Säkerhet i kortbetalningar med hjälp av PCI

Relevanta dokument
PCI DSS 3.0! PCI Vad? För vem? Hur uppnå? Om man inte efterlever?!!! Mathias Elväng, QSA! David Borin, QSA!!

RFC - Manuell inknappning av icke varumärkesflaggat kortdata via kassan.

Så här betalar du med kort

Kom igång med Windows Phone

Skydda ditt varumärke och din affärsverksamhet!

Integration av betalningslösningar i Travelize

Vad händer med dina kortuppgifter?

1 Avtalets omfattning

Spectracard web report. Spectracard Web Report

Ibruktagning av auktorisering som sekundär huvudanvändare

Användarmanual WestInt 8006

Version 1.6 Utfärdare Anton Lundin

FÖRESKRIFTER FÖR FÖRSÄLJNING MOT BETALNING MED KONTOKORT DISTANSHANDEL (Card Not Present) (Juli 2010)

Manual för laddning av gästkort för Semcon och externa gäster

EBITS Energibranschens IT-säkerhetsforum

Instruktioner för inloggning med e-tjänstekort till 3C/Comporto samt installation av kortläsare till e- tjänstekort

Integritetspolicy och samtycke

BDS-underhåll. Användarens instruktion. Endast för kommunens interna användning

Innehållsförteckning. Logga in med etjänstekort i Infektionsregistret 3. Installation av kortläsare till e-tjänstekort 3

Beskrivning om hur du ansöker om godkännande av spridningsutrustning för växtskyddsmedel

Hur vi behandlar dina personuppgifter

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

WESTINT BETALTERMINAL SNABBSTART

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Installation och konfiguration. Registreringsterminal RT-9100

Bedrägerier på nätet hur undviker du att bli blåst? Anne-Marie Eklund Löwinder Säkerhetschef,.SE E-post:

Vägledning för säkrare hantering av mobila enheter

1 Risk- och sårbarhetsanalys

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

tclogin.com Service Desk Tillgång till TeleComputing TCAnyWare

VOURITY PERSONUPPGIFTSPOLICY

Spectracard Web Report

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

Handbok för kortbetalningar med Babs Paylink/Point

VILKA PERSONUPPGIFTER BEHANDLAR VI OCH HUR ANVÄNDER VI DEM?

Tjänstebeskrivning Extern Åtkomst COSMIC LINK. Version 1.0

Manual Mapaz MZ - provtagare

SGF Golfsystem. Sverigeresan Bo Bengtsson

Lathund för Enköpings Tennisklubbs bokningssystem

Användarinställningar på laget.se

ANVÄNDARMANUAL applikation CBRNE

Säkra trådlösa nät - praktiska råd och erfarenheter

SEKRETESSPOLICY SEKTION 1 - VAD GÖR VI MED DIN INFORMATION?

Har du några frågor om denna tjänst? Kontakta oss på alternativt på

MinTid användardokumentation

PROGES PLUS THERMOSCAN RF. Instruktionsmanual V

Försöksnomineringssystem 2013

SW3674. Snabbguide. Eee PC 900 Serierna 15G06Q0136D0

Lösenordsregelverk för Karolinska Institutet

Spire SPm20 Användarmanual

Vägledning för smarta telefoner, surfplattor och andra mobila enheter

Djurgården Hockeys integritetspolicy

INSTALLATIONSANVISNING FÖR. Yomani Beloppskopplad

PATENTBESVÄRSRÄTTENS DOM

Användarhandbok. Trio Visit Web. Trio Enterprise 4.1

Konsekvensutredning avseende föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter

Revisionsrapport Granskning av intrångsskydd Sandvikens kommun Niklas Ljung Mattias Gröndahl

Installation av e-post i Mac Mail 10.3 (2017) För kunder hos Argonova Systems med maildrift hos GleSYS

Regler. Regler för uppstart av konton på sociala medier, bloggar och liknande

DIBS Manager. En introduktion till ditt administrationsverktyg på Internet

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Sjunet standardregelverk för informationssäkerhet

KASSAKOPPLADE ARBETSPLATSER

Handbok för medborgare i Dexter Barnomsorg

INSTALLATIONSANVISNING FÖR. Yomani fristående

Integritetspolicy. Du är alltid välkommen att kontakta oss om du har frågor eller synpunkter.

SURFTOWNS SÄKERHETSMILJÖ. Databehandlingsavtal - Bilaga 1

Dessa villkor ("Avtalsvillkoren") gäller för köp hos Lunds universitet, Media-Tryck.

Säkerhet och Tillit i en identitetsfederation

Personuppgiftspolicy beebyte AB

Rutinbeskrivning. Utsökning av funktion System: Primula Web Delsystem: Funktion Version nr: 0.1

RSC+ app for ios. AMAX panel 2100 AMAX panel 3000 AMAX panel 3000 BE AMAX panel Bruksanvisning

Handbok för Google Cloud Print

Detta dokument innehåller instruktioner för hur du ska ställa in din ipad (ios 11) för olika ändamål

Manual för laddning av gästkort i företag xxxxxxxx

2. Kravspecifikation. Förfrågningsunderlag. Upphandlande organisation Krav på hårdvaran Lennart Halvarsson Dnr

Användarhandledning. edwise Administrera ansökningar om vårdnadshavarkonton

Manual för Medborgarkonto. För dig som har barn i Malmö stads gymnasieskola

Översikt över ResMed webshop

Handledning Tidsvar Android Applikation Version 1.1. Kom igång. 1.1 Nedladdning av applikationen från Android Market/Google Play

Modul 3 Föreläsningsinnehåll

Välkommen till CWT Profilverktyg & CWT Reseportal

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

BRUKSANVISNING TILL FINLANDS BANKS RAPPORTERINGSTJÄNST

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Åtkomst till Landstingets nät via Internet

Du kan läsa mer om de nya funktionerna under Versionsdokument i Hjälpcentret.

Dispos - AD Online - Genline - Svar

Guide till Webbshop Luleå Lokaltrafik

ENGCOM CONFERENCE CALL - Guide till webbverktyget för obegränsade konferenser -

NEA Nätverket för elektroniska affärer

Direktkoppling till Girolink Internet. Filöverföring av betalningar och betalningsinformation via Girolink Internet. Version 1.0

Timanställd OF

FÖRESKRIFTER FÖR FÖRSÄLJNING MOT BETALNING MED KONTOKORT OBEMANNAD TERMINAL (Mars 2013)

Å tgä rdsfö rsläg. Angrepp via tjänsteleverantörer. Sammanfattning. Innehåll

teknisk manual Direktbetalning handelsbanken.se/e-handel

Steg-för-steg vägledning. Hur du använder din etwinning-plats

Guide Länstrafiken Västerbotten Webshop Innehåll

Transkript:

Säkerhet i kortbetalningar med hjälp av PCI Mårten Frosth, CISSP, QSA marten@europoint.se 070-5221838

Kortdata är ett hett byte Ett stulet kortnummer kan inbringa mellan 10 och 50 dollar.

Aktuellt inom PCI PCI DSS 3.0 PCI DSS 3.0 Gäller från Gäller 2014-01-01 från 2014-01-01 (tvingande från 2015) PCI PA-DSS 3.0 Gäller PCI från P2PE 2014-01-01 1.2 (tvingande från 2015) Första godkända tjänsten oktober 2013 Första godkända tjänsten oktober 2013 PCI PTS 4.0 Juni 2013 Juni 2013 PCI PA-DSS 3.0 PCI P2PE 1.2 PCI PTS 4.0

Vad är PCI DSS? För vem gäller PCI DSS? PCI DSS 3.0 PCI PA-DSS 3.0 PCI P2PE 1.2 Första godkända tjänsten oktober 2013 PCI PTS 4.0 Juni 2013 6 grupper med 12 översiktliga krav. Cirka 400 specifika krav.

Vad är PA-DSS? PCI PA-DSS är krav på applikationer. PCI DSS 3.0 PCI PA-DSS 3.0 PCI P2PE 1.2 Första godkända tjänsten Lagring oktober 2013 PCI PTS 4.0 Hantering Juni 2013 Säker utveckling 14 områden med krav. Hundratals specifika krav.

Vad är P2PE? Punkt till punkt-kryptering. PCI DSS 3.0 Hårdvara PCI PA-DSS 3.0 Applikation Kryptering PCI P2PE 1.2 Dekryptering Första godkända tjänsten Nyckelhantering oktober 2013 (Nätverkssegmentering) PCI PTS 4.0 Juni 2013 Alla godkända tjänster finns listade hos PCI.

Relationen mellan PCI DSS, PA-DSS och P2PE. En PCI DSS-validering skall alltid utföras. PCI DSS 3.0 PCI PA-DSS 3.0 PCI P2PE 1.2 Första godkända tjänsten oktober 2013 PCI PTS 4.0 Juni 2013 Både PA-DSS och P2PE kan hjälpa till att reducera omfattningen för en PCI DSSvalidering.

Nyheter i PCI PA-DSS 3.0 Produktändring inom ramen för ett godkännande. PCI DSS 3.0 PCI PA-DSS 3.0 Kräver versionsmetodik. PCI P2PE 1.2 Första godkända tjänsten oktober 2013 PCI PTS 4.0 Juni 2013 Formalisering av krav. Förtydliganden. Cirka 10 nya samt 30 förändrade krav.

Nya SAQ SAQ A-EP PCI DSS 3.0 E-handelsföretag PCI PA-DSS 3.0 Outsourcad betallösning Ej lagra PCI P2PE kortdata 1.2 Första godkända tjänsten oktober 2013 Handlare PCI PTS (card 4.0 present & card not Juni present) 2013 SAQ B-IP PTS-godkänd terminal Ej lagra kortdata

Nyheter i PCI DSS 3.0 Cirka 15 nya och 70 förändrade krav. PCI DSS 3.0 PCI PA-DSS 3.0 PCI P2PE 1.2 Första godkända tjänsten oktober 2013 PCI PTS 4.0 Juni 2013 Navigating PCI DSS -> Guidance. Omfattande förtydliganden. Förbättrad vägledning.

PCI DSS 3.0 Standard

PCI DSS 3.0 ROC

PCI DSS 3.0 Nytt krav 2.4 Upprätta och underhålla en lista över sytemkomponenter i omfattningen för PCI DSS.

PCI DSS 3.0 Nytt krav 5.1.2 samt förändrat krav 5.3 Periodvis utvärdering av system som normalt sett inte drabbas av skadlig kod för att identifiera förändringar i hotbilden. Tillse att anti-virusprogram inte kan stängas av eller ändras av användare.

PCI DSS 3.0 Nytt krav 8.5.1 Servicegivare med fjärråtkomst till sina kunders miljöer skall använda unika användarnamn och lösenord för varje kund. Detta är en rekommendation fram till 30:e juni 2015 då det blir ett krav.

PCI DSS 3.0 Nya krav 9.9.x Skydda enheter som interagerar med ett kreditkort från manipulation eller utbyte. Detta är en rekommendation fram till 30:e juni 2015 då det blir ett krav.

PCI DSS 3.0 Utökade krav 10.2.5 samt 10.2.6 Krav på loggning av skapandet av nya konton samt upphöjning av rättigheter. För administrativa konton ska alla förändringar loggas. Utökade krav på loggningstjänsten för att inkludera paus eller avstängning.

PCI DSS 3.0 Förändrat krav 12.2 Genomför en riskanalys minst årligen och vid större förändringar.

PCI DSS 3.0 Nytt krav 12.8.5 Upprätta och underhålla en lista med servicegivare och vilka krav i PCI DSS som de hanterar.

PCI DSS 3.0 Nytt krav 12.9 Servicegivare skall skriftligen bekräfta att de ansvarar för säkerheten av kortdata som de innehar eller på annat sätt lagrar, behandlar eller sänder på uppdrag av kunden eller på annat sätt kan påverka säkerheten av. Detta är en rekommendation fram till 30:e juni 2015 då det blir ett krav

Scoping i PCI DSS 3.0 Web redirection servers. PCI DSS 3.0 PCI PA-DSS 3.0 PCI P2PE 1.2 Första godkända tjänsten oktober 2013 PCI PTS 4.0 Juni 2013

Hur efterlever man PCI? 1. Följ alla kraven i PCI DSS Köp godkända produkter PCI PA-DSS 2. Undvik att hantera kortdata Köp godkända tjänster PCI P2PE Eller produkter PNC E2EE PNC UPT

Frågor? Mårten Frosth marten@europoint.se 070-522 18 38

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss