Kreditkorts-standarden PCI DSS släpptes nytt i en version 3.2. Denna nya version innehåller en hel del intressanta saker som vi listat nedan. Uppdateringen bygger på feedback från de cirka 700 medlemsorganisationerna som använder sig av standarden och tillhandahåller kortbetalningar.

Ett annat underlag till denna uppdatering är analyser av de läckage av kreditkortsnummer som inträffat. Övriga branscher kan ta och lära en hel del från PCI DSS standarden som funnits sedan 2004.

Nyheterna i PCI DSS version 3.2

• Tvåfaktorsautentisering blir flerfaktorsautentisering. Dvs minst två faktorer ska användas. Och detta ska användas för icke console-access samt fjärrinloggningar
• Penetrationstester ska utföras minst var 6:de månad
• Nytt avsnitt dedikerat till SSL/TLS
• Regler hur kreditkortsnummer får visas upp
• Kvartalsvis genomgång att personal följer säkerhetspolicys och operativa förfaranden
• Att ha en process för att identifiera och rapportera fel i kritiska säkerhetssystem såsom brandväggar, IDS:er, loggning etc
• Ledningen ska ha tydliga uppgifter när det gäller att skydda kreditkortsdata samt ta fram ett PCI compliance program
• Dokumentation över krypto-algoritmer som används, hardware security modules (HSM) eller andra Secure Cryptographic Devices (SCD)
• Dokumentation över nycklar och dess livslängder samt hur nycklarna används

PCI står för Payment Card Industry och DSS står för Data Security Standard. Och den gamla versionen 3.1 upphör att gälla 31 Oktober 2016. Dock är alla nyheter i version 3.2 enbart best practices fram till Februari, 2018 för att alla organisationer ska hinna ställa om.

Här kan du ladda hem Requirements and Security Assessment Procedures PCI DSS 3.2 som PDF: