De systematiske krav til, hvordan en virksomhed skal indrette sig for at kunne håndtere kreditkortoplysninger sikkert, er blevet udpeget som en væsentlig faktor i forhold til at højne it-sikkerheden. Men for mange virksomheder falmer glorien hurtigt, efter de er blevet valideret som PCI-compliant.
PCI-compliance er en række krav, nedfældet af betalingskortindustrien gennem Payment Card Industry Security Standards Council, som beskriver, hvordan en virksomhed skal indrette sig for at kunne håndtere betalingskort sikkert.
Men en undersøgelse fra teleselskabet Verizons sikkerhedsafdeling indikerer, at mange virksomheder har svært ved at overholde standarden over en længere periode.
Ifølge undersøgelsen var blot 29 procent af virksomhederne stadig compliant ét år efter de var blevet valideret.
»De har svært ved at vedligeholde deres PCI-compliance. Det positive er, at tallene for, hvor mange der består første gang, er gået op,« siger PCI-ekspert Kim Haverblad fra Verizon til Version2.
Betydningen af PCI-compliance kan ifølge Verizon indirekte aflæses i et andet tal fra rapporten. Når man ser på de virksomheder, hvor der har været en lækage, så har ingen af dem opfyldt kravene til PCI-compliance.
PCI-standarden kan opsummeres i 12 punkter, hvor de fleste af dem der dumper, dumper på punkt 10 og 11.
Punkt 10 drejer sig om overvågning af netværket og logning af adgang til kreditkortdata. Her er det oplagt at trække en parallel til Se og Hør-sagen i Danmark, hvor en medarbejder hos Nets' underleverandør IBM gennem længere tid misbrugte sin adgang til kundedatabasen.
Punkt 11 drejer sig om regelmæssig test af systemer og processer, og det er hér, mange virksomheder fejler, når de bliver vurderet et år senere.
»Tit er det ikke de tekniske ting, men derimod dokumentation. Hvis organisationen eksempelvis forandres, men det ikke dokumenteres, så kan det påvirke processerne,« siger Kim Haverblad.
Faktisk kan der ligefrem være for stor opmærksomhed på det tekniske, så virksomhederne glemmer at se på politikkerne og at få personalet til at efterleve politikkerne.
For at undgå at ryge ud af compliance med kravene, bør organisationen ifølge Kim Haverblad sørge for implementere processer, der kører hele året, og i den forbindelse kan det være en god idé at sørge for at afgrænse, hvad der skal med.
Sådan en afgrænsning kan også udvides til en tiltrængt oprydning i de data, der bliver lagret. Det er lettere at holde øje med, om man stadig opfylder kravene, hvis man ikke lagrer data, man ikke har brug for at lagre.
Men der kan også være systemer, som virksomhederne overser. Et eksempel er webbutikker, hvor kunderne bliver omdirigeret til en ekstern server, når betalingen skal gennemføres. Den omdirigering er der mange, der overser at få med i deres proces, fordi det ligger hos en ekstern leverandør, men virksomheden har stadig selv ansvaret for sikkerheden.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
