Säkerhetsblogg

4 sätt att lättare uppnå PCI DSS-kraven

hur du enklare foljer PCI DSS

Resan mot PCI-certifiering är inte alltid enkel. Processen att uppfylla kraven är ofta mycket dyr och kräver en hel del resurser. Många företag kämpar också med att förstå vilka system det är som måste uppfylla kraven i PCI DSS. Att definiera omfattning är en kritisk process i PCI DSS. På engelska kallas det scope. Så hur definierar du scope? Och finns det sätt att minska omfattningen på din hantering av kortdata?

Certifieringsprocessen för PCI DSS

Säkerhetsstandarden PCI DSS gäller för alla organisationer som lagrar, hanterar och/eller skickar kortdata. PCI SSC (Payment Card Industry Security Standards Council) listar följande steg i complianceprocessen.

  1. Scope
  2. Assess
  3. Report
  4. Attest
  5. Submit
  6. Remediate

Det första steget i PCI DSS-processen handlar om scope, att identifiera vilka komponenter och nätverk som omfattas av PCI DSS. Denna övning bör ske varje år och före varje PCI DSS-utvärdering.

Vad är PCI scope?

Omfattning, eller scope, är hur PCI-rådet definierar vilka delar av din miljö som måste uppnå säkerhetskraven i PCI DSS. Det som definieras som ’’in scope’’ för PCI DSS är: alla systemkomponenter som ingår i eller är anslutna till kortdatamiljön (CDE).

Enligt PCI DSS består Cardholder Data Environment (CDE) av människor, processer och teknik som behandlar kortdata eller känslig autentiseringsdata. Vad betyder behandlar i detta fall? I PCI-världen betyder behandla att lagra, hantera och/eller skicka kortdata. På engelska talar man om store, process och transmit. Detta innebär att om ditt företag har system som lagrar, hanterar eller skickar betalkortdata – så måste de uppnå säkerhetskraven i PCI DSS. Det första steget i PCI-processen handlar om att identifiera dessa systemkomponenter.

Hur avgör man vilka system som måste följa PCI-kraven?

När du ska identifiera vad som faktiskt måste följa PCI DSS, börja med att identifiera flöden av kortdata och alla de platser där kortdata finns. Du bör även identifiera alla systemkomponenter som är kopplade till kortdatamiljön. Systemkomponenter kan vara servrar och applikationer, och virtualiserade komponenter som virtuella maskiner, routrar och virtuella applikationer.

  • System som är placerade inom kortdatamiljön (CDE) omfattas av kraven, oberoende av deras funktionalitet eller anledningen till att de är i CDE.
  • På samma sätt kan system som ansluter till ett system i CDE omfattas, oavsett funktionalitet eller orsaken till att de har anslutning till kortdatamiljön.
  • I ett platt nätverk är alla system ’in scope’ även om det bara är ett enskilt system som lagrar, behandlar eller överför kontodata.

Ett vanligt misstag som många företag gör är att tro att allt som inte är i kortdatamiljön inte omfattas av kraven i PCI DSS. Detta är inte alltid fallet. En komponent kan fortfarande vara ’in scope’ även om den inte är ansluten till kordatamiljön. Den gyllene regeln här är om en utesluten komponent, om den hackas eller liknande, fortfarande kan påverka säkerheten i kortdatamiljön– så måste de inkluderas.

För en mer steg-för-steg guide till PCI-scope rekommenderar vi att man följer övningen som beskrivs nedan av PCI-rådet.

Scoping exercise PCI DSS

När är ett system ’out of scope’?

Ett system omfattas inte av PCI DSS när det är helt isolerat från kortdatamiljön, i den utsträckningen att även om den specifika systemkomponenten äventyras, skulle det inte påverka kortdatamiljöns säkerhet.

Hur minskar du PCI DSS-omfattningen?

Ju fler processer, system och ju mer komplex din IT-miljö är, desto dyrare och svårare blir det för att nå och upprätthålla PCI-efterlevnad. Av den anledningen bör du försöka minska omfattningen av kortdatahantering när du väl har identifierat vilka system som omfattas av säkerhetsstandarden.

Att begränsa PCI DSS-omfattningen kan minska kostnader och spara resurser. Det finns tyvärr ingen teknik där du helt kan slippa alla PCI DSS-krav, men det finns metoder som kan förenkla PCI DSS-kraven betydligt. Nedan tar vi upp 4 metoder som gör det lättare för dig att följa PCI DSS-kraven.

Nätverkssegmentering

Nätverkssegmentering innebär att kortdatamiljön isoleras från resten av företagets nätverk. Syftet med nätverkssegmentering är att förhindra att system som är ’out of scope’ från att kommunicera med eller påverka systemets säkerhet i kortinnehavarens datamiljö.

Tokenization

Tokenization är en process där man konverterar känslig data till icke känslig data. Denna metod kan avsevärt minska ditt PCI-scope eftersom tokeniserad data inte anses vara kortdata. Tokenization ersätter kortdata med ett “alias”, ett separat slumpmässigt genererat värde som kallas ett token. Token är oläsligt, vilket innebär att det inte har något värde för brottslingar om du skulle utsättas för en hackerattack. Genom att ha tokeniserad data i dina system undviker du att de omfattas av PCI, då ingen kortdata finns i kortdatamiljön.

Point-to-point encryption (P2PE)

Punkt-till-punkt kryptering, eller P2PE som det också kallas, är en metod som skyddar kortdata mot stöld. Det är en rekommenderad metod att använda för att skydda data. P2PE-lösningar krypterar betalkortdata vid ’the point-of-interaction’ (till exempel när man sveper ett betalkort, blippar kortet osv) tills det att data når leverantörens dekrypteringsmiljö. Kortuppgifterna är oläsliga under transaktionsprocessen, vilket skyddar transaktioner och förhindrar hackning, stöld och bedrägeri. Handlare som använder P2PE-lösningar omfattas av färre PCI-krav. Du kan hitta en lista med P2PE-lösningar och tjänsteleverantörer här.

Outsourcing

Att använda en PCI-certifierad leverantör kan också minska din hantering av kortdata. Genom att välja en lösning som är PCI-certifierad, eller till och med flytta din IT-miljö till en PCI DSS-kompatibel cloud-hosting-plattform, uppfyller du automatiskt några av kraven i säkerhetsstandarden. I vissa fall t.o.m. till den utsträckningen att du endast behöver fylla i ett SAQ (Self Assessment Questionnaire) eller en kort Report on Compliance och tillhandahålla tredjepartsleverantörens ROC. Detta kan minska kostnaderna för efterlevnad och minimera resurser som krävs för att uppfylla PCI-kraven.

När du överväger att outsourca din IT-miljö och drift är det viktigt att utvärdera kostnad och säkerhet. Hur mycket kommer du att spara på outsourcing? Du måste också se till att leverantörens säkerhetsnivå ligger på samma nivå som säkerheten i din organisation (eller högre).

PCI DSS är inte lätt

Säkerhetskraven i PCI DSS är inte alltid helt okomplicerade, och att förstå vilka systemkomponenter som omfattas av säkerhetsstandarden är ett pågående projekt. Hoppas att vi rett ut lite av era frågetecken. PCI DSS är inte lätt, men som tur är så finns det lösningar som kan göra din resa mot en PCI DSS-certifiering mycket enklare.

 

Relaterat innehåll:

Vad är PCI DSS?

Tokenization för att lättare följa PCI-kraven

Frågor och svar om WAF

  • 24 Solutions AB
  • Smedjegatan 2C
  • SE-13154 Nacka, Sweden
  • +46 (0)8 535 24 100
  • info@24solutions.com