, at virksomheder, der håndterer kreditkort-informationer og butikker af en vis størrelse har skullet imødekomme sikkerhedskravene i standarden siden udgangen af 2005. |
|
| |
Virksomheder som skal overholde kravene
Følgende virksomheder skal overholde kravene:
- Indløsere af kreditkort (acquirers) - i Danmark er det kun PBS
- Kort-processorer, udbydere af outsourcet kreditkortbetaling og anden it-service som indeholder kreditkort-transaktioner (service providers) - fx DIBS, CSC og IBM
- Leverandører af betalingssoftware
- Butikker med kreditkortbetaling inkl. dankort (merchants)
- Underleverandører - til alle ovenfor nævnte typer virksomheder - med adgang til kortdata
|
|
| |
| Alle, der har med betalingskort at gøre, skal overholde reglerne, men mængden af kortdata bestemmer, hvor stor en kontrol, der skal foretages. Det er eksempelvis kun obligatorisk for butikker med mere end 20.000 kreditkort-transaktioner om året at få udført en kontrol, forudsat de selv håndterer betalingen. Har man færre transaktioner, er det stadigvæk et krav fra PCI Council, at man skal overholde sikkerhedskravene, men de udfører ikke kontrol med det. Butikker, der ikke selv håndterer betalingen eller har transmissioner over TCP/IP-netværk, er generelt ikke underlagt sikkerhedskravene. |
|
| |
Underleverandører skal også PCI-godkendes
Fra medio 2007 er mange nye virksomheder blevet underlagt PCI-standarden, typisk servicevirksomheder der fungerer som underleverandører til de virksomheder, som allerede er omfattet af standarden. En årsag til, at underleverandørerne nu også skal opfylde PCI-kravene, er, at 45 procent af de kreditkorttyverier, der har fundet sted, har skyldtes kriminelle handlinger fra underleverandører. Da virksomhederne, som allerede er omfattet af standarden, ikke kan opnå en PCI-godkendelse, med mindre deres underleverandører også opfylder PCI-kravene, vil underleverandørerne formentlig komme til at opleve et ekstra pres til at opnå en hurtig godkendelse. |
| |
| 5. Krav for at opnå en PCI-sikkerhedsgodkendelse |
| For at blive godkendt af PCI Council og opnå en PCI-godkendelse kræves, at man får foretaget en sikkerhedsaudit af en leverandør, der er certificeret af PCI Council. Auditen skal udføres én gang om året. |
|
| |
| Herudover skal man have udført en sikkerhedsskanning hvert kvartal - ligeledes af en certificeret leverandør. Skanningen vil give svar på, om orme og amatørhackere kan få adgang til it-systemerne og dermed kreditkortinformationerne, og den skal omfatte alle it-systemer, der er tilgængelige fra internettet. |
|
| |
Udløbsdato
En PCI-godkendelse udløber i løbet af et år og skal derfor forlænges årligt. |
|
| |
PCI-sikkerhedsaudit
PCI-sikkerhedsauditen foregår ved, at den certificerede leverandør via interview og fysiske, tekniske inspektioner vurderer, om sikkerheden er i orden ud fra PCI Councils tjekliste på mere end 200 punkter. Her udover skal der udføres en grundig sikkerhedstest, som vil give svar på, om virksomheden er resistent over for angreb fra dygtige hackere. Den samlede vurdering sendes til det relevante kreditkortselskab. |
|
| |
| Sikkerhedstjekket fokuserer på sikkerhed i og omkring de systemer, der håndterer og lagrer kreditkortnumre - det vil sige servere, udviklingsmiljøer, backup-systemer og lignende. Der stilles relativt strenge krav til alle områder. |
|
| |
I auditen undersøges blandt andet følgende områder:
- Om der er foretaget en årlig sikkerhedstest og kvartalsvise skanninger
- Placering og konfiguration af firewall(s)
- Passwordpolitik og password på netværksenheder
- Sikkerheden for gemte data - herunder sletning, maskering af data, adgang til data, kryptering og backup
- Kryptering af data sendt over internettet, på e-mail og via trådløst net
- Fungerende procedurer for patchning og opdatering af antivirus
- Procedure for sikker udvikling og testning
- Begrænsning af medarbejdernes adgang til kortdata
- Begrænsning og overvågning af fysisk adgang
- Fysisk destruktion af oplysninger på alle former for medier
- Overvågning af hændelser på udstyr og netværk
- Udvidet it og it-sikkerhedspolitik
- Ansvar i forhold til underleverandører
|
|
| |
PCI-sikkerhedsskanning
PCI-sikkerhedsskanningen foregår ved, at it-systemerne skannes via automatiske værktøjer af en certificeret leverandør. Ved at benytte en certificeret leverandør sikrer PCI Council sig, at alle alvorlige sikkerhedshuller bliver fundet.
Sikkerhedshullerne bliver dokumenteret i en rapport, som virksomheden kan benytte til at få bragt sikkerheden i orden i henhold til PCI Councils krav. |
|
| |
| Sikkerhedsskanningen skal udføres på alle it-systemer, der vender ud mod internettet, og som har kontakt med kreditkort-miljøet, herunder firewalls, mail-servere, web-servere, dns-servere og load balancers. Herudover skal der udføres en skanning af web-applikationer og trådløse netværk. |
|
| |
| Ingen systemer må have sårbarheder, der vurderes at have risikoen "high". I så fald skal sårbarheden udbedres, og der skal udføres en ny test, der verificerer, at sårbarheden er fjernet. |
| |
| 6. PCI-standardens scope |
| I princippet har PCI-standarden til formål at beskytte alle kreditkortinformationer - både over nettet og fysisk i butikkerne. Indtil primo 2007 har fokus i Danmark imidlertid været på den elektroniske del med formålet at forhindre hackere i at opsnappe data på nettet. Hvad enten det har været via internet-handel eller i tilfælde af, at butikkerne har sendt data mellem deres forskellige afdelinger via it-systemer, som er forbundet med internettet. Men fra 2007 steg antallet af tyverier fra fysiske butikker betragteligt, og derfor begyndte PBS nu også at fokusere på betalingskortsikkerheden i de fysiske butikker. |
|
| |
Flere tyverier fra fysiske butikker
I løbet af 2007 begyndte vi at se, at de fleste tyverier fandt sted i fysiske butikker, som ofte har en ringere beskyttelse end netbutikkerne. Der har især været tale om østeuropæiske bander, der installerer elektronisk overvågningsudstyr på dankortlæsere og derved får fat i en lang række kreditkortinformationer. Udover den ringere beskyttelse er et røveri i en fysisk butik typisk også mere indbringende for den kriminelle, fordi han eller hun får direkte adgang til kreditkortnumrene på en magnetstrimmel. Det betyder, at kortdataene blot skal kopieres over på et tomt magnetkort, hvorefter de kan benyttes direkte til at hæve pengene på kortene i en automat. Stjæler en tyv derimod kortnumre fra en netbutik, kan vedkommende enten sælge dataene til en hæler eller bruge dem til at købe ting for på nettet, hvilket naturligvis ikke er ligeså lukrativt. |
| |
| 7. Fordele ved PCI-standarden |
| PCI-standarden er en såkaldt kommerciel standard. Det vil sige, at der ikke er en frivillig organisation bag men derimod kreditkortvirksomheder, som har en stor kommerciel interesse i at sørge for, at det er sikkert at handle med kreditkort. Den kommercielle interesse kommer blandt andet til udtryk ved, at standarden er meget konkret, og at den løbende bliver opdateret, så den er så nyttig som mulig i praksis. Oveni bliver den håndhævet af de enkelte kreditkortselskaber over for de virksomheder, som er underlagt PCI-kravene - man kan også sige, at den bliver tvunget igennem. |
|
| |
| I teorien er det faktisk op til hvert enkelt kreditkortselskab, hvilke virksomheder de vil have til at overholde PCI-standarden, men i praksis har selskaberne den samme holdning til tingene. |
|
| |
Sanktioner
At PCI-standarden bliver håndhævet, betyder helt konkret, at kreditkortselskaberne følger op på, om standarden bliver fulgt og udsteder certifikater, når en virksomhed er blevet tjekket og godkendt. Og at der er sanktioner i tilfælde af, at standarden ikke bliver overholdt. Eksempelvis skal virksomheder, som får stjålet deres kreditkortinformationer, hæfte for kreditkortselskabernes tab, hvis ikke de har overholdt PCI-standarden. I praksis betyder det, at de skal betale en bøde pr. kreditkortnummer, som er blevet stjålet. |
|
| |
Fokus på at undgå tyveri af data
En anden fordel ved PCI-standarden er, at den er målrettet mod at beskytte data mod tyveri. På den måde adskiller sig væsentligt fra andre kendte, eksisterende standarder, som fx Dansk Standard DS 484 og Britisk Standard BS7799, som har til formål at beskytte virksomheder mod andre og bredere typer sikkerhedsmæssige problemer. Disse standarder fokuserer i høj grad på at beskytte virksomheder mod forhold, der truer den interne sikkerhed - det vil sige områder, hvor medarbejderne kan komme til at forårsage sikkerhedsmæssige problemer. Det kunne fx være forebyggende driftsmæssige aspekter som at sikre, at der bliver taget jævnlig backup, og at kølingen af serverrummet er tilstrækkelig, så man ikke risikerer server-nedbrud. |
|
| |
Dynamisk standard
PCI-standardens styrke er ikke kun, at den er målrettet mod at beskytte data, men også at den er særdeles dynamisk. PCI Council sidder til enhver tid inde med den mest værdifulde viden om, hvilke kreditkortinformationer der er blevet hacket og hvordan på tværs af virksomheder, da kreditkortselskabernes kunder er kontraktligt forpligtet til at rapportere tyverier af kreditkortinformationer til rådet. Samtidig er kunderne, som jo netop sidder inde med en masse forretningsviden fra forskellige brancher, repræsenteret i PCI Council. |
|
| |
| Sammenholdt med de betydelige ressourcer, som kreditkortselskaberne har sat af til at efterforske hackeres angrebsmetoder, betyder det i praksis, at PCI Council er i stand til at sørge for, at PCI-standarden løbende bliver tilrettet til at reflektere den opdaterede viden og derfor konstant vil kunne give optimal beskyttelse, også når hackerne udvikler nye angrebsmetoder. |
|
| |
| Til sammenligning lider de fleste andre virksomheders eller instansers viden om it-kriminalitet under, at der sjældent bliver foretaget en grundig undersøgelse efter et hackerangreb - og skulle det ske, kommer resultaterne som regel kun til kendskab internt i virksomheden. |
| |
| 8. Kontrollen udføres af godkendte sikkerhedsfirmaer |
| Det skal også nævnes, at arbejdet med at få defineret og implementeret de nødvendige sikkerhedsforanstaltninger for at kunne leve op til PCI-standarden og dermed få en PCI-godkendelse udføres af anerkendte sikkerhedsfirmaer, deriblandt FortConsult, som på forhånd er blevet tjekket og godkendt af PCI Council. Og dermed udpeget til at kontrollere, at virksomhederne lever op til PCI-standarden på kreditkortselskabernes vegne. |
|
| |
| Disse virksomheder er særdeles godt inde i, hvad der skal til i praksis for at blive PCI-godkendt og kan derfor hjælpe med, at man kommer direkte i mål første gang - uden at man behøver bruge tid og penge på de ting, som ikke er relevante. Selvom PCI-standarden er meget praktisk orienteret, er det en fordel at have nogle erfarne øjne til at rådgive om, hvad PCI Council mener eller lægger vægt på i forskellige situationer. |
|
| |
| Nogle af PCI Councils certificerede leverandører er kun i stand til at udføre de kvartalsvise skanninger, mens andre - og det er kun ganske få i hvert land - er godkendt til at udføre det årlige, dybdegående sikkerhedsaudits inklusiv den grundige sikkerhedstest. Sidstnævnte sikkerhedsleverandører har ikke kun fået gransket den tekniske kvalitet af deres arbejde, men deres virksomhed er også blevet set nøje efter i sømmene, inden de har opnået blåstemplingen som PCI-sikkerhedsleverandør. |
|
| |
Krav til sikkerhedsfirmaerne
For at blive certificeret af PCI Council til at udføre PCI-sikkerhedsskanninger på deres vegne er proceduren, at sikkerhedsfirmaerne skal bestå en praktisk prøve, der dokumenterer sort på hvidt, om deres sikkerhedsskanning lever op til standarden. Det samme er gældende for at blive certificeret i at udføre PCI-sikkerhedsaudits. Her skal sikkerhedsfirmaerne op til både en teoretisk og en praktisk prøve, hvor de gennemgår sikkerheden i en aktuel virksomhed. Herudover foretager PCI Council stikprøver af sikkerhedsfirmaernes arbejde undervejs. |
| |
| 9. Den nemmeste vej til en PCI-godkendelse |
| I Danmark er det PBS, som beslutter, hvilke virksomheder, der skal følge PCI-standarden. Det foregår i praksis på den måde, at PBS skridt for skridt opstiller tidsfrister for de forskellige typer virksomheder og følger op på, at virksomhederne i praksis opnår de påkrævede PCI-godkendelser inden for tidsfristerne. |
|
| |
I sidste øjeblik
Vælger man at vente til sidste øjeblik, før tidsfristen fra PBS udløber, før man går i gang med at finde ud af, hvilke ændringer der skal foretages i ens it-systemer, applikationer og procedurer, for at de kan leve op til standarden, tager man den vanskeligste vej. Det medfører nemlig i praksis, at man er nødt til at igangsætte et større projekt for at bestemme de ændringer, der skal udføres og sikre, at de bliver korrekt implementeret. |
|
| |
| Et sådant projekt kan ligefrem lægge virksomheden underdrejet i en periode og medfører samtidig, at de ekstra sikkerhedsmæssige foranstaltninger, som indføres, udelukkende indføres for at kunne leve op til kravene fra PCI Council. Derved går man eventuelt glip af de muligheder, der ligger i at tage yderligere eller andre tiltag på sikkerhedsfronten, når man alligevel er i gang. Tiltag som giver mening for netop ens egen virksomhed uden at være blevet pålagt fra PCI Councils side. |
|
| |
I god tid
Starter man derimod med at forberede sig til at opnå en PCI-godkendelse i god tid, tegner der sig et ganske andet billede. Med god tid mener jeg fx dét tidspunkt, hvor man finder ud af, at PCI Council har besluttet, at virksomheder som ens egen skal omfattes af standarden på et tidspunkt, men hvor PBS endnu ikke har informeret om det. I så fald får man mulighed for at planlægge og udføre de ændringer i ens it-miljø, som er påkrævet for at opnå en PCI-godkendelse som en naturlig del af det daglige arbejde med at vedligeholde eller forbedre it-sikkerheden. På den måde sparer man en masse kræfter og ressourcer og kan samtidig vurdere i ro og mag, om det kan svare sig at udføre yderligere forbedringer, når man alligevel skal implementere PCI-ændringerne. |
|
| |
Gap-analyse
For at forberede sig bedst mulig kan det være en god idé at udføre en gap-analyse. En gap-analyse hjælper ens virksomhed til at identificere de områder, hvor man ikke allerede overholder PCI-standarden. Det er et godt værktøj til at lægge en slagplan for, hvordan og hvornår man bedst implementerer de påkrævede ændringer løbende, samtidig med at man vedligeholder eller udbygger virksomhedens øvrige it-sikkerhedsforanstaltninger. Vælger man at udføre en gap-analyse, er det en god idé at alliere sig med folk med PCI-sikkerhedsekspertise som fx FortConsult, gennem årene har vi eksempelvis opbygget en betydelig PCI-ekspertise og kendskab til, hvordan reglerne fra PCI Council skal fortolkes, og vi rådgiver ofte og gerne virksomheder på PCI-området. |
| |
| 10. Hvad kan andre virksomheder bruge PCI-standarden til? |
| Formålet med PCI-standarden er, at minimere tyveri af kreditkortinformationer. Med andre ord er det standardens sigte at beskytte kreditkortdata. I praksis er det de samme sikkerhedsforanstaltninger, der skal til for at beskytte data, hvad enten det er kreditkortdata, personfølsomme data - som fx er vigtigt for offentlige virksomheder eller virksomheder som ikke vil have deres kundenavne distribueret - eller produktdata. Fælles for dataene er nemlig, at de ligger i databaser, og hackerne benytter den samme metodik uafhængig af hvilken type data, de ønsker at stjæle. Med andre ord kan PCI-standarden ses som opskriften på, hvordan man sikrer sig mod at få stjålet sine data. |
|
| |
| I den erkendelse bliver PCI-standarden særdeles anvendelig for en lang række andre virksomheder, som ikke er i berøring med kreditkortinformationer. Og da kreditkortselskaberne netop har postet en masse ressourcer i at få PCI-standarden til at fungere i praksis, kan man sige, at andre lige så godt kan få glæde af deres store arbejde i at definere, hvordan man beskytter sine data mod dygtige hackere. |
|
| |
Fordele for virksomheder uden kreditkort-transaktioner
Virksomheder, som ikke behøver men alligevel vælger at følge PCI-standarden, kan opnå en række fordele. Først og fremmest får de adgang til en detaljeret beskrivelse af, hvordan man kan beskytte sine data mod dygtige hackere, som på grund af de erfaringer og den ekspertise, der ligger bag, kan betegnes som best practice. Denne best practice-standard er præcist defineret og på kort tid blevet både kendt og anerkendt i markedet som en nem metode til at finde frem til, hvad der skal gøres for at øge sikkerheden og få de nødvendige sikkerhedstiltag implementeret. |
|
| |
Blåstempling af sikkerheden
PCI-standarden kan også med fordel benyttes til at informere kunder og samarbejdspartnere om, at man som virksomhed er blevet PCI-godkendt - underforstået at kreditkortselskaberne står inde for ens virksomheds sikkerhed. Med andre ord opnår man en slags blåstempling af sin sikkerhed. |
|
| |
Underleverandører nu også omfattet af PCI-standarden
Siden medio 2007 er underleverandører til virksomheder, som accepterer betaling med kreditkort og dermed er omfattet af PCI-standarden, også blevet udpeget til at skulle overholde PCI-reglerne. Dette indebærer, at PCI-standarden er i færd med at blive udbredt til mange flere virksomheder, og man kunne forestille sig, at endnu flere virksomheder vil blive indlemmet i PCI-ordningen på sigt. |
|
| |
Følg med i udviklingen
Det er med andre ord en god idé for virksomheder generelt at følge med i udviklingen inden for PCI-standarden, så man i god tid kan blive klar over, om ens egen virksomhed står for tur. Hvis det skulle gå hen og blive tilfældet, bliver det nemlig nemmere, mindre tidskrævende og billigere at gøre sin virksomhed klar til en PCI-certificering, hvis man går stille og roligt frem. I stedet for at vente til sidste øjeblik lige inden PCI Council og PBS opstiller præcise krav og tidsfrister for ens PCI-godkendelse. |
|
| |
Brugbare tjeklister
Har man ikke behov for blåstemplingen fra PCI Council, kan man også blot vælge at benytte kreditkortvirksomhedernes tjeklister, der ligger til grund for PCI-certificeringen. Fra tjeklisterne kan man få et ret konkret indtryk af, hvad kreditkortselskaberne mener, der skal til, for at man kan betragte sin virksomhed som tilstrækkeligt beskyttet mod angreb fra dygtige hackere. Tjeklisterne er nemlig meget præcise og derfor særdeles anvendelige i praksis. Eksempelvis reflekterer de, at man skal definere præcis, hvilke medarbejdere som må have adgang til hvilke data, hvordan serverne skal være konfigureret, og hvordan udviklingsprocedurerne skal foregå for hvilke typer it-systemer. |
|
| |
| Ud fra tjeklisterne kan man så beslutte sig for, hvad ens eget sikkerhedsniveau skal være og kan således få et klar overblik over, hvor og hvorfor man har valgt at afvige fra den eksisterende anerkendte best practice. Her kan det være en fordel at alliere sig med et PCI-certificeret sikkerhedsfirma, som fx FortConsult, som er godt inde i PCI Councils tjeklister og kan hjælpe med at tilpasse PCI-standarden til ens virksomhed ved at give gode råd om, i hvilke tilfælde det vil være acceptabelt at afvige fra PCI-standarden set i forhold til ens sikkerhedsbehov. Det skal selvfølgelig lige tilføjes, at man kun opnår en PCI-godkendelse, hvis man ikke afviger fra standarden. |
| |
| 11. Udbredelsen af PCI-standarden |
| PCI-standarden er ved at være kendt i erhvervslivet, og det er sket i løbet af ganske få år. Uden tvivl fordi den er så konkret og detaljeret - og fordi den bliver tvunget igennem over for virksomheder, der håndterer kreditkortinformationer. |
|
| |
| PCI-standarden er således i fuld gang med at blive udbredt i stil med de etablerede, kendte standarder som fx Dansk Standard og British Standard. Derudover har PCI Council etableret en søsterstandard til PCI standarden ved navn PA-standarden. Det gælder for alle virksomheder, som udvikler eller installerer dankortløsninger. |
|
| |
| Ikke kun udbredelsen af PCI-standarden, men også erkendelsen af, at det kan skabe værdi at bruge blåstemplingen fra PCI Council i sin markedsføring, ser ud til at være stigende, i takt med at den generelle forbruger går mere og mere op i, at det skal være sikkert at handle på nettet. Flere har hørt om kreditkort-tyverier, og der er ingen tvivl om, at kendskabet til PCI-certificeringen allerede er i gang med at blive udbredt blandt forbrugerne. Til forskel fra diverse e-handelsmærker og SSL-mærker giver PCI-certificeringen nemlig en bedre sikkerhed for, at ens kreditkortinformationer er sikret tilstrækkeligt. |
| |
| 12. Nyttige links |
Selve PCI-standarden:
https://www.pcisecuritystandards.org/ tech/download_the_pci_dss.htm
PCI Councils liste med certificerede sikkerhedsleverandører:
https://www.pcisecuritystandards.org/ resources/qualified_security_assessors.htm
En guide for Merchants:
http://www.visaeurope.com/documents/ ais/members_guide.pdf
En guide for service providers:
http://www.visaeurope.com/ documents/ais/service_providers_guide.pdf
|
|
|
|
|
|
|
|
|
|
|
 |
|
- PCI-certificeret i 2004 til at udføre sikker- hedsskanninger som de første og eneste i Skandinavien.
- PCI-certificeret i 2005 til at udføre audits som de første og eneste i Skandina- vien.
- Udvalgt af den finan- sielle sektor til at hjælpe danske data- centraler med at blive PCI-godkendte pga. vores tidlige PCI-certi- ficering, vores betydelige erfaring på PCI-området og vores store kendskab til den finansielle branche.
- Fast PCI-leverandør til alle danske banker med behov for PCI- assistance.
- Har udført PCI-opga- ver for nogle af de største butikskæder i Norden på internatio- nalt plan.
- Er i dag den største PCI-leverandør i Nor- den og Baltikum. Vi har fx PCI-certifice- ret over 60 procent af virksomhederne på VISA's liste over godkendte skandina- viske service provi- ders.
- PA-certificeret i 2008 som de første og eneste i Danmark - og blandt de første 14 på verdensplan.
|
|
|
|
|
|
|
|
|
