Intressant vinkling på GDPR, åsiktsartikel

Betalkortsäkerhetskrav som vägledning i GDPR-arbetet

I och med att cyberbrotten ökar har betalkortsäkerhet blivit ett övergripande fokus bland både företag och konsumenter. Payment Card Industry Data Security Standards (PCI DSS) finns för att hjälpa företag som tar emot kortbetalningar att skydda deras betalsystem från intrång och stöld av kortinnehavarnas data.

Det är naturligtvis en mycket viktig uppgift, men trots det är det många organisationer som idag inte tar standarderna på allvar ur ett långsiktigt perspektiv och som inte arbetar för att löpande uppfylla samtliga PCI DSS-krav så att de även klarar nästa års validering.

De senaste resultaten från Verizon 2017 Payment Security Report är bekymrande och rapporten visar ett samband mellan organisationer som inte ligger i linje med kraven och förmågan att försvara sig mot cyberattacker. Ingen organisation som undersöktes uppfyllde PCI DSS-kraven vid den tidpunkt då ett intrång väl hade hänt.

Ett dataintrång kan ha en betydande påverkan, inte minst när det kommer till finansiella förluster och stoppad försäljning men även en negativ påverkan på organisationens rykte och kundernas lojalitet. Otillräckliga säkerhetsåtgärder kommer att bli än mer kännbara nu när alla företag inom EU ska förhålla sig till de nya dataskyddsreglerna, General Data Protection Regulation (GDPR).

Hur PCI DSS kan bidra till GDPR-arbetet

Om ett företag inte lyckas uppfylla kraven för PCI DSS kan det vara ett tecken på att de även kommer ha svårigheter att tackla GDPR. Påföljderna, som det rapporterats en hel del om i media, handlar om maximalt 20 miljoner euro och 4 % av den globala omsättningen.
i böter för de som inte klarar att möta GDPR.

Både PCI DSS och GDPR fokuserar på att förbättra hur företag säkrar upp den kunddata de lagrar. GDPR har ett bredare omfång än PCI DSS, täcker långt fler olika typer av data och innefattar individens rättigheter, som rätten att begära borttagning av personliga data. Däremot definieras det inte exakt hur organisationerna ska gå tillväga.

Här kan PCI DSS som standard kan vara till hjälp. Medan dess syfte enbart täcker data relaterad till betalkort och dess innehavare kan principen appliceras på alla sorters data. Över dess 13 år långa historia har PCI

DSS mognat avsevärt och ger nu en detaljerad vägledning – inte bara kring vilka säkerhetskontroller som bör finnas på plats men också hur företagen kan underhålla dem.

Enligt brittiska Information Commissioner’s Office sägs det att ”för GDPR gäller en generell obligatorisk tillämpning av tekniska och verksamhetsmässiga åtgärder för att visa att du har tänkt på och integrerat dataskydd i dina processer”.

Organisationer med ett bra program för PCI DSS kommer redan ha sett till att grundläggande säkerhetsprinciper har applicerats inom skydd för betalkortsrelaterad data, exempelvis genom att:

• Endast lagra data som är absolut nödvändig – inte lagra den längre än nödvändigt
• Begränsa åtkomst så att endast de som behöver åtkomst till viss data har det
• Att regelbundet testa säkerhetssystem för sårbarheter
• Att löpande underhålla och kommunicera säkerhetspolicys

Den detaljerade vägledningen som PCI Security Council erbjuder för att hjälpa till att möta dessa krav kan hjälpa företag som parallellt arbetar med att komma i fas med hanteringen av betalkortsdata och GDPR. Vägledningen kan också ge värdefull information för utveckling av kontrollprocesser och processer för andra typer av persondata (PID).

Av Fredrik Hallenborg, nordisk chef, Verizon Enterprise Solutions