Hov. Du er ikke logget ind.
DU SKAL VÆRE LOGGET IND, FOR AT INTERAGERE PÅ DENNE SIDE
Log Ind

Er der nogen der kender til PCI complience?

Side 1 ud af 1 (7 indlæg)
  • 1
Fra Middelfart
Tilmeldt 1. Dec 08
Indlæg ialt: 238
Fra  Dynamics Experts ApS Skrevet kl. 08:45
Hvor mange stjerner giver du? :

I forbindelse med at jeg har fået en opgave for en stor kunde i USA, så har jeg behov for at finde ud af noget om PCI complience. PCI (Payment Card Industry) har krævet at de fremover skal opfylde sikkerhedsreglerne som beskrevet af PCI.

I den sammenhænge betyder det at de ikke længere må gemme det kreditkort informationer i databasen (med mindre de lever op til en masse ret omfattende fysiske sikkerhedskrav også).

Istedet skal man benytte en partner der håndtere dette.

Jeg ved at man ikke må gemme kreditkort informationerne direkte i sin database, men kun en "token" der henviser til det kreditkort man har brugt sidst. Mit spørgsmål er dog nu, hvis man kun gemmer det trunkatede kreditkortnr. (dvs. forkortede nummer f.eks. xxxx xxxx xxxx 1234), samt kortnavn og udløb (da det herved er let for ens kunde at identificere om det kort man har er det rigtige når de skal bestille næste gang), opfylde man så kravet om ikke at gemme disse informationer?
Fra 9500 Hobro
Tilmeldt 29. Sep 07
Indlæg ialt: 237
Skrevet kl. 10:56
Hvor mange stjerner giver du? :

Hej Erik,

 

Jeg har været igennem et audit fra ForteConsult, som "håndhæver" PCI kravene i danmark, på en løsning jeg var med til at udvikle for nogle år siden.

Du kan finde mere info (spec osv.) HER

 

Mvh / Lars Borup Jensen

it-arbejde.dk - specialister i middleware og server-side softwareudvikling, J2EE konsulent og Django.

 

Fra Middelfart
Tilmeldt 1. Dec 08
Indlæg ialt: 238
Fra  Dynamics Experts ApS Skrevet kl. 11:15
Hvor mange stjerner giver du? :

Hej Lars

Tak for dit svar.

Jeg havde allerede været igennem det website og downloadet og læst et ton af PDF filer herfra.
Men jeg har ikke kunne finde et dokument der besvarer mit spørgsmål.

Firmaet jeg arbejder for håber at kunne "nøjes" med PCI's self assessment questionnaires, så vi slipper for det omfattende audit.
Fra 9500 Hobro
Tilmeldt 29. Sep 07
Indlæg ialt: 237
Skrevet kl. 11:28
Hvor mange stjerner giver du? :

Hej Erik,

Jeg er ikke super skarp på dette mere, men jeg vil mene at det ikke er nok for hvis din kunde på den ene eller den anden måde kommer i "berøring" med kort-oplysningerne (kort-nummer, navn og cvc) så vil jeg tror at der skal mere omfattende audit til, da I jo så netop har muligheden for, måske utilsigtet, at gemme følsomme kortoplysninger enten i en database eller en log fil på en server. Hvis man bruger tredje-part udbyder, er det denne part, der modtager kortoplysningerne evt. fra nettet og I får bare en token (eller reference) til en betalingstransaktion hos dem, som sikkerhed for at betalinger er gennemført. Det er  meget lig den måde 3D secure betalinger virker, hvor en webshop, sender brugeren videre til en betalingudbyders "betalingsvindue", med information om ordre-nr, og total beløb, og så er det udbyderen, der modtager kortoplysninger, gennemfører betaling, og til sidst bliver brugeren sendt tilbage til webshoppens "ordrebekræftigelsesvindue". På den måde kommer webshoppen aldrig i berøring med info og de må kunne nøjes med self assesment.

Håber det giver mening.

 

Lars Borup Jensen

 

it-arbejde.dk - specialister i middleware og server-side softwareudvikling, J2EE konsulent og Django.

 

Fra 9500 Hobro
Tilmeldt 29. Sep 07
Indlæg ialt: 237
Skrevet kl. 11:36
Hvor mange stjerner giver du? :

Hej igen,

Faldt lige over dette:

NonApplicable:

PCI DSS transaction levels for merchants are used to identify what “Level” an organization would fall into for PCI DSS compliance.

Level 1: Any merchant-regardless of acceptance channel-processing over 6,000,000 Visa transactions per year OR Any merchant that Visa, at its sole discretion, determines should meet the Level 1 merchant requirements to minimize risk to the Visa system.

Level 2: Any merchant-regardless of acceptance channel-processing 1,000,000 to 6,000,000 Visa transactions per year.

Level 3: Any merchant processing 20,000 to 1,000,000 Visa e-commerce transactions per year.

Level 4: Any merchant processing fewer than 20,000 Visa e-commerce transactions per year, and all other merchants-regardless of acceptance channel-processing up to 1,000,000 Visa transactions per year.

Regarding PCI DSS compliance for VISA, most merchants will fall into Levels 2, 3, and 4, which allows a merchant to conduct a payment card industry Data Security Standards (PCI DSS) self assessment. However, a self-assessment is easier said than done, as it is best to still utilize a Qualified Security Assessor (PCI QSA) to assist in self-assessment matters.

Level 1 compliance for merchants requires an actual on-site PCI DSS assessment by a PCI-QSA.

 

 

it-arbejde.dk - specialister i middleware og server-side softwareudvikling, J2EE konsulent og Django.

 

Fra Værløse
Tilmeldt 5. Nov 07
Indlæg ialt: 686
Fra  Kammalou.com Skrevet kl. 11:43
Hvor mange stjerner giver du? :

Erik P. Ernst:
Istedet skal man benytte en partner der håndtere dette.

Hvad holder jer fra denne løsning ?

 

SAFe SPC, Magento Expert, Jira Guru, Kammalou.com

Fra Middelfart
Tilmeldt 1. Dec 08
Indlæg ialt: 238
Fra  Dynamics Experts ApS Skrevet kl. 11:51
Hvor mange stjerner giver du? :

Hej Lars,

Ja kender godt disse levels. Desværre er disse levels fra PCI DSS version 1.1 og er ikke gældende længere. Nu gælder PCI DSS version 1.20, og disse arbejder med lidt andre levels, der ikke specificere antalet af transaktioner pr. år - men måden hvorpå du opbevarer kreditkortdata og hvordan dine programmer og devices er forbundet.

Men ellers er det klart http://www.pciassessment.org/ (der er organisationen for PCI auditors) vil anbefale at man bruger dem. På samme måde som foreningen af revisorer anbefaler at man bruger en revisor i Danmark! Smile

 
Side 1 ud af 1 (7 indlæg)
Bliv gratis medlem pa Amino