Öryggismál

Korta - Safety

PCI DSS (Payment Card Industry Data Security Standard) er öryggisstaðall alþjóðlegu kortafyrirtækjanna Visa International og MasterCard International.

Allir söluaðilar sem meðhöndla kortaupplýsingar þurfa að uppfylla PCI öryggisstaðalinn.

Þeir söluaðilar, sem taka við fleiri en 20.000 færslum árlega vegna netviðskipta (e-commerce) og/eða heildarfærslur söluaðilans fara yfir eina milljón, þurfa að uppfylla staðalinn.

Þessir aðilar skulu svara spurningalistanum (sjálfsmati) og semja við viðurkenndan skönnunaraðila um skönnun á netöryggi (Network Scan) a.m.k. fjórum sinnum á ári.

Ef heildar fjöldi færslna fer yfir 6 milljónir skal söluaðili semja við viðurkenndan úttektaraðila (PCI Qualified Security Assessor (QSA)) um úttekt ásamt áður nefndri skönnun.

Öllum öðrum söluaðilum er ráðlagt að kynna sér PCI staðalinn, svara spurningarlistanum og láta framkvæma skönnun á netöryggi a.m.k. fjórum sinnum á ári.

PCI-öryggisstaðallinn er margþættur og gerir mjög strangar öryggiskröfur sem ná yfir alla þætti og allar hliðar á gagnaöryggi í kerfisrekstri og rekstri fyrirtækja sem meðhöndla kortanúmer. Staðallinn gerir kröfu um að öll fyrirtæki sem meðhöndla kortaupplýsingar fullnægi viðkomandi kröfum.

Á hverju ári þarf viðurkenndur úttektaraðili að framkvæma heildarúttekt á starfsemi PCI-vottaðs fyrirtækis til að ganga úr skugga um að staðlinum sé fullnægt. Auk þess eru gerðar óvæntar árásir minnst fjórum sinnum á ári til að kanna hvort á einhvern hátt sé hægt að komast inn í kerfi viðkomandi fyrirtækja. Árásaraðilar notast ávallt við nýjustu árásaraðferðir á skrá hjá FBI og SANS, helstu upplýsingaöryggisstofnunum heims. KORTA fékk fyrst íslenskra fyrirtækja PCI-vottun í lok ársins 2005 og er vottunin endurnýjuð árlega.