Inledning
Sedan 2005 har drygt 11 miljarder konsumentuppgifter exponerats vid drygt 8 500 dataintrång. Det här är de senaste siffrorna från The Privacy Rights Clearinghouse, som rapporterar om dataintrång och säkerhetsintrång som påverkar konsumenter från 2005 och framåt.
För att förbättra säkerheten för konsumentdata och förtroendet för betalningsmiljön har en minimistandard för datasäkerhet skapats. Visa, Mastercard, American Express, Discover och JCB bildade 2006 Payment Card Industry Security Standards Council (PCI SSC) för att administrera och hantera säkerhetsstandarder för företag som hanterar kreditkortsuppgifter. Innan PCI SSC etablerades hade de här fem kreditkortsföretagen alla sina egna program för säkerhetsstandarder – vart och ett med i stort sett liknande krav och mål. De gick samman i PCI SSC för att enas om en standardpolicy, PCI Data Security Standards (känd som PCI DSS), och säkerställa en grundnivå av skydd för konsumenter och banker i internettidsåldern.
Det kan vara komplicerat och utmanande att förstå PCI DSS
Om din affärsmodell innebär att du måste hantera kortdata kan du behöva uppfylla var och en av de drygt 300 säkerhetskontrollerna i PCI DSS. Det finns mer än 1 800 sidor officiell dokumentation, som publiceras av PCI Council, om PCI DSS, och drygt 300 sidor som beskriver vilka formulär som ska användas för att validera efterlevnaden. Det skulle ta mer än 72 timmar att bara läsa allt detta.
För att göra bördan lättare följer här en vägledning steg-för-steg för hur du validerar och upprätthåller efterlevnad av PCI.
Allmän information om PCI Data Security Standard (PCI DSS)
PCI DSS är den globala säkerhetsstandarden för alla enheter som lagrar, hanterar eller överför kortdata och/eller känsliga autentiseringsuppgifter. PCI DSS sätter en grundläggande standard avsedd att skydda konsumenter och hjälper till att förebygga bedrägeri och informationsläckage i hela betalningsekosystemet. Standarden tillämpas på alla organisationer som tar emot eller hanterar betalningskort.
PCI DSS-efterlevnad omfattar tre huvudsakliga aspekter:
- Hantering av kundens kreditkortsdata, dvs. att känslig kortinformation samlas in och överförs på ett säkert sätt.
- Säker datalagring, uppdelat på 12 säkerhetsdomäner i PCI-standarden, däribland kryptering, pågående övervakning och säkerhetsprovning av åtkomst till kortdata.
- Årlig validering avsedd att säkerställa att de obligatoriska säkerhetskontrollerna är på plats, vilket kan inkludera formulär, undersökningar, externa skanningstjänster och tredjepartsrevisioner (den detaljerade guiden nedan innehåller en tabell över de fyra kravnivåerna).
Hantering av kortdata
En del affärsmodeller kräver att man hanterar känsliga kortuppgifter direkt, medan andra inte gör det. Företag som måste hantera kortdata (t.ex. för att godkänna icke-tokeniserade kortnummer på en betalningssida) kan behöva uppfylla samtliga 300+ säkerhetskontroller i PCI DSS. Fastän kortdata vistas en mycket kort tid på företagets servrar måste det ändå köpa in, implementera och underhålla säkerhetsprogram och hårdvara.
Om ett företag inte måste hantera känsliga kortdata är det något att undvika. Tredjepartsleverantörer (t.ex. Stripe Elements) tar emot och lagrar data i en säker miljö och minskar därmed komplexiteten, kostnaden och risken förknippad med dessa korttransaktioner. Eftersom kortinformationen aldrig vistas på deras servrar måste företaget bara klara av 22 säkerhetskontroller, varav de flesta är relativt oproblematiska(t.ex. att använda starka lösenord).
Säker datalagring
Om en organisation hanterar eller lagrar kreditkortsdata måste den definiera omfattningen på sin kortdatamiljö (CDE). PCI DSS definierar CDE som de människor, processer och tekniska lösningar som lagrar, behandlar eller överför kreditkortsdata – plus eventuella system med koppling till dessa. Eftersom alla 300 säkerhetskraven i PCI DSS tillämpas på CDE är det viktigt att separera betalningsmiljön från resten av verksamheten för att på så sätt kunna begränsa omfattningen av PCI-valideringen. Om en organisation skulle misslyckas med att separera kortdatamiljön kommer alla den organisationens system, bärbara datorer och enheter på företagsnätverket att omfattas av PCI-efterlevnaden. Ajaj!
Årlig validering
Oavsett hur kortdata erhålles måste organisationer fylla i ett PCI-formulär en gång per år. Hur PCI-efterlevnaden valideras beror på ett antal olika faktorer, se nedan för mer information. Här följer tre scenarion i vilka en organisation skulle kunna bli ombedd att visa att den uppfyller gällande PCI-krav:
- Betalleverantörer kan komma att be om det som en del av sin obligatoriska rapportering till kortnätverken
- Samarbetspartner kan komma att be om det som en förutsättning för att ingå ett affärsavtal
- Kunder kan komma att begära det av plattformsföretag (dvs. företag vars tekniska lösning möjliggör digitala transaktioner mellan separata användargrupper) för att själva kunna visa sina kunder att de hanterar deras data i en säker miljö.
Den senaste uppsättningen säkerhetsstandarder, PCI DSS version 3.2.1, inkluderar 12 huvudkrav med över 300 underkrav som speglar bästa praxis på säkerhetsområdet.
- Installera och underhåll en brandväggskonfiguration för att skydda kortinnehavarens data
- Undvik att använda leverantörskonfigurerade standarder för systemlösenord och andra säkerhetsparametrar
- Skydda kortinnehavarens lagrade data
- Kryptera överföringar av kortdata över öppna eller offentliga nätverk
- Skydda alla system mot skadeprogram och uppdatera antivirusprogram regelbundet
- Utveckla och underhåll säkra system och applikationer
- Begränsa åtkomst till kortinnehavarens data till berörda parter
- Identifiera och autentisera åtkomst till systemkomponenter
- Begränsa fysisk åtkomst till kortinnehavarens data
- Spåra och övervaka all åtkomst till nätverksresurser och kortinnehavarens data
- Testa regelbundet säkerhetssystem och processer
- Upprätta och underhåll en policy om informationssäkerhet för samtlig personal
Utveckla och underhåll säkra nätverk och system
Skydda kortinnehavarnas data
Upprätta och underhåll en policy för riskbaserad hantering av hot och säkerhetsrisker
Implementera strikt åtkomstkontroll
Övervaka och testa nätverken regelbundet
Upprätta och underhåll en integritetspolicy
För att göra det ”lättare” för nya företag att validera sin PCI-efterlevnad har PCI Council tagit fram nio olika formulär eller självbedömningsformulär (SAQ:er) som utgör en undergrupp till det övergripande PCI DSS-kravet. Tricket ligger i att identifiera vilket formulär som gäller för ditt företag och huruvida det är nödvändigt att anlita en PCI Council-godkänd revisor för att verifiera att samtliga PCI DSS-krav har uppfyllts. Än mer komplicerat blir det av att PCI Council justerar dessa regler var tredje år samt släpper mindre uppdateringar flera gånger om året.
Steg för steg-guide till efterlevnad av PCI DSS v3.2.1
1. Ta reda på vilka krav som gäller för dig
Det första steget mot efterlevnad av PCI är att veta vilka krav som gäller för din organisation. Det finns fyra olika nivåer för efterlevnad av PCI, som vanligtvis baseras på volymen kreditkortstransaktioner ditt företag hanterar under en period på 12 månader.
| Gäller för | Krav | |
| Nivå 1 |
|
|
| Nivå 2 | Organisationer som hanterar mellan 1 till 6 miljoner transaktioner årligen | |
| Nivå 3 |
|
|
| Nivå 4 |
|
För nivå 2–4 finns det olika SAQ-typer beroende på din integreringsmetod för betalningar. Här är en kortfattad tabell:
| SAQ | Beskrivning |
| A |
Handlare som inte erbjuder kortbetalning i fysisk miljö (e-handel eller mejl-/telefonbeställningar) som har utkontrakterat alla kortrelaterade datafunktioner till PCI DSS-godkända tredjepartsleverantörer och som varken lagrar, hanterar eller överför kortdata i de egna systemen. Gäller inte kanaler i fysisk miljö. |
| A-EP |
E-handlare som utkontrakterar all betalningshantering till PCI DSS-validerade tredjepartsleverantörer och som har en webbplats som, fastän den inte tar emot kortdata direkt ändå kan ha en effekt på betalningstransaktionens säkerhet. Inkluderar ingen lagring, hantering eller överföring av kortdata i handlarens egna system. Gäller endast e-handelskanaler. |
| B |
Handlare som bara använder:
Gäller inte e-handelskanaler. |
| B-IP |
Handlare som endast använder separata, PTS-godkända betalningsterminaler med IP-anslutning till betalleverantören utan elektronisk lagring av kortinnehavarens data. Gäller inte e-handelskanaler. |
| C-VT |
Handlare som manuellt matar in en engångstransaktion i taget via ett tangentbord i en webbaserad, virtuell betalningsterminal som tillhandahålls och sköts av en PCI DSS-validerad tredjepartsleverantör. Inkluderar inte elektronisk lagring av kortinnehavarens data. Gäller inte e-handelskanaler. |
| C |
Handlare som använder betalningsapplikationer som är anslutna till internet utan elektronisk lagring av kortinnehavarens data. Gäller inte e-handelskanaler. |
| P2PE |
Handlare som endast använder hårdvaruterminaler som ingår i och hanteras via en validerad, PCI SSC-listad point-to-point-krypteringslösning (P2PE) utan elektronisk lagring av kortinnehavarens data. Gäller inte e-handlare. |
| D |
SAQ D för handlare: Alla handlare som inte ingår i någon av de ovan beskrivna SAQ-typerna. SAQ D för tjänsteleverantörer: Alla tjänsteleverantörer som av ett betalningsföretag har definierats som berättigade att fylla i en SAQ. |
Om du vill ha hjälp med att identifiera de SAQ-dokument och intyg som bäst stämmer in på din organisation kan du titta på flödesschemat på sida 18 i det här PCI-dokumentet.
Då kraven för PCI DSS ändras över tid är det rekommenderat att bli en PCI-partner (PCI Participating Organization, PO) för att få uppdateringar om nya och förändrade certifieringskrav samt information om hur du uppfyller dessa.
Kartlägg dina dataflöden
Innan du kan skydda känsliga kortdata måste du veta var de bor och hur de tar sig dit. Vi rekommenderar att du tar fram en detaljerad karta över de system, nätverksanslutningar och applikationer som kommunicerar med kreditkortsdata i din organisation. Beroende på din arbetsroll kan du behöva samarbeta med IT- och säkerhetsteamen för att åstadkomma detta.
- Börja med att identifiera samtliga av företagets kundinriktade områden som involverar betalningstransaktioner. Du kanske tar emot betalningar via digitala kundvagnar, betalningsterminaler i fysisk miljö eller beställningar per telefon.
- Identifiera därefter hur kortinnehavarens data hanteras på ditt företag. Det är viktigt att veta exakt var uppgifterna lagras och vem som har åtkomst till dem.
- Sen är det dags att identifiera de interna system eller underliggande teknologi som är involverade i betalningstransaktionerna. Detta inkluderar nätverkssystem, datacentraler och molntjänster.
3. Kontrollera säkerhetskontroller och protokoll
När du har kartlagt alla potentiella beröringspunkter för kreditkortsdata i din organisation kan du samarbeta med IT- och säkerhetsteamen för att säkerställa att rätt säkerhetskonfigurationer och protokoll är på plats (se listan med 12 säkerhetskrav för PCI DSS ovan). Dessa protokoll är designade att säkra överföringen av data, som till exempel Transport Layer Security (TLS).
De 12 säkerhetskraven för PCI DSS v3.2.1 har sitt ursprung i bästa praxis för skydd av känsliga företagsdata. Då många krav överlappar med de som krävs för att uppfylla GDPR, HIPAA och andra säkerhetskrav kan en del redan vara implementerade i din organisation.
4. Övervaka och underhåll
Det är viktigt att notera att PCI-efterlevnad inte är en engångsgrej. Det är en pågående process som ser till att ditt företag uppfyller gällande krav även när dataflöden och kundrelationer förändras. En del kreditkort kräver att du skickar in rapporter en gång i kvartalet eller en gång per år, medan andra vill att du fyller i en platsbaserad bedömning för att validera pågående efterlevnad, särskilt om du överskrider 6 miljoner transaktioner om året.
För att ett företag ska kunna hantera PCI-efterlevnaden under årets gång (samt år efter år) krävs det ofta att man får stöd och samarbetar med olika avdelningar. Om du inte har gjort det ännu bör du fundera på att skapa ett separat internt team vars uppgift är att se till att efterlevnaden bibehålls. Fastän varje företag är unikt skulle de flesta PCI-team dra fördel av att inkludera representation från följande avdelningar:
- Säkerhet: Företagets säkerhetschef (CSO) och informationssäkerhetschef (CISO) och deras team säkerställer att organisationen fortsätter att investera i nödvändig datasäkerhet, säkerhetsresurser och policy-uppdateringar.
- Teknik/betalningar: Företagets teknikchef (CTO), betalningsdirektör och deras team säkerställer att företagets kärnverktyg, integrationer och infrastruktur fortsätter att uppfylla gällande krav i takt med att organisationens system utvecklas.
- Ekonomi: Företagets ekonomichef (CFO) och hens team säkerställer att alla betalningsdataflöden beaktas vad gäller betalningssystem och samarbetspartner.
- Juridik: Det här teamet kan hjälpa företaget navigera de många juridiska frågorna som kan uppstå om PCI DSS-efterlevnad.
Om du vill ha mer information om PCI-efterlevnadens komplicerade värld kan du gå till PCI Security Standards Councils webbsida. Om du endast avser läsa den här guiden och ett fåtal andra PCI-dokument skulle vi börja med dessa: en prioriteringsguide till PCI DSS-efterlevnad, SAQ-instruktioner och riktlinjer, vanliga frågor om hur man använder behörighetskriterier för SQA för att identifiera platsbaserade bedömningskrav och vanliga frågor om vilka skyldigheter man har som apputvecklare när det gäller konsumentenheter som tar emot betalningsuppgifter.
Så hjälper Stripe organisationer uppfylla och underhålla PCI-efterlevnad
Stripe gör det betydligt lättare för företag som använder Checkout, Elements, mobila SDK:er och SDK:er i Terminal att uppfylla gällande PCI-krav. Stripe Checkout och Elements använder ett värdbaserat betalningsfält för att hantera alla betalningsrelaterade kortdata, så att kortinnehavaren anger all känslig information i ett betalningsfält som härrör direkt från våra PCI DSS-validerade servrar. Stripes mobila och terminalbaserade SDK:er gör det även möjligt för användare att skicka känslig betalningsinformation direkt till våra PCI DSS-validerade servrar.
Tack vare dessa säkra kortautentiseringsmetoder kan vi uppdatera PCI-formuläret (SAQ) i Stripe Dashboard och möjliggöra PCI-validering med ett enda knapptryck. För mindre organisationer kan detta spara hundratals arbetstimmar, medan det för större företag kan spara tusentals.
Stripe agerar PCI-representant för alla sina kunder oavsett integrationstyp, och kan hjälpa till på olika sätt.
- Vi analyserar din integrationsmetod och rekommenderar vilket PCI-formulär du ska använda samt beskriver hur du kan minska ditt efterlevnadsarbete.
- Vi meddelar dig i förväg om en växande transaktionsvolym kan leda till att du behöver ändra hur du validerar betalningar.
- Vi erbjuder större handlare (nivå 1) ett PCI-paket som kan förkorta PCI-arbetet från månader till dagar. Om du måste arbeta med en PCI QSA (qualified security assessor)(för att du lagrar kreditkortsdata eller har ett mer invecklat betalningsflöde) kan vi introducera dig till ett av de 350 QSA-företagen som finns i världen och hjälpa dig hitta en revisor som förstår sig på Stripes olika integrationsmetoder.
| Visas handlarkategori | Genomsnittlig revisionstid (årsuppskattning) | Genomsnittlig revisionstid med Stripe Elements, Checkout eller mobila SDK:er (årsuppskattning) |
| Nivå 1 | 3–5 månader | 2–5 dagar |
| Nivå 2 | 1–3 månader | 0 dagar |
| Nivå 3 | 1–3 månader | 0 dagar |
| Nivå 4 | 1–3 månader | 0 dagar |
Om du vill ha mer information om hur Stripe hjälper dig skydda dina kunders data och uppnå PCI-efterlevnad kan du kolla in vår dokumentation om integrationssäkerhet.
Slutsats
PCI-efterlevnad ska vanligtvis granskas och valideras en gång per år, men själva PCI-efterlevnaden är inte en engångsföreteelse – det involverar pågående granskning och avstämning. I takt med att ett företag växer utvecklas även dess huvudsakliga affärslogik och processer, vilket innebär att efterlevnadskraven också kommer att förändras. Ett onlineföretag kan till exempel bestämma sig för att öppna fysiska butiker, expandera till nya marknader eller öppna ett kundsupportcenter. Om nya omständigheter på företaget involverar kortdata är det en bra idé att proaktivt kontrollera om dessa kommer att ha någon effekt på företagets PCI-efterlevnad så att man kan justera detta vid behov.
PCI-efterlevnad hjälper, men räcker inte
Genom att uppfylla gällande PCI-krav erbjuds ditt företag ett viktigt skydd mot olika faror – men det räcker inte. PCI DSS sätter viktiga standarder för hur man ska hantera och lagra kortdata, men kan inte ensamt erbjuda tillräckligt skydd i alla betalmiljöer. Ett mycket effektivare sätt att skydda din organisation är att börja använda säkra kortautentiseringsmetoder (som Stripe Checkout, Elements och mobila SDK:er). Den långsiktiga fördelen med detta är att man inte behöver förlita sig på grundläggande industristandarder eller oroa sig för potentiella framtida säkerhetsproblem. Denna strategi erbjuder agila företag ett sätt att undvika potentiella informationsläckage och den emotionella, tidskrävande och kostsamma inställningen till PCI-validering som vi hade tidigare. Dessutom bjuder en säkrare integreringsmetod på bättre tillförlitlighet dygnet runt, året runt.
Tillbaka till guider