PCI-DSS

Stendur fyrir : Payment Card Industry - Data Security Standard.

Það sem Sigmar hjá FGM segir hér, er bara hluti vandamálsins.


Ég starfa hjá fyrirtækinu Median sem fékk PCI-DSS vottun fyrir tæpum tveimur árum. PCI-DSS nær yfir allt fyrirtækið. Aðgang að svæðum, kerfum og svo framvegis. Í því felst meðal annars að kerfin þurfa að vera rekin í öruggu umhvefi. Kortanúmer séu dulkóðuð, Hvorki segulrandarupplýsingar né öryggisnúmer (CVC/CVV) séu skráð. Eins meiga engir loggar kerfanna skrifa slíkar upplýsingar nema „maskaðar.“ T.d. að bara fjórir síðustu stafir kortanúmers sjáist. Vottunin er ekki nein æviráðning, því minnst árlega skulu fyrirtækið og kerfi þess tekin út.

Víða pottur brotinn. Starfrækt eru fyrirtæki um allan bæ, sem vista kortanúmer án þess að hafa PCI-DSS vottun.

Ætli einhver að skrá kortanúmer sitt einhversstaðar, til dæmis vegna áskriftar, þar sem reglulega er tekið út af kortinu. Liggur fyrir að númer kortsins er skráð og geymt. Er það hins vegar geymt í öruggu umhverfi? Hafi viðtakandi kortanúmersins ekki PCI-DSS vottun og ekki er vitað hvernig skráningu kortsins er háttað er engin leið að vita hver örugg skráningin er. Númerið gæti allt eins legið á opinni vefsíðu, eins og gerðist hjá Hraðpeningum.


Vandinn liggur því ekki bara hjá kassakerfunum. Hann liggur um allt netið.


Þetta er ekki bara þekkt vandamál, heldur viðvarandi og ætti fólk að hugsa út í það. Eru þeir sem tóku við kortanúmerum ykkar að geyma þau á öruggum stað?


Median býður viðskiptavinum sínum, þeas. þeim sem reka þjónustu og þurfa að taka við kortanúmersupplýsingum, hins vegar upp á þá lausn að geyma kortanúmer fyrir þá. Dulkóðuð eins sagt var að framan. Viðskiptavinurinn hefur þá bara auðkenni (e. alias) fyrir kortið sem tengdur er viðskiptavininum og getur ekki verið notað af öðrum en honum sjálfum. Því er auðkennið verðlaust gagnvart öðrum. Þannig geta viðskiptavinir vistað hinar viðkvæmu kortaupplýsingar hjá vottuðum aðila án þess að þurfa að fara í gegn um langa og stranga PCI-DSS vottun sjálfir.

Þeir geta síðan framkvæmt sína reglulegu úttekt af kortinu án þess að þurfa númer kortsins, heldur nota þeir auðkennið.

Enn sem komið er, eru einungis erlendir kúnnar að nýta sér þessa þjónustu Median.

 

I wonder why?


« Síðasta færsla | Næsta færsla »

Bæta við athugasemd

Ekki er lengur hægt að skrifa athugasemdir við færsluna, þar sem tímamörk á athugasemdir eru liðin.

Innskráning

Ath. Vinsamlegast kveikið á Javascript til að hefja innskráningu.

Hafðu samband