PCI DSS

Bakgrunn

For å kunne ta imot kortdata, er Samfundet nødt til å være PCI DSS-sertifisert. Per i dag trenger vi sertifisering på nivå 3, og kravene i SAQ C (= Self-Assessment Questionaire C) er derfor de som er relevante for oss. Alle krav må alltid være fulgt, men en del krav må per PCI DSS verifiseres jevnlig.

Sjekkliste

Punkt i SAQ CKravIntervallSist gjort
6.1b Sikkerhetsfikser på okkupasjon må installeres innen en måned etter at de er sluppet Innen en måned -
11.1 Det må scannes etter ukjente trådløsnett innenfor brannveggen til okkupasjon minst hvert kvartal. Ved funn av ukjente trådløsenheter, må disse umiddelbart kobles fra. Hvert kvartal
11.2 Vi må ha intern og ekstern scanning (sistnevnte av en PCI-autorisert scanner, en såkalt ASV) minst hvert kvartal. Vi bruker Trustwave og OpenVAS. Ved alvorlige funn må feil umiddelbart rettes opp i og nye scanninger kjøres. Hvert kvartal
12.6 Kurs må gjennomføres jevnlig for alle som håndterer kortdata (derunder MG-web, ITK, og relevante utviklere i UKA, fortrinnsvis for uka.no), hvor man informerer om sikkerhetskrav og noterer i noden Billig sikkerhetspolicy hvem som har fått kurs. Hvert semester
12.1.3 Billig sikkerhetspolicy må gjennomgås minst hvert år, og man må verifisere at den er implementert Hvert år
- Vi må sjekke at vi implementerer kravene i PCI SAQ C og at den er oppdatert til å være av en gyldig versjon hvert år. Nyeste versjon: Juni 2018 Hvert år
12.8.4 Vi må verifisere at alle underleverandører av korttjenester (derunder PayEx og Swedbank) er PCI DSS-sertifiserte, minst hvert år. Hvert år

Lenker: Start, billig payex, billig sikkerhetspolicy

Mail: itk@samfundet.no | Telefon: 992 15 925 | Sist endret: 2018-11-09 00:14 | Revisjon: 20 (historie, blame) | Totalt: 1467 kB | Rediger