Sikkerhedskrav. Leverandøren gennemfører følgende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der passer til de aftalte behandlinger, jf. Instruks (bilag 3), og som dermed opfylder Databeskyttelsesforordningens artikel 32. Foranstaltningerne fastlægges ud fra overvejelser om:
1. Det aktuelle tekniske niveau
Sikkerhedskrav. 9.1. Ladestandere og andet udstyr må alene anvendes i overensstemmelse med brugsanvisningen. Kunden må ikke tilslutte andet udstyr til ladestanderen end elbiler. Der må ikke foretages indgreb i ladestanderen eller påføres adaptere mv., som ikke er godkendt til ladestanderen. Tilslutning af andre former for ud- styr kan indebære sikkerhedsmæssige risici. Power Fuel fraskriver sig ethvert ansvar for konsekvenserne af en tilslutning i strid med reglerne.
Sikkerhedskrav. Ud over de sikkerhedsmæssige krav beskrevet i PCI DSS, gælder nedenstående krav tillige for ter- minaldelen af selvbetjente automater samt for hæveautomater: • Kun personale, som er uddannet hertil, må have adgang til kortlæsere og PIN-enheder. • Adgange skal administreres særligt restriktivt til følgende: o Adgang til automatens kortlæser og PIN-enhed o Bemyndigelse til at sætte programmer/systemer i drift • Koder/nøgler til terminalen/automaten skal opbevares på betryggende vis, og må kun blive udleveret til autoriseret personale • Terminalkabinettet/hæveautomaten skal altid være låst, også når enheden ikke er i brug. Enheden må ikke kunne fungere, når kabinettet er åbent • Virksomheden må ikke ændre på terminalens/hæveautomatens fysiske funktioner som fx at fjerne PIN-beskyttelsesskjoldet. Kundedelen må ikke placeres således, at andre har mu- lighed for at aflure PIN-koden, fx ved hjælp af spejle, videokameraer, trapper eller andre forhold i det omkringliggende miljø • Virksomheden skal løbende overvåge alarmer fra terminalerne/hæveautomaten og sikre mod utilsigtet adgang eller forsøg på ”indbrud” og lignende. Virksomheden skal udarbejde procedurer, der sikrer håndtering af uregelmæssige hændelser • Ved tegn på indbrud skal virksomheden omgående kontakte Nets • Virksomheden skal udarbejde afstemningsprocedurer, der sikrer, at det korrekte antal transaktioner bliver leveret til afregning i Nets. Virksomheden skal desuden etablere backup procedurer, der sikrer, at data kan blive genskabt og retransmitteret i op til 5 bank- dage efter aflevering af transaktioner til Nets.
Sikkerhedskrav. 19.4.1. Når Xxxxxxxxxx har indtastet sin adgangskode, kan Kortholder kun være logget på, mens browservinduet er åbent. Lukkes browservinduet skal Kortholder logge på igen. Der skal være indstillet en tidsgrænse for, hvor længe browservinduet kan være åbent uden aktivitet (timeout). Tidsgrænsen må maksimalt være femten (15) minutter. Overskrides tidsgrænsen skal Kortholderen automatisk logges ud.
19.4.2. For App-betalinger skal Kortholder automatisk logges af når Kortholder lukker applikationen. Derefter skal Kortholder logge på igen. Der skal være indstillet en tidsgrænse for, hvor længe Kortholderen kan være logget på uden aktivitet (timeout). Tidsgrænsen må maksimalt være femten (15) minutter. Overskrides tidsgrænsen skal Kortholderen automatisk logges ud.
19.4.3. Det er ikke tilladt at bruge programmer til lagring af adgangskoder.
Sikkerhedskrav. Virksomheden skal følge sikkerhedskravene der gælder for betalingsløsningen. I det omfang, virk- somheden og/eller virksomhedens underleverandører behandler, herunder transmitterer eller op- bevarer, Dankort data, skal virksomheden sikre sig, at de til enhver tid gældende sikker hedskrav, herunder PCI DSS bliver overholdt. Følgende data må aldrig opbevares: • CVV: Card Verification Value i magnetstriben • CVV2: Card Verification Value trykt på bagsiden af kortet • iCVV: Card Verification Value, som er indeholdt i chippen • PVV: PIN Verification Value, som er indeholdt i magnetstriben Virksomheden skal selv afholde sine omkostninger til at opfylde sikkerhedskrav, herunder PCI DSS, en eventuel gennemgang af virksomhedens systemer og procedurer, scanninger el.lign. Virksomheden skal omgående orientere Nets, såfremt der er sket uautoriseret adgang til virksom- hedens systemer med deraf følgende risiko for kompromittering af Dankort data.
Sikkerhedskrav. Den dataansvarlige bør foretage en konkret vurdering af aftalens beskrivelse af sikkerhedsforanstaltninger og om nødvendigt stille supplerende krav hertil. Såfremt databehandleren kræver selvstændig betaling for sin assistance i følgende situationer; • besvarelse af anmodninger fra registrerede ved udøvelsen af disses rettigheder (herunder også sletning og portering af data). • bistand i forbindelse med sikkerhedsvurderinger og sikkerheds- brud. • bistand ved foretagelse af konsekvensanalyse/risikovurderinger. • bistand ved henvendelser fra tilsynsmyndigheder og i forbindelse med høringer (medmindre dette skyldes databehandlerens misligholdelse af databehandleraftalen). • Ved krav om dokumentation for opfyldelsen af gældende persondatalovgivning. bør den dataansvarlige kræve, at databehandleren ikke skal være berettiget til vederlag i tilfælde af sikkerhedsbrud, kontrol eller henvendelser fra myndigheder, som skyldes databehandlerens manglende overholdelse af aftalen. Ligeledes bør det indsættes i aftalen, at databehandleren ikke skal kunne kræve betaling fra den dataansvarlige for at håndtere henvendelser fra de registrerede om indsigt/indsigelser eller for at slette data i systemet som følge af, at databehandleren har indrettet sit system på en sådan måde, at den dataansvarlige ikke eller kun med stort besvær kan håndtere henvendelser fra registrerede eller slette data i systemet på egen hånd.
Sikkerhedskrav. Beskrivelse Leverandøren gennemfører følgende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der passer til de aftalte behandlinger, jf. Instruks (bilag 3), og som dermed opfylder Databeskyttelsesforordningens artikel 32. Foranstaltningerne fastlægges ud fra overvejelser om:
1. Hvad der kan lade sig gøre rent teknisk 2. Implementeringsomkostningerne 3. Den pågældende behandlings karakter, omfang, sammenhæng og formål, jf. Instruksen (bilag 3) 4. Konsekvenserne for borgerne ved et sikkerhedsbrud 5. Den risiko, der er forbundet med behandlingerne, herunder risikoen for: a. tilintetgørelse af oplysningerne b. tab af oplysningerne c. ændring af oplysningerne d. uautoriseret videregivelse af oplysningerne e. uautoriseret adgang til oplysningerne
Sikkerhedskrav. Leverandøren gennemfører følgende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der opfylder kravene i Sikkerhedsbekendtgørelsen og tilhørende praksis. Foranstaltningerne gennemføres for at undgå, at personoplysninger: • tilintetgøres, mistes, ændres eller forringes, • kommer til uvedkommendes kendskab eller misbruges, • eller i øvrigt behandles i strid med lovgivningen, jf. Aftalens pkt. 1.1
Sikkerhedskrav. Når Xxxxxxxxxx har indtastet sin adgangskode, kan Kortholder kun være logget på, mens browservinduet er åbent eller indtil Kortholder lukker applikationen, hvorefter Kortholder automatisk skal logges af. Derefter skal Kortholder logge på igen. Der skal være indstillet en grænse for, hvor længe browservinduet kan være åbent (timeout), dog maks. 15 minutter. Det er ikke tilladt at bruge programmer til lagring af adgangskoder.
Sikkerhedskrav. Forretningen har pligt til at følge de eventuelle sikkerheds- krav, der fremgår af brugervejledningen for betalingsløsningen. I det omfang forretningen og/eller forretningens underleve- randører behandler, herunder transmitterer eller opbevarer, kortdata, skal forretningen sikre, at de til enhver tid gældende sikkerhedskrav, p.t. PCI DSS (Payment Card Industry – Data Security Standard) bliver overholdt. Følgende data må aldrig opbevares: ˺ CVV: Card Verification Value i magnetstriben ˺ CVV2: Card Verification Value trykt på bagsiden af kortet i eller tæt på underskriftpanelet ˺ iCVV: Card Verification Value, som er indeholdt i chippen ˺ PVV: PIN Verification Value, som er indeholdt i magnet- striben Forretningen kan læse mere på xxx.xxx.xx om, hvad for- retningen skal gøre for at dokumentere, at forretningen lever op til kravene. Forretningen skal betale omkostningerne til opfyldelse af sikkerhedskrav, eventuel gennemgang af systemer og proce- durer, scanninger el.lign. Efter opbevaringsperiodens udløb, jf. afsnit 19, skal trans- aktionsdokumentation/notaer destrueres på behørig vis, jf. PCI DSS, så uvedkommende ikke kan få adgang til de i dokumentationen indeholdte data. Eventuelle medier, såsom harddiske, disketter og magnetbånd, som indeholder transak- tionsdata, skal slettes, overskrives (minimum 8 gange) eller destrueres, før udstyret må overdrages eller kasseres. Forretningen skal omgående orientere PBS International, hvis der er sket uautoriseret adgang til forretningens systemer, som kan medføre risiko for kompromittering af kortdata.