Lad Digicure sikre dig PCI Compliance

PCI-standarden er en fælles, international standard for håndtering af kreditkortdata. Standarden definerer en række krav til opbevaring, transmission og håndtering af kortdata - og til kontrollen af, at kravene bliver overholdt. Alle, der har med betalingskort at gøre, skal overholde reglerne fra PCI.

Digicure kan hjælpe din virksomhed med at opnå PCI compliance og vedligeholde den. Vi tilbyder rådgivning herom samt sikkerhedsanalyser og scanninger til e-handelsvirksomheder med kreditkortbetaling, service providers m.v..

En IPCURE PCI sikkerhedsanalyse fortæller dig, om din virksomhed opfylder PCI DSS-standarden. Efter testen udarbejder vi en detaljeret rapport til dig med beskrivelse af evt. fundne sårbarheder. Rapporten indeholder desuden en sikkerhedsrating og en praktisk anbefaling til løsning af eventuelle problemer.

Samtidig får du værdifuld dokumentation for din virksomheds sikkerhedsniveau på testtidspunktet.

Hvem skal scannes?
Alle virksomheder, der bruger og opbevarer data om kreditkort, skal følge PCI standarden.

Hvad skal scannes?
Alle IT-systemer, der er synlige fra internettet, og som har forbindelse med ”kreditkort-miljøet”, skal scannes hvert kvartal. Ingen systemer må have sårbarheder, der vurderes at have risikoen "high". Sårbarheder, der ikke accepteres af PCI, skal udbedres. Derefter skal der udføres en ny analyse, der bekræfter, at sårbarhederne ikke længere findes på systemet.

Foruden de kvartalsvise eksterne scanninger skal der gennemføres kvartalsvise interne scanninger samt applikations/penetrationstest hvert år eller ved større ændringer. Tests skal dog ikke nødvendigvis gennemføres af en PCI godkendt partner. Digicure kan naturligvis også hjælpe både med de interne scanninger og den årlige applikations- og penetrationstest.

Tabel 1 – Compliance validering

Niveau	Kriterier	Compliance validering
1	Over 6.000.000 transaktioner pr. år; eller Enhver handlende, som har været udsat for angreb med fare for kontooplysninger	Årligt sikkerhedstjek på stedet; Kvartalsvis netværksscanning
2	150.000 til 6.000.000 transaktioner pr. år	Årlig egen-vurdering; Kvartalsvis netværksscanning
3	20.000 til 150.000 transaktioner pr. år	Årlig egen-vurdering; Kvartalsvis netværksscanning
4	20.000 til 150.000 transaktioner pr. år	Årlig egen-vurdering (anbefalet); Kvartalsvis netværksscanning

Hvorfor er PCI compliance nødvendig?
Risikoen for sikkerhedsindbrud, identitetstyveri og sitedefacement, er stigende. Det betyder, at din virksomhed er sårbar, selv om den benytter firewalls, anti-virus og andre sikkerhedsforanstaltninger. Derfor er der behov for proaktiv netværksbeskyttelse.

Hvad sker der, hvis jeg ikke opfylder PCI compliance standarden?

• Hvis der findes sårbarheder på dit netværk, som medfører tab af kreditkort-informationer, risikerer du bøder på op til $ 500.000 pr. uheld, hvis netværket ikke var compliant på angrebstidspunktet
• Du risikerer at miste retten til at acceptere kreditkort
• Du vil være ansvarlig for alle tab, som skyldes manglende opfyldelse.

Der stjæles jævnligt betalingskortdata anvendt i online butikker. Et af de værste eksempler til dato er tyveriet af over 45,7 millioner kreditkortoplysninger fra boligkæden TJX i foråret 2007.

Mistet tillid fra kunderne kan ikke gøres op i penge
De stjålne kreditkortoplysninger sælges i stort tal på internettet, hvorefter de misbruges. De bestjålne virksomheder kan i så fald være skyldige i flere lovbrud og kan idømmes betydelige bøder. Hertil kommer erstatningskrav fra ramte brugere. Endelig skal der eventuelt betales bod til kortudstederne.

Bemærk, at lovgrundlaget varierer fra land til land.

En virksomhed, der får kompromitteret sine kunders betalingskortdata, vil foruden den økonomiske straf også miste tillid fra kunderne og risikerer, at færre kunder tør købe online hos butikken. Butikkens brand kan også blive skadet, så det bliver svært at trække nye kunder til. Endelig er det vigtigt at være en god ”internetnabo” og ikke muliggøre kreditkortsvindel, som kan skade andre virksomheder.