Internet/E-business hjælp div.

Svar: Er der nogen der kender til PCI complience?

Erik P. Ernst — Sat, 01 Aug 2009 09:51:59 GMT

Hej Lars,

Ja kender godt disse levels. Desværre er disse levels fra PCI DSS version 1.1 og er ikke gældende længere. Nu gælder PCI DSS version 1.20, og disse arbejder med lidt andre levels, der ikke specificere antalet af transaktioner pr. år - men måden hvorpå du opbevarer kreditkortdata og hvordan dine programmer og devices er forbundet.

Men ellers er det klart http://www.pciassessment.org/ (der er organisationen for PCI auditors) vil anbefale at man bruger dem. På samme måde som foreningen af revisorer anbefaler at man bruger en revisor i Danmark!

Svar: Er der nogen der kender til PCI complience?

Nils — Sat, 01 Aug 2009 09:43:01 GMT

Erik P. Ernst:
Istedet skal man benytte en partner der håndtere dette.

Hvad holder jer fra denne løsning ?

Svar: Er der nogen der kender til PCI complience?

Lars Borup Jensen — Sat, 01 Aug 2009 09:36:47 GMT

Hej igen,

Faldt lige over dette:

NonApplicable:

PCI DSS transaction levels for merchants are used to identify what “Level” an organization would fall into for PCI DSS compliance.

Level 1: Any merchant-regardless of acceptance channel-processing over 6,000,000 Visa transactions per year OR Any merchant that Visa, at its sole discretion, determines should meet the Level 1 merchant requirements to minimize risk to the Visa system.

Level 2: Any merchant-regardless of acceptance channel-processing 1,000,000 to 6,000,000 Visa transactions per year.

Level 3: Any merchant processing 20,000 to 1,000,000 Visa e-commerce transactions per year.

Level 4: Any merchant processing fewer than 20,000 Visa e-commerce transactions per year, and all other merchants-regardless of acceptance channel-processing up to 1,000,000 Visa transactions per year.

Regarding PCI DSS compliance for VISA, most merchants will fall into Levels 2, 3, and 4, which allows a merchant to conduct a payment card industry Data Security Standards (PCI DSS) self assessment. However, a self-assessment is easier said than done, as it is best to still utilize a Qualified Security Assessor (PCI QSA) to assist in self-assessment matters.

Level 1 compliance for merchants requires an actual on-site PCI DSS assessment by a PCI-QSA.

Svar: Er der nogen der kender til PCI complience?

Lars Borup Jensen — Sat, 01 Aug 2009 09:28:40 GMT

Hej Erik,

Jeg er ikke super skarp på dette mere, men jeg vil mene at det ikke er nok for hvis din kunde på den ene eller den anden måde kommer i "berøring" med kort-oplysningerne (kort-nummer, navn og cvc) så vil jeg tror at der skal mere omfattende audit til, da I jo så netop har muligheden for, måske utilsigtet, at gemme følsomme kortoplysninger enten i en database eller en log fil på en server. Hvis man bruger tredje-part udbyder, er det denne part, der modtager kortoplysningerne evt. fra nettet og I får bare en token (eller reference) til en betalingstransaktion hos dem, som sikkerhed for at betalinger er gennemført. Det er meget lig den måde 3D secure betalinger virker, hvor en webshop, sender brugeren videre til en betalingudbyders "betalingsvindue", med information om ordre-nr, og total beløb, og så er det udbyderen, der modtager kortoplysninger, gennemfører betaling, og til sidst bliver brugeren sendt tilbage til webshoppens "ordrebekræftigelsesvindue". På den måde kommer webshoppen aldrig i berøring med info og de må kunne nøjes med self assesment.

Håber det giver mening.

Lars Borup Jensen

Svar: Er der nogen der kender til PCI complience?

Erik P. Ernst — Sat, 01 Aug 2009 09:15:17 GMT

Hej Lars

Tak for dit svar.

Jeg havde allerede været igennem det website og downloadet og læst et ton af PDF filer herfra.
Men jeg har ikke kunne finde et dokument der besvarer mit spørgsmål.

Firmaet jeg arbejder for håber at kunne "nøjes" med PCI's self assessment questionnaires, så vi slipper for det omfattende audit.

Svar: Er der nogen der kender til PCI complience?

Lars Borup Jensen — Sat, 01 Aug 2009 08:56:50 GMT

Hej Erik,

Jeg har været igennem et audit fra ForteConsult, som "håndhæver" PCI kravene i danmark, på en løsning jeg var med til at udvikle for nogle år siden.

Du kan finde mere info (spec osv.) HER

Mvh / Lars Borup Jensen

Er der nogen der kender til PCI complience?

Erik P. Ernst — Fri, 31 Jul 2009 06:45:13 GMT

I forbindelse med at jeg har fået en opgave for en stor kunde i USA, så har jeg behov for at finde ud af noget om PCI complience. PCI (Payment Card Industry) har krævet at de fremover skal opfylde sikkerhedsreglerne som beskrevet af PCI.

I den sammenhænge betyder det at de ikke længere må gemme det kreditkort informationer i databasen (med mindre de lever op til en masse ret omfattende fysiske sikkerhedskrav også).

Istedet skal man benytte en partner der håndtere dette.

Jeg ved at man ikke må gemme kreditkort informationerne direkte i sin database, men kun en "token" der henviser til det kreditkort man har brugt sidst. Mit spørgsmål er dog nu, hvis man kun gemmer det trunkatede kreditkortnr. (dvs. forkortede nummer f.eks. xxxx xxxx xxxx 1234), samt kortnavn og udløb (da det herved er let for ens kunde at identificere om det kort man har er det rigtige når de skal bestille næste gang), opfylde man så kravet om ikke at gemme disse informationer?