Den nye version af PCI-standarden er på trapperne og forventes at være klar i slutningen af 2008.
PCI-standarden er den it-sikkerhedskontrakt, som virksomheder, der håndterer kreditkortdata, forpligter sig til at overholde, hvis de vil samarbejde med verdens største kreditkortselskaber som Visa og Mastercard.
PCI står for Payment Card Industry.
Det præcise indhold af den reviderede sikkerhedsstandard er endnu ukendt.
Men en dansk sikkerhedsekspert håber på i hvert fald én væsentlig ændring: PCI-konsortiet skal droppe det urealistiske krav om, at banker ikke må gemme ukrypterede kreditkortdata på deres mainframes.
”Vi håber, at de vil opgive det, og vi har protesteret kraftigt imod det. Mange af bankerne herhjemme kører mainframe i deres backend-systemerne, og man krypterer ikke bare sådan lige en mainframe. Det er ikke realistisk. Hvis man kan komme i nærheden af mainframen i en bank, er man i øvrigt så langt inde, at det er helt andre sikkerproblemer man har,” siger Ulf Munkedahl, sikkerhedsekspert og direktør i FortConsult.
Problemet ikke løst
Heller ikke han kender indholdet af den opdaterede PCI-standard, men han forventer, at Visa, Mastercard og de andre kreditkortselskaber vil stramme grebet yderligere om serviceproviderne, der håndterer kortdata for deres kunder.
”Der er stadig seks tilfælde om ugen af forskellige former for brud for kortsikkerheden i Europa. Med PCI har man fået dæmmet op for det værste, men problemet er ikke løst,” siger Ulf Munkedahl.
I Danmark hedder en af de førende serviceprovidere DIBS, Dansk Internet Betalings System.
Herfra udtrykker vicedirektør Jesper Lohmann tilfredshed med PCI-standarden, der har været gældende siden 2005.
”PCI har professionaliseret branchen. Den har øget troværdighed og trygheden ved, at det er professionelle selskaber, der håndterer betalingerne,” siger han.
Han understreger, at der også er hårdt arbejde forbundet med at leve op til PCI-kravene, når man skal ændre procedurer er og investere i mandskab og ny teknologi.
”PCI stiller krav til sikker datakommunikation, men også til de fysiske adgangskrav til servere og driftsmiljøer, og sikring mod hackerangreb. Kravene strækker sig helt til udviklingsmiljøerne, som skal være separeret fra driften,” fortæller han.
PCI-fælden klapper
Før 2005 havde Visa og Mastercard egne sikkerhedsregler.
Selskaberne enedes om at danne et konsortium, der udstikker fælles sikkerhedskrav, som alle virksomheder – uanset branche og størrelse – i en eller anden udstrækning skal efterleve, når de behandler kreditkortoplysninger.
”PCI-standarden gælder for alle, der opbevarer, transporterer eller behandler kreditkortoplysninger. Kan man som virksomhed sige ja til en af de tre, så klapper PCI-fælden,” siger Lars Neupart, sikkerhedsekspert og stifter af virksomheden Neupart.
Den rammer til gengæld ikke alle virksomheder lige hårdt.
Slip for nogle af kravene
Nogle af PCI-kravene giver ikke mening for den lille virksomhed, der tvinges ud i store investeringer i sikkerhed.
”Er man en lille virksomhed, skal man tænke smart, og indrette sig sådan, at man ikke behandler, opbevarer eller transporterer kreditkortdata. Så kan man nemlig nøjes med den lille sikkerhedsselvangivelse,” siger Lars Neupart.
Sikkerhedsselvangivelsen er en formular, som PCI-konsortiet sender ud til virksomheder, der arbejder med betaling.
Den indeholder fire sikkerhedsniveauer, og det er typisk omfanget af betalingstransaktioner, der afgør, hvilket sikkerhedsniveau, virksomheden skal leve op til.
”Måske kan man indrette sig sådan, at PCI-kravene ikke gælder i hele virksomheden, men kun for enkelte dele af forretningen, og på den måde slippe for skulle leve op til nogle af kravene,” siger Lars Neupart.
Helt afhængig af tillid
Virksomheden erklærer på tro og love, at den har sikret sig efter standarden.
PCI er ikke lovgivning, men er en kontraktlig forpligtelse, som alle virksomheder, der befinder sig et eller andet sted i kreditkortkæden, påtager sig
”Gør man ikke de ting, man siger, man gør sikkerhedsmæssigt, og PCI opdager, at der ikke er styr på tingene, er det kontraktbrud,” siger Lars Neupart.
Konsekvensen for ikke at overholde reglerne er forskellige, alt efter hvilken kontrakt virksomheden har med PCI.
”Det er værst, hvis man ikke overholder PCI-standarden og efterfølgende har et sikkerhedsbrud i form af en hacker eller en trojaner, så ens kunders kreditkortoplysninger pludselig er blevet offentliggjort,” mener Lars Neupart.
Hvis en virksomhed vælger at ignorere PCI, vil Mastercard og Visa formentlig trække i nødbremsen og nægte at handle med virksomheden.
”De store kortfirmaer er helt afhængige af kortkundernes tillid. Forsvinder den tillid, mister Mastercard og Visa deres forretning. Der er meget på spil med PCI-standarden,” mener han.
100 millioner datatab
Lars Neupart beretter om den amerikanske virksomhed, TJX, der sælger udstyr til hjemmet, og har over 2.000 butikker i kæden.
Sidste år fik virksomheden kompromitteret formentlig alle sine kundedata, op mod 100 millioner.
”Ifølge TJX-regnskabet koster det sikkerhedsbrud indtil videre 247 millioner dollars. Pengene skal bruges på at rydde op i systemerne og til nyt sikkerhedsudstyr, fortæller Lars Neupart.
Men nogle af pengene er del af et forlig, som TJX har indgået med Visa og Mastercard:
”TJX betaler 25 millioner dollars til Mastercard og cirka 40 millioner dollars til Visa. Det er et eksempel på, hvor galt, det kan gå. TJX levede ikke op til bestemmelserne i PCI, men må have erklæret, at de gjorde. TJX ville efter min vurdering have stået meget bedre i sagen mod Mastercard og Visa, hvis de havde haft ordentlig sikkerhed,” siger Lars Neupart.
Halvdelen er væk
PCI-kravene til sikkerhed i 2005 har betydet, at der i dag er væsentligt færre virksomheder, der håndterer kortdata.
Virksomhederne skal jævnligt undersøges af et sikkerhedsfirma, der er certificeret af PCI til at lave en revision af it-sikkerheden.
Ulf Munkedahls virksomhed, FortConsult, var en af de første, der fik den certificering.
”Da vi startede i 2005 var der 56 serviceprovidere i Danmark. I dag er der 18. PCI-konsortiet har opnået det, det ville. De, der er faldet fra, har ikke haft nok forretning til, at det kunne betale sig for dem at investere i den sikkerhed, som PCI-kravene stiller.”
DIBS’ Jesper Lohmann vurderer, at antallet leverandører af e-handelsbetalinger, er reduceret til cirka halvdelen i Danmark, Norge og Sverige.
