Öka säkerheten! Skydda ditt varumärke och din affärsverksamhet! Presentationen kan användas av PSP vid kommunikation med sina samarbetspartners
All kortinformation måste skyddas! Kortbranschen har enats om en säkerhetsstandard avseende hantering av kortnummer. Denna säkerhetsstandard benämns PCI DSS* och beskriver hur kortnummer och annan kortinformation ska hanteras och gäller såväl vid betalningar där kortet är fysiskt närvarande som vid post-, telefonorder och e- handel. Syftet med PCI DSS är att säkerställa att alla som lagrar, processar, transporterar eller på annat sätt hanterar kortinformation gör det på ett sådant sätt att obehöriga inte kommer åt kortinformationen. Visa, MasterCard, American Express och Diners har tillsammans utformat PCI DSS! PCI Security Standard Council vidareutvecklar PCI DSS! *Payment Card Industry Data Security Standard 2
För att säkerställa PCI DSS i Sverige driver svenska inlösare via PNC ett Compliance program PNC (PAN Nordic Card Association) är en branschorganisation för kortverksamheten åt inlösarbanker. PNC arbetar för en gränslös och växande pannordisk kortmarknad och är verksamma i Sverige, Danmark, Norge, Finland och i de baltiska länderna, medlemmar är: Nordea Swedbank SEB Handelsbanken Danske Bank PBS Visa Sweden Europay Sweden Via PNC är alla svenska inlösare med i Compliance programmet Nordea, Swedbank, SEB och Handelsbanken driver initialt programmet i projektform med PNC som uppdragsgivare. 3
Är din affärsverksamhet PCI säker? Hanterar Ni eller Era produkter kortinformation? I så fall omfattas Ni av PCI DSS kraven. För att dina kunder ska kunna leva upp till PCI DSS krävs att du som aktör i din kunds kortbetalningskedja, uppfyller PCI DSS kraven. Utvecklare kassaapplikationer / kassaleverantörer Kund Payment Service Provider (PSP) Servicebyråer Andra aktörer 4
PCI DSS - En obligatorisk datasäkerhetsstandard för hantering av kortinformation Består av 6 delområden för ökad säkerhet innehållande tillsammans 12 krav The Payment Card Industry Data Security Standard (PCI DSS) v 1.1 Build and Maintain a Secure Network 1. Install and maintain a firewall configuration to protect cardholder data 2. Do not use vendor-supplied defaults for system passwords and other security parameters Protect Cardholder Data 3. Protect stored data 4. Encrypt transmission of cardholder data across open, public networks Maintain a Vulnerability Management Program 5. Use and regularly update anti-virus software 6. Develop and maintain secure systems and applications Implement Strong Access Control Measures 7. Restrict access to cardholder data by business need-to-know 8. Assign a unique ID to each person with computer access 9. Restrict physical access to cardholder data Regularly Monitor and Test Networks Maintain an Information Security Policy 10. Track and monitor all access to network resources and cardholder data 11. Regularly test security systems and processes 12. Maintain a policy that addresses information security Källa: PCI Security Council för senaste versionen se PCI Council https://www.pcisecuritystandards.org/ 5
Inristat på din näthinna vid fortsatt produktutveckling av kassa-applikationer och tjänster! Data Storage Clarification Källa: PCI Security Council, version 1.1 För senaste versionen samt förklaring av förkortningar som används se PCI Council https://www.pcisecuritystandards.org/ 6
Compliance programmet
Compliance programmets byggstenar Efterlevnad av compliance programmet PSP följer Rapporter upp status och med Register sina samarbetspartner från PSP och PSP behöver tillhandahåller följa upp rapporter status med och sina register samarbetspartner till inlösarna och ge Inlösarna information Samarbetsavtal enligt framtagna mallar uppdateras av PSP Skall Samarbetsavtal återspegla kraven (Associates) från PCI DSS uppdateras av PSP Kassa-applikation ska vara PABP-validerad via en Skall återspegla kraven från PCI DSS Självdeklaration Kortinterface (KI) ska vara PABP-certifierad av en QSA. Visa PABP beskriver hur applikationer blir compliant PCI DSS beskriver kraven på hantering av kortinformation Compliance valideras via QSA (Qualified Security Assessor) eller SAQ (Self Assessment Questionnaire) 8
PSP ska säkerställa att även deras samarbetspartners uppfyller compliance programmets krav Compliance programmet skall följa upp att: PSP och dess samarbetspartner är compliant med programmet PSPs KI är PABP compliant PSPs samarbetspartners kassa-applikationer är PABP compliant Kostnader för bedrägerier hos kunder, PSPs och samarbetspartners kan komma att överföras från inlösare till berörda parter som inte uppfyller PCI-DSS kraven. Avstängning av aktörer kan bli aktuellt Varje aktör i kedjan tar sina egna kostnader för att uppnå compliance 9
e-handel
Vad innebär compliance programmets krav för säljföretag med e-handelslösning? Ur compliance programmets synpunkt finns två olika e-handels lösningar Hostad lösning Icke hostad lösning * PCI Council https://www.pcisecuritystandards.org/ 11
Hostad lösning Definition: all kortinformation lagras, processas eller transporteras enbart i PCI DSS certifierad miljö hos en QSA certifierad PSP Kunden (säljföretaget) hanterar inte kortinformation Hostad lösning omfattas av PSPs PCI certifiering! 12
Berörda komponenter: A. PSP B. Kortinterface programvara hostad av PSP PSP Produktionsmiljö (system, databaser och drift) Hantering av auktorisationer och debettransaktioner A KI B Vid kortbetalning redirectas kunden från kassaapplikation till kortbetalningslogik hos PSP. Hostad lösning alla andra lösningar definieras som icke hostad lösning C Kunden (Säljföretag) Kassaapplikation D Övrig SW* Varukorg Komponenter som ej berörs av PCI DSS: (ingen kortinformation får hanteras) C. Kassa-applikation D. Övrig programvara Kortinnehavare 13
Icke hostad lösning Definition: kortinformation lagras, processas eller transporteras hos kunden (säljföretaget) eller av annan part benämns ofta API lösning Varje lösning är unik PCI DSS compliance för varje icke hostad lösning måste valideras av kunden (säljföretaget) enligt inlösarens krav! 14
POS miljöer
Komponenter som berörs av PCI DSS vid POS-miljö Berörda komponenter A PSP Produktionsmiljö (system, databaser och drift) Hantering av auktorisationer och debettransaktioner Kassaleverantör Remote service E A. PSP B. Kortinterface programvara levererad av PSP Programvara hos kunden (säljföretag) C. Kassa-applikation D. Övrig programvara E. Programvara och produktions miljö för remote service F. Kort terminal / PIN Entry Device KI Övrig Pgmvara* Kassaapplikation B C D G. Kortläsare H. Skrivare F Kortterm / PED Skrivare H KortläsareG * övrig programvara får inte hantera kortinformation. 16
Vad innebär compliance programmets krav för säljföretag med POS-miljö? Kortinterface (KI) skall uppfylla Visas PABP* Efterlevnad (compliance) av PABP för kortinterfaceprogramvara ska certifieras av en QSA (Qualified Security Assessor) Kassa-applikation inklusive remote service skall uppfylla Visas PABP* Efterlevnad (compliance) av PABP för en kassa-applikation ska valideras via en självdeklaration KI och KAs efterlevnad av Visas PABP är en grundförutsättning för att kunden (säljföretaget) skall kunna bli compliant med PCI DSS! * Visa PABP krav på Payment application http://www.visaeurope.com/documents/ais/payment_applications_best_practices.pdf 17
Hanteras kortinformation i kassaleverantörens system krävs PCI-DSS compliance! Kassaleverantör Kundservice, Återförsäljare Servicepartner Remote Service Kassaleverantören skall vara PCI DSS compliant Kunden (Säljföretag) KI Övrig Pgmvara* Kassaapplikation * övrig programvara får inte hantera kortinformation. 18
Visa Payment Application Best Practice (PABP) 1. Do not retain full magnetic strip etc 2. Protect stored cardholder data 3. Provide secure password features 4. Log application activity 5. Develop secure applications 6. Protect wireless transmissions 7. Test applications to address vulnerability 8. Facilitate secure network implementation 9. Cardholder data must never be stored on a server connected to internet 10. Facilitate secure remote software updates 11. Facilitate secure remote access to application 12. Encrypt sensitive traffic over public networks 13. Encrypt all non-console administrative access 14. Maintain instructional documentation and training programs for customers, resellers and integrators 19
Samarbetsavtal
Samarbetsavtal Samarbetsavtal ska finnas mellan PSP och samarbetspartner Samarbetspartners ska bl a: Ha en ekonomisk situation och affärside som ligger i linje med dokumentet Know your customer Ha en dokumenterad och genomförd säkerhetspolicy som minst lever upp till PCI DSS Basera sin produktutveckling på PCI DSS Tillåta inspektion av programvara, hårdvara och utvecklingsmiljöer Se vidare dokument Förslag till avtalstext 21
Programmets mål och planer 22
Compliance programmets slutmål Att PCI DSS och PNC PCI PSP-programmets compliance krav uppfylls av alla aktörer på den svenska marknaden Våra gemensamma kunder (säljföretag) kräver och accepterar enbart PCI DSS compliant produkter PCI DSS är en naturlig del i alla aktörers affärsverksamhet 23
Delmål Att all lagring av kortinformation uppfyller PCI DSS Att alla icke hostade lösningar är PCI DSS validerade enligt inlösarens krav 24
Handlingsplan för att PCI säkra kortinterface (KI) som ett steg mot compliance Milstolpe 1 1/4 2008 ska alla nyanslutningar och ominstallationer av KI uppfylla PCI DSS krav på lagring av kortinformation. Lagrad spår 2 data ska vara raderat! Milstolpe 2 1/9 2008 ska alla befintliga installationer av KI uppfylla PCI DSS krav på lagring av kortinformation. Lagrad spår 2 data ska vara raderat! OBS! datumena kan ändras om Visa / Mastercard inkommer med direktiv som påverkar dem. Compliance programmets verktyg till din hjälp! 25
Handlingsplan för att PCI säkra kassa-applikation (KA) som ett steg mot compliance Milstolpe 3 1/6 2008 ska alla nyanslutningar och ominstallationer av KA uppfylla PCI DSS krav på lagring av kortinformation. Lagrad spår 2 data ska vara raderat! Milstolpe 4 31/12 2008 ska alla befintliga installationer av KA uppfylla PCI DSS krav på lagring av kortinformation. Lagrad spår 2 data ska vara raderat! OBS! datumen kan ändras om Visa / Mastercard inkommer med direktiv som påverkar dem. Compliance programmets verktyg till din hjälp! 26
Handlingsplan för att gå över till hostade lösningar för e-handeln Milstolpe 5-1/6 2008 ska alla nyanslutningar och ominstallationer vara en hostad lösning alternativt måste PCI DSS Compliance för varje icke hostad lösning valideras av kunden enligt inlösarens krav. CVC2/CVV2 ska vara raderat! Milstolpe 6-31/12 2008 ska alla befintliga "icke hostade lösningar" vara flyttade till hostade lösningar alternativt måste PCI DSS Compliance för varje icke hostad lösning vara validerade av kunden enligt inlösarens krav. CVC2/CVV2 ska vara raderat! Compliance programmets verktyg till din hjälp! 27
Vad händer vid ett intrång? 28
Både din och dina kunders affärsverksamhet kan äventyras vid intrång Din kund måste omgående införskaffa en ny PCI DSS compliant betallösning för att få fortsätta ta betalt med kort Det krävs stora resursinsatser både av dig och din kund för att kartlägga incidenten Visa / MC skickar ut certifierade inspektörer på plats Din kund riskerar att bli avstängd från att kunna ta betalt med kort Din kund måste PCI DSS certifieras av en QSA oavsett storlek VISA/MC kan efter utredning utdöma böter som kan komma att överföras till din kund Skydda ditt varumärke och din affärsverksamhet! 29
Web-hänvisningar och förkortningar 30
Var källmaterial finns publicerat Aktör / Komponent Payment Service Provider (PSP) Källmaterial PCI DSS Kortinterface (KI) Visa PABP Kassa-applikation Visa PABP OBS! Tryck på knappen endast när du är uppkopplad mot internet! 31
Förklaringar av förkortningar och ord Hostad lösning Icke hostad lösning KI PABP PCI DSS PSP Kortinformation lagras, processas eller transporteras enbart i PCI DSS certifierad miljö hos insamlare/psp. PSP startar, kontrollerar och ansvarar för kopplingen till och från kunds betaldialog. Lösningar som inte är hostade enligt ovan. Kortinformation lagras, processas eller transporteras hos säljföretaget eller av annan part. Benämns ofta API lösning. Kortinterface, programvara som tillhandahålls vid fysisk handel (POS) av respektive PSP till säljföretagen. Alternativt kan PSPn välja att drifta KI själv och tillhanda hålla det till säljföretaget som en service, dvs en hostad lösning. Payment Application Best Practice (Visas standard) http://www.visaeurope.com/documents/ais/payment_applications_best_practices.pdf Visas standard för kassa-applikationer, den bygger på PCI DSS och skall användas för att validera kassa-applikationen. Payment Card Industry Data Security Standard En säkerhetsstandard avseende hantering av kortnummer. Syftet med PCI DSS är att säkerställa att alla som lagrar, processar, transporterar eller på annat sätt hanterar kortinformation gör det på ett sådant sätt att obehöriga inte kommer åt kortinformationen. https://www.pcisecuritystandards.org/ Payment Service Provide är ett företag som hanterar kortinformation för fler än ett säljföretag. Vissa PSP-er, i den fysiska världen ofta kallad insamlare, levererar korttransaktioner till inlösaren direkt eller via Cekab. PNC PCI PSP-programmet kanaliserar kraven via alla PSPer som i sin tur för vidare kraven till deras samarbetspartners. I PCI DSS används begreppet Service Provider. Observera att en samarbetspartner klassas som en Payment Service Provider om de hanterar betaltransaktioner för mer än en butik, då likställs samarbetspartnern såsom varande PSP och ska PCI DSS certifieras av en QSA. Vid eventuella tveksamheter så kontakta VISA/Mastercard för beslut. 32
Förklaringar av förkortningar och ord QSA Remote service Samarbetspartner SAQ Qualified Security Assessors (PCI DSS) Innebär att kassa-applikation alternativt kassasystem underhålls från leverantör utanför den lokal där kassa-applikationen används Samtliga parter som PSP på något sätt samarbetar med för att tillhandahålla tjänst för kortbetalning till säljföretag eller part som levererar kortinformation som lagras, processas eller transporteras hos PSP. Self Assessment Questionnaire (PCI DSS) En självdeklaration som måste fyllas i för att validera att PCI DSS kraven uppfylls. https://www.pcisecuritystandards.org/ Självdeklaration SAQ - är den självdeklaration som används för att validera att man uppfyller PCI DSS enligt definierade instruktioner. Självdeklaration PABP - Inlösarna kräver att kassa-applikationen är validerad utifrån PABP men inte att den är certifierad av en QSA. Tillverkaren av kassaapplikationen fyller i den själv och garanterar att uppgifterna är korrekta samt att behörig firmatecknare skriver under den ifyllda PABPn. Att fylla i en självdeklaration innebär att man själv validerar compliance. De ifyllda uppgifterna i självdeklarationen certifieras inte av en QSA. Underleverantör Underleverantör åt PSP (kan även vara åt PSPs samarbetspartner), en underleverantör kan t ex vara en kassaleverantör, återförsäljare, kassatillverkare, installatör, plattformsleverantör 33