To ud af tre virksomheder lever ikke op til krav for håndtering af kreditkort efter ét år

Et år efter at være valideret som PCI-compliant, lever blot 29 procent stadig op til kravene for sikker håndtering af kreditkortoplysninger.

De systematiske krav til, hvordan en virksomhed skal indrette sig for at kunne håndtere kreditkortoplysninger sikkert, er blevet udpeget som en væsentlig faktor i forhold til at højne it-sikkerheden. Men for mange virksomheder falmer glorien hurtigt, efter de er blevet valideret som PCI-compliant.

PCI-compliance er en række krav, nedfældet af betalingskortindustrien gennem Payment Card Industry Security Standards Council, som beskriver, hvordan en virksomhed skal indrette sig for at kunne håndtere betalingskort sikkert.

Men en undersøgelse fra teleselskabet Verizons sikkerhedsafdeling indikerer, at mange virksomheder har svært ved at overholde standarden over en længere periode.

Ifølge undersøgelsen var blot 29 procent af virksomhederne stadig compliant ét år efter de var blevet valideret.

»De har svært ved at vedligeholde deres PCI-compliance. Det positive er, at tallene for, hvor mange der består første gang, er gået op,« siger PCI-ekspert Kim Haverblad fra Verizon til Version2.

Betydningen af PCI-compliance kan ifølge Verizon indirekte aflæses i et andet tal fra rapporten. Når man ser på de virksomheder, hvor der har været en lækage, så har ingen af dem opfyldt kravene til PCI-compliance.

PCI-standarden kan opsummeres i 12 punkter, hvor de fleste af dem der dumper, dumper på punkt 10 og 11.

Punkt 10 drejer sig om overvågning af netværket og logning af adgang til kreditkortdata. Her er det oplagt at trække en parallel til Se og Hør-sagen i Danmark, hvor en medarbejder hos Nets' underleverandør IBM gennem længere tid misbrugte sin adgang til kundedatabasen.

Punkt 11 drejer sig om regelmæssig test af systemer og processer, og det er hér, mange virksomheder fejler, når de bliver vurderet et år senere.

»Tit er det ikke de tekniske ting, men derimod dokumentation. Hvis organisationen eksempelvis forandres, men det ikke dokumenteres, så kan det påvirke processerne,« siger Kim Haverblad.

Faktisk kan der ligefrem være for stor opmærksomhed på det tekniske, så virksomhederne glemmer at se på politikkerne og at få personalet til at efterleve politikkerne.

For at undgå at ryge ud af compliance med kravene, bør organisationen ifølge Kim Haverblad sørge for implementere processer, der kører hele året, og i den forbindelse kan det være en god idé at sørge for at afgrænse, hvad der skal med.

Sådan en afgrænsning kan også udvides til en tiltrængt oprydning i de data, der bliver lagret. Det er lettere at holde øje med, om man stadig opfylder kravene, hvis man ikke lagrer data, man ikke har brug for at lagre.

Men der kan også være systemer, som virksomhederne overser. Et eksempel er webbutikker, hvor kunderne bliver omdirigeret til en ekstern server, når betalingen skal gennemføres. Den omdirigering er der mange, der overser at få med i deres proces, fordi det ligger hos en ekstern leverandør, men virksomheden har stadig selv ansvaret for sikkerheden.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Per Gøtterup

Enhver som har arbejdet med PCI DSS compliant systemer vil vide, at der er ting som ikke står på listen med de 12 punkter men som man bør have styr på. Faktisk bliver dette netop checket når man vil have sin PCI-status fornyet fordi man er blevet klog af skade.

Jeg tænker her på adgang til ikke-krypterede kortdata. Mange systemer logger nemlig visse operationer, især til debug-brug, og her ryger der let kortdata med. Mange af disse logs kan læses af alle brugere på maskinen, så hvis man blot kan kompromittere webbrugeren så er der adgang til en masse guf.

Jeg har desuden rent faktisk set kundesystemer med kald til betalingssider hvori man inkluderer brugernavne og passwords direkte i URL'en! - En smule research og man finder let betalingsformidlerens kundeportal og med brugernavn og password så er der adgang til en masse funktionalitet, herunder refundering af betalinger og lignende.

  • 0
  • 0
Povl H. Pedersen

80% af lækkede kortdata eller mere kommer fra PCI certificerede virksomheder.

Det store arbejde er en masse latterlige processer ude i detailbranchen. De har nogle certificeret sikre terminaler, som ikke kan hackes. Men der er en masse administrative procedurer omkring disse.

Der er meget i PCI som ikke giver mening i DK set fra et risikoperspektiv.

Noget af PCI er fint. Men i DK burde Nets have risikoen for terminalen og ind til dem selv, fremfor at hver eneste butik skal pen-teste terminalen, og have en masse kontroller omkring den - Ja, det skal den gamle man i den lille tobakshandel nede på hjørnet også. Han skal lave self assessment, inventory med check af serienummer hver 14 dag, risk assesment, skrivebordsøvelser, have politikker, procedurer for ditten og datten, pen-test etc. Han slipper bare for en ekstern auditør, men har samme regler og forpligtelser som Walmart.

Til gengæld, hvis man har en webbutik, med betaling i IFRAME eller popup vindue, så er man helt fritaget for PCI krav, da argumentet er, at en hacker der ændrer websiden så den ikke peger på betalingsudbyder, men på phising sitet, hurtigt vil opdages, og under 100.000 kort forventes kompromiteret inden det opdages.

  • 0
  • 0
Log ind eller Opret konto for at kommentere