Ráðgjöf og Innleiðing Öryggisstaðla PCI DSS og ISO/IES 27001

Posted on Posted in Þjónusta(B)

Stóru greiðslukortafyrirtækin gera nú kröfur til sölu- og þjónustuaðila, sem stunda kortaviðskipti á einn eða annan hátt, að uppfylla kröfur um upplýsingaöryggi. Kröfur PCI DSS staðalsins eiga við alla sem stunda viðskipti með greiðslukort, en það fer eftir stærð og umfangi sölu- og þjónustuaðila nánar hvort og hvaða kröfur og stýringar þarf að innleiða til að uppfylla staðalinn. Bithex ehf. býður ráðgjöf og þjónustu við alla þætti PCI DSS staðalsins.

ISO/IES 27001 er almennur staðall um stjórnkerfi upplýsingaöryggis í rekstri fyrirtækja. Bithex ehf veitir almenna ráðgjöf og upplýsingar um innleiðingu ISO 27001.

Afmörkun búnaðar með greiðslukortaupplýsingar

Áður en hafist er handa við innleiðingu krafa úr PCI DSS, er mikilvægt að afmarka þann búnað sem meðhöndlar og vinnur með kortaupplýsingar á einhvern hátt. Kröfur PCI DSS staðlsins eiga við þau kerfi fyrst og fremst og nokkur kjarnakerfi sem teljast nauðsynleg. Með því að afmarka umfang búnaðar er mögulegt að lágmarka kostnað sem hlýst af hlítingu við PCI DSS staðalinn.

PCI Sjálfsmat, Self Assessment Questionary

Öllum sölu- og þjónustuaðilum, óháð stærð, er ráðlagt að svara sjálfsmati. Söluaðilar sem fara árlega yfir 20.000 kortafærslur vegna netviðskipta og/eða heildarfjöldi færsla er yfir ein milljón árlega, eru hins vegar skyldaðir til að svara og skila inn sjálfmati. Bithex ehf veitir aðstoð og ráðgjöf við útfyllingu sjálfsmatsins og ráðleggur um úrbætur sem gæti þurft að legga í til að standast kröfur staðalsins.

PCI Öryggisskönn

Söluaðilar sem fara yfir 20.000 árlegar færslur og/eða heildarfjöldi færsla er yfir ein milljón þurfa að láta framkvæma öryggisskönn á ytri netum sínum af viðurkenndum skanaðila. Bithex ehf. framkvæmir viðurkennd veikleika- og öryggisskönn fyrir sölu- og þjónustuaðila.

Veikleikaskönn ganga út á það að prófa reglulega öll ytri upplýsingakerfi fyrirtækis þar sem höndlað er með kortaupplýsingar. Skimað er eftir þekktum veikleikum og prófaðar eru stillingar sem geta leitt til öryggisgalla. Atriði eru flokkuð í áhættuþrep og fyrirtæki teljast uppfylla skilyrði um PCI DSS hlítingu ef engar alvarlegar öryggisveilur koma fram.

PCI DSS Staðallinn, allar kröfur

Þeir sölu- og þjónustuaðilar sem höndla yfir sex milljón færsla árlega þurfa að innleiða PCI DSS staðalinn í heild sinni. Í því felst að skila inn sjálfmati og láta framkvæma öryggisskönn og öryggisúttektir, en að auki Þarf að semja við viðurkenndan úttektaraðila sem tekur út og vottar innleiðingu staðalsins hjá viðkomandi fyrirtæki árlega.

Ráðgjafar Bithex ehf ráðleggja og veita aðstoð við innleiðingu PCI DSS staðalsins. Við mælum með aðgerðaáætlun sem tekur miða af eftirfarandi verkþáttum:

  1. Afmörkun netþjóna og búnaðar í PCI safn.
  2. Yfirferð staðalsins og samanburður við núverandi kerfi og högun.
  3. Úrbætur og innleiðing stýringa.
  4. Árleg vottun, öryggisprófanir, úttektir öryggisskönn.

Bithex ehf. veitir þjónustu, sem krafist er í öryggisstaðlinum PCI DSS. Við hvetjum alla til að vera í sambandi til að fá nánari upplýsingar um hvað af þessu á við um starfsemi þeirra fyrirtækis og hvernig best er taka fyrstu skrefin.