Säkerhetsblogg

PCI-DSS kontra/och/eller ISO 27001

Om ditt företag har beslutat sig för att verkligen ta tag i sin IT-Compliance, så kommer troligtvis standarderna PCI DSS eller ISO 27001 utvärderas som alternativ. Båda standarderna är till för att säkra och hantera företagsinformation, men de gör det på olika sätt och i olika utsträckning.

Grundarna av ISO samlade år 1946Vad är ISO 27001?

Det är en international standard som sätter de krav som krävs för att ha och underhålla ett Information Security Management System (ISMS). Standarden passar de flesta företag eller organisationer, och är en flexibel lösning som kan anpassas till din nuvarande säkerhetspolicy och organisationsstruktur. ISO 27001 kontrolleras av International Organization for Standardization, och granskning görs av certifieringsorganisationer. Som en liten sidnotering, ISO härstammar från det grekiska ordet isos, som betyder lika.

Hur är det med PCI DSS?

PCI DSS är en obligatorisk standard som innebär krav för de företag eller organisationer som hanterar, överför och/eller lagrar kreditkortsuppgifter, som även kallas för kortdata. Där sätts kravnivå utifrån transaktionsvolymer och affärsområde. PCI DSS sköts av PCI Security Standards Council (PCI SSC) som bildades av Mastercard, Visa, JCB, Discover och American Express. En PCI-DSS revision görs av en QSA som måste arbeta för ett företag som godkänts av PCI SSC.

Och om man jämför ISO 27001 och PCI DSS?

Både PCI DSS och ISO 27001 är organiserade i uppsättningar av requirements och tillägg/bilagor. PCI DSS har 12 uppsättningar av ’requirements’, ett tillägg och cirka 250 kontroller som är till för att säkra kortdata . För ISO 27001, finns 11 uppsättningar av ’requirements’ med ett tillägg och 114 kontroller som finns för att underlätta planering, genomförande, övervakning och förbättring av en ISMS.

PCI DSS har en hög tillgänglighet och gratis att ladda ner. När det gäller ISO 27001, så måste du betala för att få den standarden, vilket jag personligen inte gillar.

Vilken standard är den optimala för mitt företag?

Om du börjar från noll och ditt företag inte hanterar kortdata på något sätt alls, så är ISO 27001 det bästa sättet att börja bygga upp en ISMS. Du behöver utforma din ’information security policy’ så att den bygger på PDCA modellen (Plan, Do, Check och ACT) för att på så sätt ha riskhantering i en större omfattning.

Om din organisation planerar att hantera kortdata så är PCI DSS det rätta valet för dig. Att ha en bra miljö för kortdata med en solid information security policy är det bästa sättet att börja din väg mot compliance. Detta kommer sedan att kompletteras med riskbedömning, gap-analysis tillsammans med andra verktyg.

Ska man ha båda två?

Ja. Om ditt företag redan idag uppfyller en ISO 27001 standard så är min gissning att du redan är 50% klar med PCI DSS compliance-processen, och båda standarderna är steg i rätt riktning för att nå en GDPR compliance, vilket är väldigt aktuellt i och med att den nya lagstiftningen kommer att börja gälla år 2018.

De flesta av de metoder som används inom riskbedömning i ISO 27001 kompletterar och stödjer PCI DSS, och båda standarderna har krav som är mycket lätt att integrera. I en perfekt värld har ditt företag att ha båda certifieringarna, vilket kommer att hjälpa dig och ditt företag till att ha en smidig och säker verksamhet.

24 Solutions är både ISO 27001 och PCI DSS compliant, vilket i min åsikt är en bra strategi.

  • 24 Solutions AB
  • Smedjegatan 2C
  • SE-13154 Nacka, Sweden
  • +46 (0)8 535 24 100
  • info@24solutions.com