Vi drar og vi drar

Bankfolk kaller det tekniske krav, men kravene har store økonomiske konsekvenser hvis de ikke etterleves.

Ingen ønsker seg svindel eller tyveri av persondata. Like fullt har kortselskapenes hjemland, USA, opplevd at data har forsvunnet og blitt utnyttet til andre formål.

I ett tilfelle har kunder fått 250 millioner dollar i kompensasjon, mens kortselskapet fikk nesten 41 millioner dollar i bøter.

Og bøter er hva kortselskapene truer med om ikke deres partnere skjerper sikkerheten.

For den enkelte er det et plunder når data kommer på avveie. Det tar opptil seks måneder å rydde opp, ifølge fagfolk som selv har blitt utsatt for svindel.

PCI er for de fleste it-folk kontaktene på hovedkortet for tilkobling av ekstra komponenter. I betalingskretser er derimot PCI betegnelsen for Payment Card Industry.

Ukjent

Like fullt synes PCI å være ukjent i norsk finansnæring med unntak av de store leverandørene av betalingstjenester. PCI anføres av kredittkortselskapene American Express, Master Card, Visa og andre selskaper med interesse for sikker betaling.

PCI DSS er den mest kryptiske betegnelsen på lang tid. For alle virksomheter som benytter kredittkort for betaling, burde ikke bokstavene være ukjente selv om detaljene er ukjente.

Denne datasikkerhetsstandarden er en konsekvens av år med mislighold og tap av personopplysninger og transaksjoner. Norske banker bør derfor forstå kravene til PCI siden norske forbrukere stadig blir overrøst av tilbud på nye betalingskort som er underlagt DSS.

På grunn av store skandaler som butikkjeden TJX hvor kundedata og betalingstransaksjoner ble borte, har PCI satt strenge krav til alle som bearbeider, transporterer og lagrer betalingstransaksjoner.

Alle som benytter PCIs kort, er derfor påvirket av kravene, men de færreste synes å ha forstått konsekvensene selv om de første fristene allerede har passert. Kun de største betalingsselskapene i Norge har tatt kravene på alvor. De er blitt sertifisert. De forstår hvilke omfattende bøter PCI vil ilegge hvis kredittkortdata kommer på avveie.

Må oppfylles

Skal man tolke kravene bokstavelig kan ingen virksomhet benytte kredittkort uten å være sertifisert. Det skyldes behovet for å ta vare på data ved feil og kommunikasjonsbrudd.

Før et selskap kan sertifiseres er det tolv grupper med tekniske krav som må oppfylles. Over tid vil ytterligere krav måtte tilfredstilles og nye sertifikater utstedes. Varigheten er bare ett år.

Sertifikatet oppnås etter en revisjon. Til nå er revisjonen gjennomført av utenlandske selvskaper, men sikkerhetsselskapet Mnemonic er godkjent som revisor.

I Norge er det lite svindel. Det liker kortselskapene. Den er på halvparten av snittet i Europa. Å kreve innført streng sikkerhet må derfor veies opp mot kostnader og mindre samarbeidsvillige partnere.

Et privateid hotell vil ikke har råd til å innføre DSS, selv om kravene tilsier det. Samtidig er det for sent å gå tilbake til sjekk eller kontanter. Både selger og kjøper er avhengig av kredittkort.

Riktignok har vi i Norge utstrakt bruk av direkte betaling via Bankaxept, men det forutsetter at nettet virker. Derfor har alle våre bankkort også tilknytning til PCI.

Innføringen av DSS må derfor gjøres som et samarbeidsprosjekt mellom kortselskapene og partnerne.

Hvilke av de tolv kravene med ytterligere detaljer som skal tas hos betalingsmottagerne, kortselskapene, store driftspartnere eller av bankene, må avklares. Kryptering er ett stikkord.

Bankene kan allerede bøtelegges for sine partnere som ikke er sertifisert av DSS, men kortselskapene synes ikke så ivrige. Det er vanskelig å fornærme samarbeidspartnerne.

Samtidig må det avklares hva et hotell eller et lite nettselskap selv må investere, for tunge investeringer er de ikke tjent med. De betaler allerede for at kortselskapene skal sørge for sikker betaling.

Ahlert Hysing er fagredaktør i Computerworld.