För några år sedan inledde stora kortföretag som Visa, Mastercard och Amex ett samarbete kring säkerhetsstandarder som en reaktion på ett flertal allvarliga dataintrång där stora mängder kreditkortsinformation stals. Standarden kallas Payment Card Industry Data Security Standard, pci dss, som nu vid årsskiftet ska uppgraderas till version 3.
Här ställs det krav på att penetrationstester ska genomföras varje år där man även kan jämföra med tidigare tester samt kunna göra jämförelser mellan olika system samt leverantörer i olika länder.
Enligt PCI Security Standards Council ska den nya versionen ställa högre krav på hur både betalningsflöden och lösenord hanteras samt förstärka det grundläggande säkerhetstänkande hos programutvecklare.
Flera analytiker som granskat den nya standarden är dock skeptiska till de strängare kraven och anser att det kan ställa till mycket onödigt merarbete. Bland dessa märks Rich Mogull, tidigare analytiker på Gartner men nu verksam på säkerhetsföretaget Securosis. På sin blogg skriver han att många mindre företag kommer att behöva genomgå omfattande penetrationstester innan de kan bli godkända.
På den svenska marknaden hör Sentor till de få aktörer som är certifierade av Payment Card Industry. Företagets expert David Borin anser att det främst är de större aktörerna som påverkas av de skärpta kraven.
– Hos mindre företag innebär den nya versionen en marginell skillnad medan det kan bli en hel del merarbete för de större företagen. Det beror mycket på vilka delar av deras it-miljö som omfattas, säger David Borin.
Han säger att PCI DSS berör alla företag som använder kort och kortdata i sina betalprocesser men att kraven på rapportering beror på hur många korttransaktioner företaget har.
– Endast företag med väldigt många transaktioner behöver en godkänd granskare och där utgör den nya versionen bara en del av deras kontinuerliga arbete inom PCI DSS, säger David Borin.
Bland de företag som David Borin gjort uppdrag för nämns Axstores och Mekonomen där han genomfört förstudier inför pci dss-granskning.
Han betonar att PCI DSS kan ses som ett test på säkerhetsläget och ett påtvingat regelverk som kan få avgörande betydelse för den fortsatta verksamheten.
– För många är det den enda externa, konkreta kravbilden för it och informationssäkerhet och utan en godkänd pci-miljö så blir konsekvensen till slut att företaget fråntas möjlighet att hantera betalkort i sina affärsprocessen. Det är ett väldigt vasst svärd att svinga.
Allt sedan pci dss infördes 2006 har det riktats kritik mot att standarden enbart är till för att skydda kortföretagen.
– Den nya versionen gör ingen skillnad i det avseendet. Missnöjet i branschen är nog varken större eller mindre än tidigare, anser David Borin.
Visa, Mastercard, Amex, JCB och Discover ligger bakom Payment Card Industry Data Security Standard, pci dss, som omfattar alla företag som tar emot kortbetalningar eller hanterar program, lagrar eller skickar kortdata.
Därtill finns Payment Application Data Security Standard, pa dss, för företag som utvecklar betalningslösningar.
Båda dessa standarder kommer i version 3.0 som presenteras av PCI Security Standards Council 7 november och ska träda i kraft 1 januari 2014.
Den nya standarden ställer krav på att penetrationstestning genomförs minst årligen och vid större förändringar. Här skrävs även verifikation på att nätverketslagret ingår i penetrationstestet.
