Nettbutikker med hodet i sanden

Nettbutikker med hodet i sanden

Små norske nettbutikker stikker hodet i sanden i håp om at de aldri blir utsatt for svindel. Kommer kredittkortdata på avveie risikerer de konkurs.

- Mange norske bedrifter som håndterer kredittkortinformasjon tar en kjemperisiko for virksomheten. Kravene til Visa og Mastercard gjelder også i Norge, sier Stein Møllerhaug, sikkerhetsspesialist i Watchcom.

Kravene Møllerhaug henviser til er PCI DSS. Mens PCI i databedrifter mest er kjent for Peripheral Component Interconnect, betyr PCI i økonomisk sammenheng Payment Card Industry.

PCI DSS (Data Security Standard) pålegger alle virksomheter som håndterer kredittkortdata fra Master Card, Visa og American Express å sørge for at de svarer til kravene.

- Selv hoteller må svare for PCI-kravene hvis de lagrer kredittkortdata, påpeker Kent Støvne, produktspesialist i Cisco.

År med skandaler

PCI DSS omfatter alle medlemmer, handelsvirksomheter og tjenesteleverandører som lagrer, bearbeider eller overfører kredittkortdata. Derfor har Cisco utviklet en referansearkitektur i samarbeid med EMC RSA for å tilfredsstille virksomheter som må svare for kravene.

DSS er et felles sett med krav i tolv kategorier utarbeidet av Visa, Master Card og American Express på grunnlag av deres sikkerhetskrav og beste praksis. Kravene er utviklet for å komme amerikanske myndigheter i forkjøpet etter år med skandaler hvor kredittkortdata og personopplysninger har blitt borte. Kravene i tolv punkter inneholder en rekke underpunkter for å sikre at betalingsdata ikke kommer på avveie.

Paranoide

Konsekvensen er at medlemmene av PCI har blitt ganske paranoide. E-handel som ikke svarer til kravene vil kunne få fra 25 000 til 100 000 dollar per måned i bøter. Mottagende banker vil kunne bli bøtelagt med 25 000 dollar per måned for hver netthandelkunde de har.

Ulempen er at kostnaden ved å håndtere de tolv punktene er så omfattende at en liten nettbutikk ikke har råd. Sannsynligvis starter kostnaden på minimum 100 000 kroner, men ingen i bransjen vil uttale seg om det.

- Med hensyn til PCI jobber vi med bankene for å sikre at deres betalingskunder svarer til PCI-kravene, sier Simon Kleine, kommunikasjonsdirektør i Visa Europa.

EDB ikke sertifisert

Finansnæringens hovedorganisasjon har liten kjennskap til PCI og hevder det kun er kundestedets betalingspartner som må forholde seg til PCI DSS.

Bankene betyr for mange EDB Business Partner. Ingen av deres betalingsløsninger er sertifisert.

- Alle nye leveranser av betalingsløsninger vil svare til PCI-kravene. I øyeblikket jobber vi med oppgradering i nær dialog med Visa, sier Helge L´Orange, informasjonssjef i EDB.

- Vår betalingsløsning hos EDB vil være sertifisert i løpet av februar, sier Christer Lovær, markedsdirektør i Payex Norge.

Visa i Norden synes ikke så opptatt av PCI DSS, kanskje fordi Norden har halvparten av svindelsnivået av Europa.

Payment Card Industry Data Security Standard (PCI DSS)

Omfatter: Alle virksomheter som lagrer, bearbeider og behandler kredittkortdata.

Industrier: Banker, hoteller, restauranter, finans, forsikring, fly, handel og driftsselskaper.

Krav: Brannmur, aldri standard passord, beskyttelse av lagrede data, kryptering av kortdata, bruk av antivirus, sikre systemer og applikasjoner, restriksjon i tilgang, unik nøkkel for alle brukere, begrenset tilgang til data, følge og overvåke kortdata, test av sikkerheten, sikkerhetspolitikk

Lov Og Rett