Hvis din virksomhed er ansvarlig for at håndtere kreditkortbetalinger, er overholdelse af PCI DSS en vigtig del af beskyttelsen af kundernes betalingskortdata og beskyttelsen af din egen virksomhed mod de ødelæggende konsekvenser af et databrud.
Den uheldige realitet er, at svindel med kreditkort fortsat stiger, og ifølge Federal Trade Commission's Consumer Sentinel Network steg rapporterne om svindel med kreditkort med 104 % mellem 1. kvartal 2019 og 1. kvartal 2020.
Beskyttelse af kortholderdata har aldrig været vigtigere, og PCI DSS lægger grunden til at opretholde de strenge sikkerhedsforanstaltninger, der er nødvendige for at beskytte disse følsomme data. Vores guide til overholdelse af PCI DSS hjælper med at forklare, hvordan PCI DSS fungerer, hvem det gælder for, og hvilke skridt du skal tage for at overholde kravene.
Hvad er PCI DSS?
Payment Card Industry Data Security Standard (PCI DSS) er et sæt sikkerhedsstandarder, der er designet til at reducere risikoen for kreditkortsvindel og øge sikkerheden af betalingskortdata. Den blev oprettet i 2004 af de fire store kreditkortfirmaer Visa, Mastercard, Discover og American Express. PCI DSS har udviklet sig gennem årene og reguleres nu af PCI Security Standards Council (PCI SSC ). PCI SSC definerer og forvalter standarderne, mens de enkelte kreditkortselskaber håndhæver overholdelsen af standarderne.
Hvem berøres af PCI DSS?
PCI DSS gælder for alle organisationer, der opbevarer, behandler eller overfører kortholderdata. For at fastlægge de krav til overholdelse, der gælder for de enkelte virksomheder, har PCI SCC oprettet et system med fire niveauer, der klassificerer virksomheder på grundlag af transaktionernes størrelse og risikoen.
Niveau 1 - Forhandlere, der behandler over 6 millioner transaktioner årligt, eller som tidligere har haft data kompromitteret.
Niveau 2 - Købmænd, der behandler mellem 1 og 6 millioner transaktioner årligt.
Niveau 3 - Købmænd, der behandler mellem 20.000 og 1 million transaktioner årligt.
Niveau 4 - Købmænd, der behandler mindre end 20.000 transaktioner om året.
Selv om der er oprettet flere niveauer, er kravene de samme for alle handlende og tjenesteudbydere på tværs af alle brancher.
Hvordan kan kortholderdata blive kompromitteret?
For at få adgang til følsomme kortholderdata vil cyberkriminelle forsøge at udnytte eventuelle sikkerhedshuller i dine operativsystemer og enheder. Det kan være gennem:
- Kortlæsere
- System til salgskasse
- Database for betalingssystemer
- Lagringsnetværk
- Onlineportaler
- Trådløst netværk
- Papirregistre
Hvad er de 12 krav til overholdelse af PCI DSS?
PCI DSS indeholder 12 krav, der er designet til at beskytte kortholderdata og forhindre databrud. Disse standarder gælder ikke kun for handlende, men for alle andre virksomheder, der opbevarer, behandler eller overfører kortholderdata.
1. Installere og vedligeholde en firewallkonfiguration for at beskytte kortholderdata
En firewall er en netværkssikkerhedsenhed, der overvåger indgående og udgående netværkstrafik og beslutter, om den skal blokere specifik trafik på baggrund af et defineret sæt sikkerhedsregler. Den er din første forsvarslinje mod sikkerhedstrusler og bør regelmæssigt testes, administreres og opdateres.
2. Brug ikke standardindstillinger fra leverandøren for systemadgangskoder og andre sikkerhedsparametre
Cyberkriminelle bruger ofte standardadgangskoder og -indstillinger til at kompromittere systemer. Det er vigtigt, at du straks ændrer alle standardoplysninger, før du indfører nye systemer i dit netværk.
3. Beskyttelse af lagrede kortholderdata
Beskyttelse af kortholderdata, uanset om de er i fysisk eller digitalt format, er afgørende for at overholde PCI DSS. Cyberkriminelle vil ofte angribe lagrede kortholderdata og derefter bruge dem til at udføre svigagtige transaktioner. Hvis kortholderdata skal opbevares, skal du sikre, at de korrekte sikkerhedsforanstaltninger er på plads for at opfylde de forskellige juridiske, lovgivningsmæssige og overensstemmelsesmæssige krav.
4. Krypter overførsel af kortholderdata på åbne, offentlige netværk
Når kortholderdata overføres via let tilgængelige netværk, kan cyberkriminelle forsøge at opsnappe dataene. For at sikre, at dataene er sikre, skal de krypteres med stærk kryptografi og sikkerhedsprotokoller såsom Secure Shell (SHH), IPSec og Transport Layer Security (TLS).
5. Brug og opdater jævnligt anti-virus-software
Anti-virus-software bør installeres på alle kritiske forretningssystemer for at forhindre, at malware kommer ind i dit netværk. Dette vil hjælpe med at beskytte kortholderdata og give øget beskyttelse mod nyoprettede vira.
6. udvikle og vedligeholde sikre systemer og applikationer
Cyberkriminelle vil ofte udnytte eventuelle sårbarheder i dit system til at få adgang til følsomme kortholderdata. Netværksleverandører udsender jævnligt patches for at afhjælpe sikkerhedssårbarheder, så det er vigtigt, at du anvender disse patches, så snart de er frigivet. Patches er vigtige for at holde systemerne opdaterede, stabile og sikre mod malware og andre trusler.
7. Begræns adgangen til kortholderdata ved hjælp af forretningsbehov for at få kendskab
Adgang til kortindehaveroplysninger bør kun gives på et "need-to-know"-grundlag. Medarbejderfejl er fortsat den vigtigste årsag til alle databrud, så der bør være stærke adgangskontroller for at sikre, at kun de medarbejdere, der har brug for at foretage transaktioner, får adgang.
8. Identificere og autentificere adgang til systemkomponenter
Alle medarbejdere, der har adgang til følsomme oplysninger, skal have et unikt ID. På den måde kan du spore, hvem der har adgang til bestemte systemer og hvornår.
9. Begræns den fysiske adgang til kortholderdata
Fysisk adgang til computersystemer, der indeholder kortindehaveroplysninger, bør begrænses til autoriserede medarbejdere. Dette vil forhindre, at uautoriserede personer får fysisk adgang til systemerne eller laver papirkopier af følsomme data.
10. Sporing og overvågning af al adgang til netværksressourcer og kortholderdata
Adgang til netværksressourcer og kortholderdata skal overvåges nøje, og al aktivitet skal logges. Dette revisionsspor kan hjælpe med at opdage ondsindet adfærd og identificere et brud.
11. Regelmæssig test af sikkerhedssystemer og -processer
Der dukker hele tiden nye sårbarheder op, så det er vigtigt at teste dine systemer og processer regelmæssigt for at sikre, at sikkerheden opretholdes. PCI DSS anbefaler også regelmæssig penetrationstest og brug af systemer til registrering og forebyggelse af indbrud for at sikre kortholderdata.
12. Fastholde en politik, der omhandler informationssikkerhed for alt personale
En stærk sikkerhedspolitik, der er i overensstemmelse med PCI DSS, bør implementeres i hele virksomheden. Dette vil være med til at sætte en standard for, hvad der forventes af dit personale, og fremhæve behovet for datasikkerhed i din organisation.
Hvorfor er det så vigtigt at overholde PCI DSS?
Overholdelse af PCI DSS-kravene er afgørende, hvis du ønsker at kunne behandle korttransaktioner, beskytte kortholderdata og reducere risikoen for et dyrt brud. PCI DSS er ikke et lovkrav, men i henhold til GDPR betragtes kreditkortdata som personoplysninger, hvilket betyder, at du er juridisk forpligtet til at opbevare disse data sikkert og beskyttet.
Hvad sker der, hvis du ikke er i overensstemmelse med PCI DSS?
Manglende overholdelse af PCI DSS kan føre til alvorlige sikkerhedshændelser som f.eks. brud på eller tyveri af kortholderdata. Et databrud kan forårsage uoprettelig skade på din virksomhed, og ud over de ødelæggende bøder kan din virksomhed få yderligere konsekvenser af at være ude af stand til at beskytte følsomme kortholderdata. Disse omfatter:
- Øget risiko for kompromittering af betalingskortdata
- Bøder og sanktioner
- Kompensationsomkostninger
- Tab af forbrugernes tillid
- Skade på brandets omdømme
- Retssager - omkostninger, forlig og domme
- Tab af arbejdspladser
- Ophør af muligheden for at behandle betalingskort
- Går konkurs
Konklusion
Cyberkriminelle udnytter det stigende antal digitale transaktioner og udnytter sårbarheder i systemerne til at få adgang til følsomme kortholderdata. For at bekæmpe denne svigagtige aktivitet er det vigtigt, at din organisation er PCI DSS-kompatibel og tager alle de nødvendige skridt til at sikre betalingstransaktioner og beskytte kundedata.
For at hjælpe med at forbedre bevidstheden om cybersikkerhed i din organisation og reducere risikoen for et dyrt databrud har vi skabt en uundværlig ressource til at gennemføre en adfærdsændring og skabe en kultur med cyberbevidsthed.
I denne Cyber Security Awareness For Dummies-guide lærer du:
-Hvordan du implementerer en kampagne til bevidstgørelse om cyberrisici.
-Hvordan du opretholder personalets momentum, engagement og opmærksomhed på cybersikkerhedstrusler.
-10 bedste praksis for bevidsthed om cybersikkerhed.
Klik her for at få adgang til din guide Cyber Security Awareness For Dummies.