torsdag, februar 23, 2012
PDF Skriv ut

Payment Card Industry Data Security Standard

beskriver de krav som må oppfylles av en aktører som behandler kortnummer og annen transaksjonsinformasjon. Standarden gjelder for Visa, MasterCard, American Express, Diners, Discover og JCB.


Følgende dataelement skal beskyttes  


All informasjon om PCI DSS finnes på nettsidene til PCI Security Council


Alle brukersteder, tredjeparts leverandører og innløsere som behandler og/eller oppbevarer kortnummer og annen transaksjonsinformasjon må rette seg etter kravene i PCI DSS, og skal planmessig gjennomføre kontrolltiltak for å verifisere at kravene følges.

Volumet på korttransaksjoner i virksomheten bestemmer hvilke valideringskrav som må gjennomføres. Dette kan variere fra en selvvurderingstest til sårbarhetsskan av systemer og årlige audits. Den enkelte aktør må selv sørge for at kravene i PCI DSS oppfylles. Se henholdsvis brukersteder eller PSP for en oversikt over valideringskrav og veiledning til hvordan bli PCI-sertifisert.

Ved sertifisering skal det kun benyttes selskaper som er godkjent av Visa og MasterCard til dette formål (Qualified Security Assessor "QSA" og Approved Scanning Vendor "ASV").



PCI regelverket er satt sammen av mer enn 200 punkter og
kan oppsummeres med følgende 12 områder:

Build and Maintain a Secure Network
Requirement 1: Install and maintain a firewall configuration to protect cardholder data
Requirement 2: Do not use vendor-supplied defaults for system passwords and other security parameters

Protect Cardholder Data
Requirement 3: Protect stored cardholder data
Requirement 4: Encrypt transmission of cardholder data across open, public networks

Maintain a Vulnerability Management Program
Requirement 5: Use and regularly update anti-virus software
Requirement 6: Develop and maintain secure systems and applications

Implement Strong Access Control Measures
Requirement 7: Restrict access to cardholder data by business need-to-know
Requirement 8: Assign a unique ID to each person with computer access
Requirement 9: Restrict physical access to cardholder data

Regularly Monitor and Test Networks
Requirement 10: Track and monitor all access to network resources and cardholder data
Requirement 11: Regularly test security systems and processes

Maintain an Information Security Policy
Requirement 12: Maintain a policy that addresses information security


Her finner du PCI DSS krav, manualer og spesifikasjoner.