|
|
 |
 |
 |
Kontakt FortConsult, hvis I vil vide:
- Hvordan I skal for- tolke sikkerheds- kravene i PA-stan- darden
- Om I har mulighed for at undgå at blive PA-certificeret
- Hvordan I nemmest og hurtigst bliver PA-godkendt
- Hvordan I kan mini- mere jeres omkost- ninger til at opnå PA-godkendelsen
Herudover kan vi hjælpe jer sikkert frem til en PA-godkendelse. |
|
|
|
|
|
|
|
|
|
|
|
 |
|
| FortConsult er den eneste danske virksomhed, som er certificeret af kredit- kortselskaber til at udføre sikkerhedstjek af virk- somheders kritiske betalingssystemer i henhold til PCI-stan- darden. Herudover er FortConsult de eneste i Danmark, som er certificeret til at tjekke sikkerheden i betalingssoftware i hen- hold til PA-standarden. |
|
|
|
|
|
|
|
|
 |
 |
|
 |
| I Danmark er det overordnet set virksomheder, der udvikler eller installerer dankortløsninger, som skal følge PA-standarden. Det vil sige virksomheder, der udvikler it-systemer, hvor kunderne betaler med dankort, hvad enten dankort-transaktionsdelen er en betydelig eller mindre del af systemet. Det er fx integratorer, som udvikler software til point of sales-systemer/kasseapparater eller terminalleverandører, som udvikler betalingsterminaler til butikker. |
|
| |
| Også virksomheder, som udvikler software, der behandler kreditkortdata, fx til banker, pengeautomater og e-handelssoftware, er omfattet af PA-standarden. Også i tilfælde af at softwaren ikke gemmer - men blot behandler - kortdata, skal den PA-certificeres. |
|
| |
| Selvom en virksomheds softwareløsning allerede er godkendt af fx PBS i andre sammenhænge, skal den stadigvæk godkendes i henhold til PA-standarden. |
|
| |
| Herudover skal virksomheder, som vedligeholder og drifter systemer med betalingssoftware, være PCI-godkendte, fordi de håndterer kreditkortdata i deres driftsmiljø. Læs mere om PCI-kravene til disse virksomheder i afsnittet Datacentre og PCI. (under udarbejdelse) |
| |
| Guide fra PCI Council |
| PCI Council har udviklet en guide, som man kan bruge til at finde ud af, om PA-standarden gælder for en given betalingsfunktion: |
|
| |
| Bemærk: Godkendte betalingsfunktionsprodukter må ikke være betaversioner. |
|
| |
GÆLDER
- Betalingsfunktioner, der typisk sælges og installeres som standardprodukter og kun tilpasses af softwareforhandlere i yderst begrænset omfang.
- Modulbaserede betalingsfunktioner, der typisk enten indbefatter et "grundmodul" samt andre kunderelevante moduler eller funktioner, eller som er blevet sammensat i henhold til kundens behov. Det er kun grundmodulet, som skal PA-certificeres, hvis dette modul er det eneste modul med betalingsfunktion (efter godkendelse af en autoriseret PA-sikkerhedsleverandør som fx FortConsult). Hvis også andre moduler har betalingsfunktioner, skal disse moduler også overholde PA-standarden.
- Bemærk, at softwareforhandlere anser det som værende god praksis at isolere betalingsfunktionerne i ét enkelt eller så få grundmoduler som muligt således, at andre moduler kan anvendes til andre funktioner end betaling. Denne fremgangsmåde (selvom dette dog ikke er et krav) kan eventuelt begrænse antallet af moduler, der skal PA-godkendes.
|
|
| |
GÆLDER IKKE
- Betalingsfunktioner, der udvikles og sælges til én enkelt kunde, skal ikke følge PA-standarden, eftersom denne funktion vil være en del af kundens almindelige PCI-overensstemmelsesrevision. Bemærk, at en sådan funktion (kaldet en "specialudviklet" funktion) kun sælges til én enkelt kunde (som regel en større grossist eller en tjenesteyder) og er designet og udviklet i henhold til kundens egne specifikationer.
- Betalingsfunktioner, som udvikles af grossister eller tjenesteyder, hvis funktionerne udelukkende anvendes internt (dvs. ikke videresælges til tredjeparter), skal ikke følge PA-standarden, eftersom sådanne interne betalingsfunktioner vil være en del af grossistens eller tjenesteyderens almindelige PCI-overensstemmelsesrevision.
|
|
| |
| I de to ovennævnte tilfælde vil betalingsfunktionerne være dækket af grossistens eller tjenesteyderens almindelige PCI-DSS-overensstemmelsesrevision, hvorfor der ikke vil kræves en separat PA DSS-evaluering, uanset om den internt udviklede eller "specialudviklede" funktion lagrer forbudt og sensitiv autentificeringsdata eller muliggør komplekse kodeord. |
|
| |
| Software-forhandlere og andre personer, der udvikler betalingsfunktioner, som gemmer, bearbejder eller overfører kortholderdata som en del af autentificerings- eller betalingsproceduren, hvor sådanne betalingsfunktioner sælges, distribueres eller udstedes til tredjeparter via licenser, skal følge PA-standarden. |
| |
| Assistance fra FortConsult |
| Har I behov for assistance til at finde ud af, om jeres virksomhed er omfattet af PA-standarden, er I velkomne til at kontakte os. Vi har mange års erfaring i at fortolke PCI-standarden og er blandt de første sikkerhedsvirksomheder på verdensplan, som har opnået praktisk erfaring med PA-standarden. Vi kan både hjælpe jer med at afgøre, om jeres applikationer skal PA-certificeres, og om der eksisterer muligheder, for at I kan undgå certificeringen fx ved at designe en teknisk løsning, som ikke indeholder kortdata. |
|
| |
|
|
|
|
|
|
|
|
|
|
|
 |
|
- PCI-certificeret i 2004 til at udføre sikker- hedsskanninger som de første og eneste i Skandinavien.
- PCI-certificeret i 2005 til at udføre audits som de første og eneste i Skandina- vien.
- Udvalgt af den finan- sielle sektor til at hjælpe danske data- centraler med at blive PCI-godkendte pga. vores tidlige PCI-certi- ficering, vores betydelige erfaring på PCI-området og vores store kendskab til den finansielle branche.
- Fast PCI-leverandør til alle danske banker med behov for PCI- assistance.
- Har udført PCI-opga- ver for nogle af de største butikskæder i Norden på internatio- nalt plan.
- Er i dag den største PCI-leverandør i Nor- den og Baltikum. Vi har fx PCI-certifice- ret over 60 procent af virksomhederne på VISA's liste over godkendte skandina- viske service provi- ders.
- PA-certificeret i 2008 som de første og eneste i Danmark - og blandt de første 14 på verdensplan.
|
|
|
|
|
|
|
|
|
