PCI DSS - Payment Card Industry - Data Security Standard

PCI DSS er en forkortelse for Payment Card Industry - Data Security Standard

Hvordan er den i sammenligning med DS484 og ISO27001?

PCI er gratis og meget kortere: 17 sider mod henholdsvis 110 og 44 sider. Der er stort overlap, og efterlevelse af ISO27001 vil være et stort skridt i retning af, også at efterleve PCI DSS. På mange områder er PCI DSS dog væsentligt mere specifik, og stiller en række klart definerede krav, hvor især ISO-familien lægger op til en mere risikobaseret sikkerhedsimplementering.

Hvem gælder den for?

Alle virksomheder, der behandler, opbevarer eller transmitterer betalingskortoplysninger skal efterleve PCI DSS. Ifølge standarden gælder det også for virksomheder, der har indgået en serviceaftale med en formidler af fx online transaktioner til betaling i en netbutik. Selv om vi ikke har nogle danske eksempler på konsekvensen af manglende PCI DSS efterlevelse, kan selskaberne bag PCI, jævnfør deres aftaler, fjerne en butiks mulighed for at modtage betaling med blandt andre VISA og Mastercard. Man kan outsource sig ud af nogle PCI DSS krav.

Hvad er Neuparts anbefaling?

For virksomheder, der ikke behandler, opbevarer eller transmitterer betalingskort-oplysninger, kan man finde inspiration til nogle konkrete sikkerhedsregler i PCI DSS. Mange af kravene vil give mening at indføre i en let ændret formulering. Men som med alle standarder, skal aktiviteterne doseres passende. Fuld efterlevelse kan være en større omgang.