PCI DSS
Sikkerhetsstandarden for betalingskortbransjen (Payment Card Industry Data Security Standard) krever at enhver virksomhet som behandler, lagrer eller overforer kortholderdata, opprettholder et formelt program for sikkerhetsbevissthet. Roleplays gjor det kravet om til maalbar og engasjerende opplaering.
Hva er PCI DSS?
Payment Card Industry Data Security Standard (PCI DSS) er en global informasjonssikkerhetsstandard utviklet av PCI Security Standards Council, grunnlagt av Visa, Mastercard, American Express, Discover og JCB. PCI DSS er for tiden i versjon 4.0.1 og definerer tekniske og operasjonelle krav for aa beskytte kortholderdata gjennom hele betalingens livslop.
PCI DSS gjelder for enhver virksomhet som godtar, behandler, lagrer eller overforer kredittkortinformasjon. Dette omfatter forhandlere i alle storrelser, betalingstjenesteleverandorer, innloser, utstedere og tjenesteleverandorer. I praksis betyr dette at kundesenteragenter som tar imot kortnumre over telefon, butikkansatte som behandler transaksjoner, og IT-team som administrerer betalingsinfrastruktur, alle er omfattet.
Manglende etterlevelse kan fore til boter fra kortselskapene paa mellom 5 000 og 100 000 dollar per maaned, okte transaksjonsgebyrer, tap av evnen til aa behandle kortbetalinger og betydelig omdommetap etter et brudd. Standarden er ikke valgfri, den haandheves gjennom kontraktsmessige forpliktelser mellom forhandlere og deres innlosingsbanker.
Hvem maa etterleve
- Kundesentre som haandterer betalingskortdata
- Detaljhandel og e-handelsvirksomheter
- Banker, fintech-selskaper og betalingstjenesteleverandorer
- SaaS-leverandorer i betalingsokosystemet
Konsekvenser av manglende etterlevelse
- Boter paa opptil 100 000 dollar/maaned per kortselskap
- Okte gebyrer for transaksjonsbehandling
- Tilbaketrekking av rettigheter til kortbehandling
- Ansvar for svindeltransaksjoner etter et brudd
Opplaeringskrav
PCI DSS v4.0-krav 12.6 fastsetter obligatorisk opplaering i sikkerhetsbevissthet for alt personell med tilgang til miljoer for kortholderdata.
Krav 12.6, program for sikkerhetsbevissthet
Et formelt program for sikkerhetsbevissthet maa implementeres for aa gjore alt personell kjent med retningslinjene og prosedyrene for sikkerhet av kortholderdata. Dette gaar lenger enn et enkelt retningslinjedokument, virksomheter maa aktivt laere opp ansatte i trusler, korrekt datahaandtering og deres individuelle ansvar for aa beskytte kortholderdata.
Hva QSA-revisorer kontrollerer: At det finnes et dokumentert program som er godkjent av ledelsen og dekker alt personell, ikke bare IT-ansatte. Programmet maa adressere gjeldende trusler og vaere tilpasset virksomhetens spesifikke miljo for kortholderdata.
Krav 12.6.1, formelt bevissthetsprogram
Programmet for sikkerhetsbevissthet maa gjennomgaas minst en gang hver 12. maaned og oppdateres etter behov for aa adressere nye trusler og saarbarheter. Programmet maa inkludere flere metoder for aa kommunisere bevissthet og laere opp personell, for eksempel plakater, brev, moter, nettbasert opplaering eller simulerte phishing-ovelser.
Hva QSA-revisorer kontrollerer: Dokumentasjon som viser at programmet ble gjennomgaatt og oppdatert i lopet av de siste 12 maanedene, med bevis paa at flere kommunikasjonskanaler er brukt.
Krav 12.6.2, aarlig opplaering
Personell maa motta opplaering i sikkerhetsbevissthet minst en gang hver 12. maaned. Nyansatte maa fullfore opplaering ved onboarding. Dette er en minimumsfrekvens, virksomheter med hoyere risiko eller hoy utskifting av ansatte bor vurdere hyppigere opplaeringssykluser.
Hva QSA-revisorer kontrollerer: Fullforingsjournaler for opplaering for alt omfattet personell i lopet av de siste 12 maanedene, samt bevis paa at nyansatte mottok opplaering for de fikk tilgang til kortholderdata.
Krav 12.6.3, bekreftelse fra ansatte
Personell maa minst en gang hver 12. maaned bekrefte at de har lest og forstaatt retningslinjene og prosedyrene for sikkerhetsbevissthet. Dette kravet sikrer at ansatte ikke bare meldes passivt paa, men aktivt engasjerer seg i innholdet. En enkel avkrysningsboks er ikke tilstrekkelig, bekreftelsen maa vise meningsfullt engasjement.
Hva QSA-revisorer kontrollerer: Signerte eller elektronisk registrerte bekreftelser fra alt omfattet personell, datert i lopet av de siste 12 maanedene. Revisorer ser etter bevis paa at bekreftelsen er knyttet til faktisk fullfort opplaering, ikke bare en frittstaaende signatur.
Slik hjelper Roleplays
Erstatt lysbildepresentasjoner med realistiske simuleringer som tester faktisk atferd, og dokumenter alt din QSA trenger.
PCI-spesifikke scenarioer
Ferdige simuleringer for de vanligste PCI-feilmaatene: sosial manipulering via telefon med forsporsel om kortnumre, phishing-e-poster rettet mot betalingssystemer, snikadgang til sikre omraader og feilaktig lagring av kortdata. Scenarioene oppdateres etter hvert som trusselbildet utvikler seg, og oppfyller dermed kravet om aarlig gjennomgang i krav 12.6.1.
Opplaering i datamaskering
Laer opp agenter til aldri aa lese tilbake fullstendige kortnumre, bruke riktige maskeringsteknikker (vise bare de siste fire sifrene) og gjenkjenne naar en innringer forsoker aa lokke frem mer data enn nodvendig. Simulerte innringere tester om agenter folger maskeringsprotokoller under press.
Scoring av agentatferd
Flerkriteriers AI-evaluering scorer hver agent paa sikkerhetsbevissthet, etterlevelse av datahaandtering, motstand mot sosial manipulering og korrekte eskaleringsprosedyrer. Resultatene kobles til spesifikke PCI DSS-krav og gir kompetansebeviset QSA-revisorer forventer, utover enkle oppmotelister.
Etterlevelsesdokumentasjon
Hver opplaeringsokt genererer tidsstemplede journaler som inkluderer identifikasjon av deltaker, opplaeringsinnhold, varighet, evalueringsscorer og fullforingsstatus. Eksporter etterlevelsesrapporter som viser at 100 % av omfattet personell er opplaert innen 12-maanedersvinduet, akkurat det krav 12.6.2 krever.
Forsvar mot sosial manipulering
Simulerte angripere bruker virkelige taktikker for sosial manipulering: utgi seg for aa vaere IT-support, manipulering basert paa hastverk, imitasjon av autoritet og flertrinns paaskudd-angrep. Agenter laerer aa gjenkjenne og motstaa disse taktikkene i et trygt miljo for de moter dem i produksjon.
Innebygd bekreftelse
Aa fullfore en simulering er bekreftelsen. I motsetning til passive avkrysningsskjemaer beviser hver fullforte okt at den ansatte aktivt engasjerte seg i sikkerhetsinnholdet. Fullforingsjournaler for okter fungerer som bekreftelser etter krav 12.6.3, med fullstendige tidsstempler og ytelsesdata som bevis.
Ofte stilte sporsmaal
Oppfyller Roleplays PCI DSS-krav 12.6.2 for aarlig opplaering?
Ja. Plattformen sporer fullforingsdatoer for opplaering for hver ansatt og genererer rapporter som viser etterlevelsesstatus paa tvers av virksomheten. Du kan konfigurere aarlige eller hyppigere opplaeringssykluser, sette opp automatiske paaminnelser for kommende frister og eksportere fullforingsbevis i formater QSA-revisorer forventer.
Kan vi opprette scenarioer som er spesifikke for vaart kundesentermiljo?
Absolutt. Utover de ferdige PCI-scenarioene kan du opprette tilpassede simuleringer som speiler dine spesifikke samtaleflyter, betalingsprosesser og trusselbilde. Du kan for eksempel simulere en innringer som ber en agent om aa lese tilbake hele kortnummeret for "verifisering", eller et paaskudd-angrep der noen utgir seg for aa vaere IT-avdelingen din.
Hvordan haandterer plattformen bekreftelseskravet i krav 12.6.3?
Hver fullforte simulering fungerer som en aktiv bekreftelse. I motsetning til en passiv avkrysningsboks beviser fullforing av en opplaeringsokt at den ansatte engasjerte seg i sikkerhetsinnholdet, forsto scenarioene som ble presentert, og demonstrerte kompetanse gjennom sine svar. Oktjournaler inkluderer tidsstempler, varighet og ytelsesscorer, langt sterkere bevis enn et signert skjema.
Oppdateres opplaeringsinnholdet etter hvert som nye trusler oppstaar?
Ja. PCI DSS-krav 12.6.1 krever at programmet for sikkerhetsbevissthet gjennomgaas og oppdateres minst aarlig. Roleplays oppdaterer kontinuerlig sitt scenariobibliotek for aa gjenspeile gjeldende trusler, vishing-teknikker, AI-drevet sosial manipulering og nye phishing-monstre. Din QSA kan verifisere at opplaeringsinnholdet gjenspeiler det gjeldende trusselbildet.
Kan Roleplays helt erstatte vaar eksisterende opplaering i sikkerhetsbevissthet?
Roleplays kan fungere som ditt primaere verktoy for PCI-sikkerhetsbevissthet og dekke alle underkrav i krav 12.6. Mange virksomheter bruker det sammen med sitt eksisterende LMS, Roleplays haandterer den interaktive, simuleringsbaserte komponenten, mens LMS-et haandterer distribusjon og sporing av retningslinjedokumenter. Plattformens API muliggjor integrasjon med de fleste laeringsplattformer.
Bli etterlevende raskere.
Erstatt aarlige lysbildepresentasjoner med simuleringer som faktisk tester sikkerhetsatferd. Oppfyll hvert underkrav i PCI DSS 12.6 med dokumentert bevis.