ITEK og Dansk Industris vejledning om betalingskortsikkerhed

Transkript

1 ITEK og Dansk Industris vejledning om betalingskortsikkerhed

2 Udgivet af: ITEK og Dansk Industri Redaktion: Henning Mortensen ISBN:

3 Beskyttelse af betalingskortoplysninger Summary Der findes en standard for sikkerheden ved online betalinger med kreditkort. Standarden er lavet af de store kreditkort udstedere og skal følges af alle virksomheder, der modtager kreditkortbetalinger. Standarden kan hentes ved at følget linket på denne side. Indledning Det sker jævnligt, at der bliver stjålet betalingskortdata anvendt i online butikker. Det største eksempel til dato er vel nok tyveriet af mere end 45,7 millioner kreditkortoplysninger fra boligkæden TJX i foråret Der kan læses mere om denne case på TJX egen hjemmeside: De stjålne kreditkort oplysninger sælges i stort tal på internettet, og når dette sker, vil der blive trukket penge på kreditkort ejerens konto. Virksomheder, hvorfra kreditkortoplysningerne er stjålent, kan være skyldige i flere lovbrud, hvis det sker. Der kan derfor idømmes betydelige bøder til sådanne virksomheder. Hertil kommer mulige erstatningskrav fra ramte brugere. Endelig skal der eventuelt betales bod til kortudstederne. Det er værd at bemærke, at lovgrundlaget varierer fra land til land. Særligt i USA er der strenge straffe for at udsætte sine kunder for et muligt tyveri. Foruden den direkte økonomiske straf vil en virksomhed, der får kompromitteret sine kunders betalingskortdata, også lide tab i forbindelse med mistet tillid hos kunderne. Der er risiko for at færre kunder ønsker at købe online hos butikken. Og butikkens brand kan blive skadet således, at det bliver svært at trække nye kunder til. Endelig er det også vigtigt for virksomhederne, at de er gode internetnaboer og sikrer at det ikke er dem, der er skyld i at kreditkortsvindel kan finde sted og skade andre virksomheder. Standarden For at undgå tyveri af kreditkort oplysninger er det vigtigt at beskytte sig bedst muligt - og være i stand til at demonstrere dette. Gruppen "Payment Card Industry" har lavet standarden "Data Security Standard", herefter PCI DSS. Denne standard er en sikkerhedsstandard, som skal følges, for at minimere risikoen for tyveri af kreditkortoplysninger. Gruppen bag PCI DSS blev stiftet af nogle af de store kreditkort virksomheder som f.eks. Visa, MasterCard og American Express med det formål at lave en ensartet høj sikkerhed omkring elektronisk betaling, således at manglende sikkerhed ikke ville undergrave tilliden til online betaling. Gruppen vedligeholder en hjemmeside, hvorfra standarden kan downloades tillige med en række informationer om, hvordan standarden skal implementeres i praksis: Standarden omfatter krav til ledelsen af sikkerheden, udformning af politikker og procedurer, netværksarkitektur, software design og en række andre foranstaltninger. Selve standarden kan hentes her: 3

4 Målgruppe Alle virksomhederne der modtager online betalinger via betalingskort er omfattet af standarden: "PCI DSS requirements are applicable if a Primary Account Number (PAN) is stored, processed, or transmitted". Standarden er obligatorisk! Hvis en virksomhed allerede modtager kreditkort betalinger skal den altså efterleve standarden. Hvis en virksomhed er ved at starte op og har planer om at modtage kreditkort betalinger, er det vigtigt at læse standarden og sikre sig, at den fremtidige it-løsning bliver i stand til at efterleve den. Kanalen hvor igennem betalingerne modtages er uden betydning. Standarden skal altså efterleves, hvis man har en e-handelsløsning. Men den skal også efterleves, hvis man modtager betaling via telefonen eller via mail. Det afgørende er alene, at virksomheden kommer i besiddelse af kundernes kreditkortoplysninger. Indhold Standarden indeholder 12 krav inddelt i seks hovedgrupper. De 12 krav er uddybet i en meget lang række meget detaljerede krav. Deltaljeringsgraden er betydeligt mere omfattende, end man kender fra sikkerhedsstandarder som f.eks. DS484. Der er eksempelvis meget præcise krav om, hvad virksomhedens firewall skal kunne, og hvordan den skal kunne det. Standarden er dog samtidig meget kort, i og med at den kun er på 17 sider. Standarden indeholder i hovedtræk følgende forhold: A. Der skal udvikles og vedligeholdet et sikkert netværk Krav 1: Der skal installeres og vedligeholdes en firewall, som beskytter alle betalingskortdata Krav 2: Der må ikke anvendes defaultindstillinger som f.eks. passwords på nogle systemer B. Beskyt betalingskortdata Krav 3: Lagrede betalingskortdata skal beskyttes Krav 4: Transmissionen af betalingskortdata over åbne offentlige netværk skal beskyttes C. Vedligehold en procedure for håndtering af sårbarheder Krav 5: Der skal anvendes anti-virus software som jævnligt opdateres Krav 6: Der skal udvikles og løbende vedligeholdes sikkerhed i systemer og sikkerhedssystemer - herunder f.eks. patchning, test, back-up og best practises for kodning D. Implementer stærk adgangskontrol Krav 7: Adgangen til betalingskortdata skal begrænses til dem der har behov for adgang Krav 8: Alle brugere skal have unik adgangskode og password Krav 9: Den fysiske adgang til betalingskortdata skal begrænses E. Overvåg og test netværkene løbende 4

5 Krav 10: Der skal ske overvågning af al adgang til såvel netværk som betalingskortdata Krav 11: Der skal foretages løbende tests af sikkerhedssystemer og processer F. Vedligehold en sikkerhedspolitik Krav 12: Der skal løbende foretages vedligeholdelse af informationssikkerhedspolitikken. Efterlevelse En virksomhed kan enten vælge at bruge en serviceleverandør til at håndtere sine betalinger eller håndtere betalinger selv via eget system. Det er en ledelsesbeslutning at vurdere, om en sådan outsourcing skal foretages. ITEK og DI har i vejledningen: "Elektronisk Infrastruktur - virksomhedens IT-sikre placering" berørt disse overvejelser ud fra et sikkerhedsperspektiv. Det helt grundliggende trade-off mellem in- og outsourcing er, at man typisk har mere kontrol og kan udøve en bedre og hurtige service, ved selv at have kontrol med data (insourcing), mod at man til gengæld har høj grad af sikkerhed for at PCI kravene løbende overholdes, hvis løsningen er lagt ud til en certificeret virksomhed (outsourcet). Hvis virksomhederne anvender serviceleverandører på området, skal man sikre sig, at disse efterlever standarden. PBS har lavet en liste over, hvilke serviceleverandører i Danmark der efterlever PCI DSS kravene: Disse virksomheder fungerer som betalingsgateways og er omfattet af PCI DSS kravene. Når virksomheden anvender disse, ser de ikke selv kortdataene på deres kunder, og dermed bliver de ikke selv omfattet af kravene. Hvis virksomheden laver sin egen betalingsløsning, skal den sikre sig, at disse er lavet i overensstemmelse med standarden. Man skal imidlertid ikke blot efterleve standarden. Hvis man har en vis mængde transaktioner, er det også obligatorisk at dokumentere, at man efterlever den. Alternativt er det kun en anbefaling, at man kan dokumentere, at man efterlever den. Dette gøres gennem dels gennem et assessment og dels gennem en penetrationstest. Kravene til disse er omtalt i selve standarden. Antallet af betalinger, man modtager, er afgørende for, hvor omfattede assessmentet skal være, og hvor hyppigt penetrationstests skal foretages. Globalt arbejdes der med fire niveauer ( /merchants/risk_ma nagement/cisp_overview.html CISP%20Overview): Virksomhedens Grænser type 1 Mere end transaktioner (uanset kanal) fra en kortudsteder - f.eks. Visa eller Mastercard Enhver virksomhed, der har været udsat for en sikkerhedsbrist, der er relateret til kreditkort Enhver virksomhed, som kortudsteder vurderer bør være på dette niveau 5

6 2 Virksomheder med mellem og transaktioner om året 3 Virksomheder med mellem og transaktioner om året (via e-handel) 4 Virksomheder der modtager mindre end transaktioner om året (via e-handel) eller mindre end transaktioner om året (uanset kanal) For at dokumentere at man efterlever standarden, skal man foretage et selfassessment. Til dette formål har PCI lavet et skema, der kan findes her: Alternativt skal man anvende en ekstern Qualified Security Assessor (QSA). Visa har en god liste over disse liggende her: Om man kan foretage et selfassessment eller skal bruge en QSA afhænger igen af antallet af transaktioner, og dermed hvilken af ovenstående kategorier man falder i. Se opsummering nedenfor. Et andet dokumentationskrav for efterlevelse af standarden er gennemførsel af en penetrationstest. For at sikre at de angivne kvartalsvise penetrationstests har den fornødne kvalitet, har PCI også lavet en godkendelse af disse virksomheder kaldet Approved Scanning Vendors (ASV). Visa har en god liste over disse liggende her: Oversigten over dokumentationskrav, i forhold til mængden af transaktioner en virksomhed har, fremgår af nedenstående tabel. Det skal bemærkes, at hvis en virksomhed har transaktioner gennem f.eks. en bank i et land og en anden bank i et andet land skal disse transaktioner lægges sammen for at vurdere hvilken kategori af transaktioner man tilhører. Virksomhedens type Compliance QSAassessment Selfassessment 1 Obligatorisk Obligatorisk, årligt 2 og 3 Obligatorisk Obligatorisk, årligt 4 Obligatorisk Anbefalet, årligt Penetrationstest Obligatorisk, kvartalsvis Obligatorisk, kvartalsvis Anbefalet, kvartalsvis Yderligere information En række danske virksomheder kan være behjælpelige med yderligere information. For at få henvisninger til disse kan man kontakte ITEKs sekretariat. 6