Stóru greiðslukortafyrirtækin gera kröfur til sölu- og þjónustuaðila, sem stunda viðskipti með greiðslukort á einn eða annan hátt, að uppfylla kröfur um upplýsingaöryggi. Kröfur PCI DSS staðalsins eiga við alla sem stunda viðskipti með greiðslukort, en það fer eftir stærð og umfangi sölu- og þjónustuaðila nánar hvort og hvaða kröfur og stýringar þarf að innleiða til að uppfylla staðalinn. Bithex ehf. býður ráðgjöf og þjónustu við alla þætti PCI DSS staðalsins.
ÍST ISO/IES 27001 er almennur staðall um stjórnkerfi upplýsingaöryggis í rekstri fyrirtækja. Bithex ehf veitir almenna ráðgjöf og upplýsingar um innleiðingu ÍST ISO/IES 27001.
Afmörkun búnaðar með greiðslukortaupplýsingar
Áður en hafist er handa við innleiðingu kröfustaðla PCI DSS, er mikilvægt að bera kennsl á og afmarka þann búnað, sem meðhöndlar og vinnur með greiðslukortaupplýsingar í upplýsingakerfum einhvern hátt. Kröfur PCI DSS staðlsins eiga við þau kerfi fyrst og fremst, ásamt ákveðnum kjarnakerfum sem teljast nauðsynleg. Með því að afmarka umfang búnaðar er mögulegt að lágmarka kostnað sem hlýst af hlítingu við PCI DSS staðalinn.
PCI sjálfsmat (e. Self Assessment Questionary – SAQ)
Öllum sölu- og þjónustuaðilum, óháð stærð, er ráðlagt og uppálagt, að svara sjálfsmati. Söluaðilar sem fara árlega yfir 20.000 kortafærslur vegna netviðskipta og/eða heildarfjöldi kortafærsla fer yfir eina milljón árlega, eru hins vegar skyldaðir til að svara og skila inn sjálfmati. Bithex ehf veitir aðstoð og ráðgjöf við vinnu og útfyllingu sjálfsmatsins og ráðleggur um úrbætur sem gæti þurft að legga í til að standast kröfur staðalsins.
PCI öryggisskönn
Söluaðilar sem fara yfir 20.000 árlegar færslur í netviðskiptum og/eða heildarfjöldi færsla fer yfir ein milljón árlega þurfa að láta framkvæma öryggisskönn á ytri netum sínum af viðurkenndum skanaðila. Bithex ehf. framkvæmir viðurkennd veikleika- og öryggisskönn fyrir sölu- og þjónustuaðila.
Veikleikaskönn ganga út á það að prófa reglulega öll ytri upplýsingakerfi fyrirtækis þar sem höndlað er með greiðslukortaupplýsingar. Skimað er eftir þekktum veikleikum og prófað er fyrir stillingingum í netþjónum sem geta leitt til öryggisgalla. Atriði eru flokkuð í áhættuþrep og fyrirtæki teljast uppfylla skilyrði um PCI DSS hlítingu ef engar alvarlegar öryggisveilur koma fram.
PCI DSS staðallinn, allar kröfur
Þeir sölu- og þjónustuaðilar sem höndla yfir sex milljón greiðslukortafærsla árlega þurfa að innleiða PCI DSS staðalinn í heild sinni. Í því felst að skila inn sjálfmati og láta framkvæma öryggisskönn og öryggisúttektir, en að auki Þarf að semja við viðurkenndan úttektaraðila sem tekur út og vottar innleiðingu staðalsins hjá viðkomandi fyrirtæki árlega.
Ráðgjafar Bithex ehf ráðleggja og veita aðstoð við innleiðingu PCI DSS staðalsins. Við mælum með aðgerðaáætlun sem tekur miða af eftirfarandi verkþáttum:
- Afmörkun netþjóna og búnaðar í PCI DSS safn.
- Yfirferð staðalsins og samanburður við núverandi kerfi og högun.
- Úrbætur og innleiðing stýringa til að uppfylla kröfur staðalins.
- Árlegt ferli fyrir vottun, öryggisprófanir, úttektir og öryggisskönn.
Bithex ehf. veitir þjónustu, sem krafist er í öryggisstaðlinum PCI DSS. Við hvetjum alla til að vera í sambandi til að fá nánari upplýsingar um hvað af þessu á við um starfsemi þeirra fyrirtækis og hvernig best er taka fyrstu skrefin.