Har du besvär med att följa PCI DSS? Här är några tips

Att säkerställa korthållarens uppgifter kan var oerhört svårt men har du försökt . Att inte förvara så mycket information?

Du skulle bli förvånad över hur effektivt detta uppenbarligen nonchalanta råd är. Organisationer förvarar ofta mer information än vad de behöver vilket gör säkerheten svårare än den behöver vara. Ta primära kontonummer (PANS). Denna information behövs i mycket mindre omfattning än kortinnehavarens namn och kontonummer medan organisationer samlar självklart vanligtvis alla tre och anstränger sig för att skydda något som det inte ens behöver.

Ta bort PANS innebär att du dramatiskt minskar omfattningen på din korthållarmiljö (CDE) och minskar mängden arbete som du behöver lägga ner för att följa betalningskortbranschens säkerhetsstandard (PCI DSS). Ibland är mindre i verkligheten mera.

Det finns många andra sätt som du kan använda för att minska omfattningen på din CDE och göra PCI DSS efterlevnaden enklare. Här är några få av de mest effektiva:

Segmentering

Nätverkssegmentering är processen där men delar upp ett nätverk i mindre delsektioner och därmed begränsar sätten på vilka de kan kommunicera med varandra. För att kunna anses vara utom räckhåll för PCI DSS måste ett system isoleras på ett sådant sätt att CDE inte kommer att påverkas vid en överträdelse.

Segmentering

Nätverkssegmentering är processen där men delar upp ett nätverk i mindre delsektioner och därmed begränsar sätten på vilka de kan kommunicera med varandra. För att kunna anses vara utom räckhåll för PCI DSS måste ett system isoleras på ett sådant sätt att CDE inte kommer att påverkas vid en överträdelse.

Segmentering kan uppnås via:

  • Brandväggar för att segmentera invändiga zoner;
  • Växlar, som ofta används bakom brandväggar för att segmentera nätverkszoner;
  • Luft gapping, i vilka organisationer använder separata nätverksanslutningar för olika segment; och
  • Analoga telefonledningar för att helt avlägsna hotet nätverksöverträdelser.

Begränsa åtkomst

En organisations största svaghet är ofta den egna personalen och därför är det viktigt att införa åtkomstkontroller för att säkerställa att åtkomst till information enbart sker på basis av ”behov av att veta”. Detta betyder att färre personer kan inhämta känslig information, mildra risken för att den missbrukas.

Del av denna process kommer att innebära att man säkerställer att system enbart lagrar information som är relevant för en specifik uppgift. Exempelvis bör du bedöma dina databaser och sättet på vilket de inhämtar inkommande och utgående trafik. Databaser, som samlar in all information de behöver genom en utgående kanal, inte ska vara anslutna till en inkommande kanal.

Andra metoder

  • Köpmän inom e-handel kommer att ha fördel av att använda en tredje-parts betalningsleverantör. Detta ställer en hel del sektioner av Standarden ur funktion.
  • Organisationer bör överväga förvara tokenisering, där PAN ersätts av tokens (dvs. en serie med slumpmässigt valda siffror). De kan fortfarande användas för att identifiera kunden på organisationens nätverk men har inte något värde för skadlig användning.
  • Om din organisation använder PIN inmatningsenheter, bör du säkerställa att de implementerar punkt-till-punkt kryptering. Detta omvandlar betalningskortet till en kod som förhindrar kriminella hackers från att fånga upp information under transitering.

Upprätthålla dokumentering

Det är uppenbart viktigt att dokumentera dina policyer och rutiner men det är minst lika viktigt att hålla dem uppdaterade och att de är formellt godkända. Det kan vara tidskrävande och utmanande och därför har vi skapat vår PCI DSS Verktygssats för dokumentation för att förenkla detta arbete.

Denna verktygssats innehåller en dokumentkontrollenhet för att hjälpa dig att välja och redigera lämplig policy för att du ska kunna upprätta och korrigera dokument allt efter behov.

Den stöder alla frågeformulär för egenbedömning oavsett dina specifika betalningsscenarier. Den är helt anpassad till PCI DSS v3.2 för att du ska vara säker på att dina policyer är korrekta och överenstämmande med Standarden.

Verktygssatsen innehåller även en uppsättning verktyg för projektledningen enligt matrisen för roller och ansvar, ett verktyg för glappanalys och en omfångsguide.

Ta en kostnadsfri testversion av vår PCI DSS verktygssats för dokumentering >>

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.