Bakgrunn

For å kunne ta imot kortdata, er Samfundet nødt til å være PCI DSS-sertifisert. Per i dag trenger vi sertifisering på nivå 3, og kravene i SAQ C (= Self-Assessment Questionaire C) er derfor de som er relevante for oss. Alle krav må alltid være fulgt, men en del krav må per PCI DSS verifiseres jevnlig.

Sjekkliste

Punkt i SAQ CKravIntervallSist gjort
6.1b Sikkerhetsfikser på okkupasjon må installeres innen en måned etter at de er sluppet Innen en måned -
11.1 Det må scannes etter ukjente trådløsnett innenfor brannveggen til okkupasjon minst hvert kvartal. Ved funn av ukjente trådløsenheter, må disse umiddelbart kobles fra. Hvert kvartal Ikke relevant, CDE består kun av én maskin, og det eksisterer dermed ikke noe CDE-nett å koble trådløsnett til
11.2 Vi må ha intern og ekstern scanning (sistnevnte av en PCI-autorisert scanner, en såkalt ASV) minst hvert kvartal. Vi bruker Trustwave og OpenVAS. Ved alvorlige funn må feil umiddelbart rettes opp i og nye scanninger kjøres. Hvert kvartal 09.11.2020
12.6 Kurs må gjennomføres jevnlig for alle som håndterer kortdata (derunder MG-web, ITK, og relevante utviklere i UKA, fortrinnsvis for uka.no), hvor man informerer om sikkerhetskrav og noterer i noden Billig sikkerhetspolicy hvem som har fått kurs. Hvert semester 08.10.2020
12.1.3 Billig sikkerhetspolicy må gjennomgås minst hvert år, og man må verifisere at den er implementert Hvert år 07.09.2020
- Vi må sjekke at vi implementerer kravene i PCI SAQ C og at den er oppdatert til å være av en gyldig versjon hvert år. Nyeste versjon: Juni 2018 Hvert år 07.09.2020
12.8.4 Vi må verifisere at alle underleverandører av korttjenester (derunder PayEx og Swedbank) er PCI DSS-sertifiserte, minst hvert år. Hvert år 7.1.2019

Lenker: Start, billig payex, billig sikkerhetspolicy

Epost: itk@samfundet.no | Telefon: 992 15 925 | Sist endret: 2020-11-09 19:40 | Revisjon: 44 (historie, blame) | Totalt: 1905 kB | Rediger