Compliance • Artikel
29 mars, 2021
Här är nyheterna i version 3.0 av PCI DSS
Från och med den första januari 2015 måste företag som lagrar, hanterar eller överför kreditkortsinformation uppfylla version 3.0 av Payment Card Industry Data Security Standard (PCI DSS 3.0). Kraven skapades av betalkortsföretagen 2006 och är avsedda att skydda privatpersoner från kreditkortsbedrägerier.
- Säkerhet är något man arbetar med 24/7
En del företag tar inte säkerhet på allvar och gör endast minsta möjliga för att kunna checka i externa granskares krav. Säkerhet ett pågående arbete och poängen med kraven är att hålla kriminella borta, säger Orfei. - Mer utbildning och bättre lösenordshantering
Lösenordshantering har länge varit en svag punkt för de som hanterar betalkortsuppgifter.
– Företag måste ha säkra lösenord som ändras och detta måste hanteras dagligen som en del av företagens genetiska kod, säger Orfei. - Leverantörsgranskningen skärps
Efter ett antal större intrång i USA, bland annat det mot butikskedjan Target, så har PCI SSC insett att de måste skärpa leverantörsgranskningen. De vill nu begränsa att affärspartners eller andra externa aktörer påverkar säkerheten. - Regelbundna penetrationstester
Från att tidigare haft en rekommendation om ett årligt återkommande penetrationstest ligger nu kraven på kvartalsvisa granskningar. Det finns nu än mer information om vilka delar som ett penetrationstest bör innefatta för en godkänd granskning. - Bättre systemrevisioner
Det går inte längre att negligera system som inte innehåller betalkortsuppgifter. Numera täcker kraven även system som inte nödvändigtvis lagrar data, men som kan göra det möjligt för andra att få åtkomst.
- Krav 5.1.2 – Hot från skadlig kod ska utvärderas, även för de system som bedöms ha låg risk att drabbas av attacker.
- Krav 8.2.3 – För bättre lösenordshantering ska företag implementera metoder som maximerar lösenordsstyrkan samtidigt som låg lösenordskomplexitet främjas. Dessutom ska det erbjudas alternativ för ökad flexibilitet.
- Krav 8.5.1 – Service Providers med tillgång till kunders system måste använda unika autentiseringsuppgifter för varje kund.
- Krav 8.6 – Autentiseringsmekanismer (som exempelvis säkerhetspoletter, smarta kort och certifikat) måste länkas till ett individuellt konto för att säkerställa att inte obehöriga får access.
- Krav 9.3 – Kontrollera fysisk access till känsliga områden för personal på plats, inkludera en process för att autentisera sig för access till dessa områden och återkalla access när anställda lämnar företaget.
- Krav 9.9 – Skydda enheter som kan fånga upp kreditkortsinformation genom direkt fysisk interaktion med kortet från manipulation och substitution.
- Krav 11.3 och 11.3.4 – Utökade krav på penetrationstest: Handlare som använder segmentering för att reducera hanteringen av kreditkortsinformation måste nu penetrationstesta segmenteringsgränserna för att säkerställa att det inte finns säkerhetsbrister. Genom utförande regelbundna penetrationstester hittas säkerhetsbrister i infrastrukturen innan kriminella hinner utnyttja dem.
- Krav 11.5.1 – Implementera en process för svara på varningar som genererats av mekanismer för upptäcka förändringar i filsystem.
- Krav 12.8.5 – Underhåll information gällande vilka PCI-krav som är skötta av respektive service provider eller hanterade av företaget själva.
- Krav 12.9 – Service providers måste tillhandahålla ett skriftligt avtal där det framgår att de är ansvariga för säkerheten för kortdata de hanterar.
Kontakta oss
Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.
08-545 333 00
Vi svarar dygnet runtinfo@sentor.se
För generella förfrågningarsoc@sentor.se
Använd vår PGP-nyckel