torsdag, februar 23, 2012
PCI DSS for brukersteder PDF Skriv ut


Her følger en fire trinns oversikt som vil vise deg hvordan du går frem for å PCI-sertifisere ditt brukersted.


1. Finn ditt nivå

Her kan du finne ditt nivå (level) og bli kjent med hvilke(t) valideringskrav som gjelder for ditt brukersted.

Årlig volum på korttransaksjoner bestemmer hvilke(t) valideringskrav som gjelder.


Om valideringskravene

Brukersteder som faller inn under PCI level 1-3 plikter å gjennomføre kvartalsvis sårbarhetsskann, mens level 1 brukersteder må i tillegg gjennomføre årlig audit (se punkt  3).  Egenvurderingsskjema er obligatorisk for level 2-3, mens det kun anbefales for level 4*. Level 1 trenger ikke gjøre SAQ.

 

*Merk at flere innløsere har pålagt SAQ for level 4 brukersteder. Dette også vil komme som et krav fra PCI DSS i løpet av tredje kvartal 2009.

 


2. Finn ditt egenvurderingsskjema
Egenvurderingsskjema, Self-Assessment Questionnaire "SAQ", finnes her.

 

Det er fem forskjellige valideringstyper og fire forskjellige egenvurderingsskjema.
Egenvurderingsskjemaene varierer ut i fra hvilken betalingsløsning og hvilket systemoppsett brukerstedet benytter. Skjemaene kalles SAQ A (11 spørsmål),B (21 spørsmål),C (38 spørsmål) og D (226 spørsmål). Et fysisk brukersted med stasjonær terminal, som ikke er tilkoblet andre systemer eller til internett, vil for eksempel benytte SAQ B, mens et brukersted med et POS system som er tilkoblet internett og ikke lagrer kortdata må benytte SAQ C.

Les mer om SAQ her.



3. Finn et sertifisert datasikkerhetsfirma for sårbarhetsskanning og/eller audit

Sårbarhetsskanning gjelder for brukersteder i level 1-3, og skal skje kvartalsvis.
Det er kun datasikkerhetsfirma som er godkjent av kortselskapene som Approved Scanning Vendor ”ASV” som kan foreta sårbarhetsskann. Her er en liste over godkjente ASV.


Audit gjelder kun for Level 1 brukersteder og skal skje årlig. Det er kun datasikkerhetsfirma som er godkjent av kortselskapene som Qualified Security Assessors ”QSA” som kan foreta audit.

Her er en liste over godkjente QSA. 

 

4. Rapportering til innløser

Alle brukersteder må rapportere PCI-status kvartalsvis. Dette gjøres direkte til innløser. PCI-status kan være aksjonsplan, ferdig utfylt egenvurderingsskjema, resultat av sårbarhetsskanning og/eller audit, alt etter hvilke krav brukerstedet omfattes av og alt etter hvilken avtale en har med innløser. Hver enkelt innløser har forskjellige rutiner og rapporteringsverktøy.

 

Kontakt din innløser hvis du har spørsmål om rapportering av PCI-status.


(PCI-status må ikke sendes til FFNK.)