För att få bukt med växande kreditkortsstölder har kortorganisationerna Visa, Mastercard och American Express enats om säkerhetsstandarden payment card industry data security standard, pci dss, som ställer tolv övergripande krav på företag som tar betalt med kreditkort.
– Med pci dss får företag ordning och reda i sina system. Utrullningen har gått snabbast i USA där man har haft stora problem med kortbedrägerier. Vid ett tillfälle kom obehöriga åt 46 miljoner kreditkortsnummer genom ett dataintrång, säger Jesper Kråkhede, säkerhetskonsult på Capgemini.
Erfarenheter från USA visar att det tar mellan tre månader och två år att införa standarden, beroende på hur förberett ett företag är och vilken status det har på it-miljön.
– I USA kan företagen drabbas av böter på mellan 5 000 och 25 000 dollar per månad om kraven i standarden inte uppfylls. Den summan kan växa mycket mer i händelse att någon stjäl kreditkortsnummer. I Sverige är böterna inte fastslagna men kommer sannolikt att ligga på en motsvarande nivå. Böterna bestäms av de stora kortföretagen.
Jesper Kråkhede uppskattar att 20–25 procent av Sveriges företag, som ligger i högsta säkerhetsklassen, har börjat nosa på kortstandarden. Uppfylls kraven blir företaget pci dss-kompliant, vilket innebär att det efterlever reglerna.
Hur tror du mindre svenska företag klarar det här? Har de råd?
– Frågan är snarast om de har råd att inte vara komplianta. Det handlar om att ha en hygglig säkerhet på sina system. Det är inga extrema införandeprojekt om man har en normal säkerhet från början.
Alla företag som tar emot och hanterar kreditkort måste följa de krav som företagets bank ställer. Ett av kraven för att det ska anses att företaget efterlever reglerna är att allt ska loggas så man vet vem som gjort vad och när. Det krävs även löpande skannings- och intrångstester för att bli certifierad.
– Standarden täcker även skriftlig information, såsom kortslippar, vilka måste sparas säkert. Teknik i nätverk måste segmenteras med brandväggar. Företagen måste också införa en säkerhetspolicy. Till exempel ska alla som arbetar med kreditkortsinformation säkerhetsgranskas vid anställning – även konsulter.
– Med pci dss får företag ordning och reda i sina system. Utrullningen har gått snabbast i USA där man har haft stora problem med kortbedrägerier. Vid ett tillfälle kom obehöriga åt 46 miljoner kreditkortsnummer genom ett dataintrång, säger Jesper Kråkhede, säkerhetskonsult på Capgemini.
Erfarenheter från USA visar att det tar mellan tre månader och två år att införa standarden, beroende på hur förberett ett företag är och vilken status det har på it-miljön.
– I USA kan företagen drabbas av böter på mellan 5 000 och 25 000 dollar per månad om kraven i standarden inte uppfylls. Den summan kan växa mycket mer i händelse att någon stjäl kreditkortsnummer. I Sverige är böterna inte fastslagna men kommer sannolikt att ligga på en motsvarande nivå. Böterna bestäms av de stora kortföretagen.
Jesper Kråkhede uppskattar att 20–25 procent av Sveriges företag, som ligger i högsta säkerhetsklassen, har börjat nosa på kortstandarden. Uppfylls kraven blir företaget pci dss-kompliant, vilket innebär att det efterlever reglerna.
Hur tror du mindre svenska företag klarar det här? Har de råd?
– Frågan är snarast om de har råd att inte vara komplianta. Det handlar om att ha en hygglig säkerhet på sina system. Det är inga extrema införandeprojekt om man har en normal säkerhet från början.
Alla företag som tar emot och hanterar kreditkort måste följa de krav som företagets bank ställer. Ett av kraven för att det ska anses att företaget efterlever reglerna är att allt ska loggas så man vet vem som gjort vad och när. Det krävs även löpande skannings- och intrångstester för att bli certifierad.
– Standarden täcker även skriftlig information, såsom kortslippar, vilka måste sparas säkert. Teknik i nätverk måste segmenteras med brandväggar. Företagen måste också införa en säkerhetspolicy. Till exempel ska alla som arbetar med kreditkortsinformation säkerhetsgranskas vid anställning – även konsulter.
(
Molnigt på idg.se?
Systemfel - (Mean) 2007-12-05 16:10
Systemfel - (morgonkvist - <3 edit :-)) 2007-12-05 16:30
Komplianta? - (Kalle stropp) 2007-12-05 17:17
Systemfel - (Remuz) 2007-12-06 13:56
Systemfel - (Zap (för svensk grammatik i Sverige...)) 2007-12-06 21:15
Komplianta? - (Zap (för svensk grammatik i Sverige...)) 2007-12-06 21:34