Bakgrunn
For å kunne ta imot kortdata, er Samfundet nødt til å være PCI DSS-sertifisert. Per i dag trenger vi sertifisering på nivå 3, og kravene i SAQ C (= Self-Assessment Questionaire C) er derfor de som er relevante for oss. Alle krav må alltid være fulgt, men en del krav må per PCI DSS verifiseres jevnlig.
Sjekkliste
| Punkt i SAQ C | Krav | Intervall | Sist gjort |
|---|---|---|---|
| 6.1b | Sikkerhetsfikser på okkupasjon må installeres innen en måned etter at de er sluppet | Innen en måned | - |
| 11.1 | Det må scannes etter ukjente trådløsnett innenfor brannveggen til okkupasjon minst hvert kvartal. Ved funn av ukjente trådløsenheter, må disse umiddelbart kobles fra. | Hvert kvartal | Ikke relevant, CDE består kun av én maskin, og det eksisterer dermed ikke noe CDE-nett å koble trådløsnett til |
| 11.2 | Vi må ha intern og ekstern scanning (sistnevnte av en PCI-autorisert scanner, en såkalt ASV) minst hvert kvartal. Vi bruker Trustwave og OpenVAS. Ved alvorlige funn må feil umiddelbart rettes opp i og nye scanninger kjøres. | Hvert kvartal | 09.11.2020 |
| 12.6 | Kurs må gjennomføres jevnlig for alle som håndterer kortdata (derunder MG-web, ITK, og relevante utviklere i UKA, fortrinnsvis for uka.no), hvor man informerer om sikkerhetskrav og noterer i noden Billig sikkerhetspolicy hvem som har fått kurs. | Hvert semester | 08.10.2020 |
| 12.1.3 | Billig sikkerhetspolicy må gjennomgås minst hvert år, og man må verifisere at den er implementert | Hvert år | 07.09.2020 |
| - | Vi må sjekke at vi implementerer kravene i PCI SAQ C og at den er oppdatert til å være av en gyldig versjon hvert år. Nyeste versjon: Juni 2018 | Hvert år | 07.09.2020 |
| 12.8.4 | Vi må verifisere at alle underleverandører av korttjenester (derunder PayEx og Swedbank) er PCI DSS-sertifiserte, minst hvert år. | Hvert år | 7.1.2019 |
Lenker: Start, billig payex, billig sikkerhetspolicy
Epost: itk@samfundet.no | Telefon: 992 15 925 | Sist endret: 2020-11-09 19:40 | Revisjon: 44 (historie, blame) | Totalt: 1880 kB | Rediger