Så bidrar riddare till säkrare molntjänster

Att bli hackad och exponera känslig data är många organisationers värsta mardröm. Samtidigt krävs ständig datatillgång. Lösningen heter säkra molntjänster. Men vad är det för skillnad på säker och säker? Vi har tittat närmare på marknadens säkraste säkerhetsstandard – och på riddarna som är satta att skydda den.

Betalkortsindustrin har idag världens tuffaste standard för datasäkerhet. Den heter PCI DSS (Payment Card Industry Data Security Standard) och är normerande långt utanför betalkortsvärlden. Standarden är till för att skydda kortföretagens kunder mot hackers och andra obehöriga så att de inte kan stjäla värdefull kortdata som dessa verksamheter ofta lagrar. Denna säkerhetsstandard blir allt viktigare då samhällen blir mer digitaliserade, och konsumenter i allt större utsträckning överger kontantbetalningar för kortbetalningar.

PCI DSS täcker in allt från hur en butiksinnehavare ska verifiera identiteten på en person som kommer för att byta betalterminal i kassan, vilken kryptering som ska användas för kortdata, till vad företag som hanterar kortdata måste kräva av sina datacenter.

PCI DSS-standarden har 12 kravsom i sin tur är uppdelade i över 250 kontroller. De kravkriterier som måste uppnås sätts utifrån transaktionsvolymer och affärsområde dvs. en e-handel med tusentals dagliga transaktioner har högre krav än specialisten som säljer en produkt i månaden.

PCI DSS 12 krav

 1. Säkra installation och upprätthållande av en brandvägg som skyddar kortdata
 2. Använd inte standardinställningar för lösenord till system
 3. Skydda kortdata
 4. Kryptera kortdata som skickas över öppna offentliga nätverk
 5. Använd anti-virus och uppdatera regelbundet
 6. Utveckla och upprätthåll säkra system och applikationer
 7. Upprätthåll en säkerhetspolicy
 8. Begränsa åtkomst till kortdata i förhållande till verksamhetens behov
 9. Unikt ID för alla användare med systemtillgång
 10. Implementera en restriktiv hållning för fysisk tillgång till kortdata
 11. Övervaka all tillgång till nätverk och kortdata
 12. Genomföra regelbundna tester av säkerhetssystem och procedurer

Att klara en PCI DSS-certifiering ställer höga krav på kunskap inom datasäkerhet och innebär ofta en stor utmaning för de företag som försöker klara av det på egen hand. Det kan därför vara fördelaktigt att köpa IT-drift i en redan PCI DSS-certifierad infrastruktur. Inte minst då många företag inte klarar en certifiering utan extern hjälp.

När man klarat certifieringen blir det viktigt för företag att säkerställa att de fortsätter att uppfylla PCI DSS kraven. För att kunna behålla sin status efter en certifiering förbinder sig därför företaget att årligen låta organisationen granskas av en så kallad Qualified Security Assessor, QSA. En QSA är något av en kortvärldens riddare, vars uppdrag är att skydda alla de som använder betalkort mot bedragare. Dessa väktare, specialutbildade datasäkerhetsexperter, certifieras av PCI SSC (PCI Security Standards Council).

En QSAgör är att validera efterlevnad av regelverk hos företag, och jobbar under valideringsprocessen med en så kallad Report on Compliance (RoC) som bekräftar att man följer reglerna för PCI DSS. En RoC är vid leverans flera hundra sidor lång med kommentarer för varje kontroll under varje krav.

Det första och enligt vissa det viktigaste momentet är att definiera vad som är ’in scope’, dvs. omfattningen av revisionen. Det är kortdata som berörs, och det gäller att isolera det i segmenterade nätverk. När man har omfattningen klar börjar utsedd QSA med en gapanalys.

En PCI DSS-gapanalys är en utvärdering av kundens nuvarande läge i relation till säkerhetsstandarder och man identifierar vilka förändringar och/eller åtgärder som krävs för att kunna uppfylla PCI DSS-certifiering. Därefter måste företaget i fråga åtgärda det som identifierats innan man kan börja med en penetrationstest. Under en pentest testas servrar och externa tjänster för att identifiera sårbarheter och säkerhetsluckor från ett infrastrukturperspektiv. Ett sätt att beskriva en penetrationstest är som en realistisk cyberattack i syfte att fastställa eventuella säkerhetshål och brister i system. När pentesten är avklarad är det dags att fixa sårbarheter innan en slutlig validering görs och en utsedd QSA levererar RoC.

Kontakta

Vill du veta mer om Complior och våra lösningar?