Ny sikkerhedsstandard for betalingskort

Payment Card Industry Security Standards Council (PCIC) udgav i november måned version 3.0 af standarden for datasikkerhed for betalingskort og standarden for datasikkerhed for betalingsinstrumenter - kendt som PCI-standarden.

PCIC er et åbent, globalt forum med ansvar for udvikling, varetagelse, uddannelse af samt oplysning om sikkerhedsstandarderne. PCIC blev grundlagt i 2006 af de fem betalingstjeneste­mastodonter American Express, Discover Financial Services, JCB, MasterCard Worldwide og Visa International. Udover de fem grundlæggere består PCIC af en lang række aktører på markedet for betalingstjenester, blandt andet banker, finansieringsinstitutter, virksomheder og interesseorganisationer.

PCIC udgav i november version 3.0 af standarden for datasikkerhed for betalingskort (PCI DSS), der gælder for alle der opbevarer, behandler eller videregiver data om betalingskortet. Betalingskortdata omfatter blandt andet kortnummer, kortholders navn og sikkerhedskoder.

Standarden for datasikkerhed for betalingsinstrumenter (PA-DSS) er målrettet erhvervsdrivende, der udvikler, integrerer og administrerer betalingsinstrumenter, og som opbevarer, behandler og videregiver data om betalingskortet i forbindelse med godkendelse og gennemførelse af betalinger. Undtaget fra PA-DSS er dog betalingsinstrumenter, der alene er udviklet og anvendt til intern brug hos en erhvervsdrivende eller organisation.

PCIC's standarder revideres og udgives i en ny version hvert tredje år, og de seneste versioner 3.0 træder i kraft 1. januar 2014. For at give erhvervsdrivende og organisationer mulighed for at implementere de nye standarder, er der en relativt lang transitionsfase, hvilket betyder, at standarderne version 2.0 først sættes ud af kraft 31. december 2014. Version 3.0 har en endnu længere integrationsfase, og vil alene blive anset for "best practice" indtil midten af 2015.

PCIC har som målsætning at hjælpe erhvervsdrivende og organisationer med at implementere værktøjer til at varetage betalingssikkerheden i alle dele af deres forretning. Standarderne version 3.0 har derfor et øget fokus på "best practice", forbedret træning og krav til uddannelse samt indført en vis fleksibilitet i forhold til opfyldelse af visse regler.

Nogle af de nye krav i PCI DSS version 3.0 er:

  • Minimumskrav til kompleksitet af pinkode
  • Krav til tjenesteydere med fjernadgang til kundedatabaser om at anvende unikke identifikationsmekanismer til at genkende hver kunde
  • Kontrol af personales fysiske adgang til områder med følsomme oplysninger
  • Krav om, at en dataansvarlig og en databehandler skriftligt aftaler, hvilke ansvarsområder de hver især har ansvar for. Dette punkt er en slags udvidelse af persondatalovens krav til indgåelse af en databehandleraftale.

På trods af, at der er en lang transitionsperiode for version 3.0, bør erhvervsdrivende og organisationer allerede nu starte forberedelserne med implementering af de nye standarder.

Læs mere om PCI DSS og PA-DSS her.