PCI har fået en søster, som hedder PA.
Bag de lidet poetiske pigenavne gemmer sig betegnelsen for standarderne Payment Card Industry og Payment Application.
Førstnævnte har eksisteret i flere år og er et omfattende program, der skal øge datasikkerheden hos leverandører af betalingsløsninger.
Det er kreditkortselskaberne anført af VISA og MasterCard og deres fælles organisation PCI Council, der står bag.
En PCI-godkendelse opnår en butik, der tilbyder kunderne kreditkortbetaling først, når en certificeret it-revisor har kontrolleret og godkendt virksomhedens såvel den interne som eksterne sikkerhed på grundlag af en tjekliste, der omfatter mere end 200 punkter og berører alle aspekter af it-sikkerheden både fysisk og digitalt.
Mens PCI-standarden berører virksomheder, der håndterer kreditkorttransaktioner, gælder PA-standarden for virksomheder, der udvikler eller installerer den betalings-software og de Dankortløsninger, der bruges rundt omkring i danske butikker, banker, pengeautomater og e-handelsløsninger.
Minimerer risikoen for retssager
PCI-standarden blev introduceret i 2004 og er implementeret i stor udstrækning i USA og Europa.
I Danmark er adskillige tusinde butikker, banker og betalings-gateways berørt af standarden.
De første amerikanske og europæiske virksomheder er i gang med at gøre sig klar til at blive PA-certificeret, heraf en række danske virksomheder, der arbejder med at integrere og udvikle software til kasseapparater, og terminalleverandører, som udvikler betalingsterminaler til butikker.
Det oplyser it-sikkerhedsfirmaet FortConsult, som er en ud af 39 på verdensplan, der er godkendt af kreditkortselskaberne til at teste sikkerheden i betalingssoftware.
"Når software-leverandører får godkendt deres betalings-software, risikerer deres kunder ikke erstatningssager fra kreditkortselskaberne, hvis softwaren bliver hacket," siger Ulf Munkedal, administrerende direktør i FortConsult.
Kommet for at blive
Han mener, at PCI- og PA-standarderne er kommet for at blive, og at kreditkortselskaberne vil gøre meget for at håndhæve, at standarderne bliver fulgt.
"VISA har netop offentliggjort en liste over leverandører, der leverer applikationer med utilstrækkelig sikkerhed," siger Ulf Munkedal.
