American Express Retningslinjer for Datasikkerhet NORGE

Transkript

1 American Express Retningslinjer for Datasikkerhet NORGE Som ledende innen forbrukerbeskyttelse har American Express et langvarig engasjement for beskyttelse av Kortmedlemsinformasjon. Kompromitterte opplysninger påvirker forbrukere, Forhandlere, Tjenesteleverandører og Kortutstedere negativt. Selv kun én hendelse kan forårsake alvorlig skade på et selskaps omdømme og svekke dets evne til effektivt å drive forretninger. Det å ta opp denne trusselen ved å implementere retningslinjer for driftssikkerhet kan bidra til å bedre kundens tillit, øke lønnsomheten og forbedre et selskaps omdømme. American Express vet at våre Forhandlere og Tjenesteleverandører (samlet deg) deler vår bekymring og krever, som en del av ditt ansvar, at du overholder retningslinjene for datasikkerhet i ditt samtykke til å akseptere (for Forhandlere) eller behandle (for Tjenesteleverandører) American Express -kortet (hver, henholdsvis, Avtalen), og disse retningslinjer for datasikkerhet, som vi kan endre fra tid til annen. Disse kravene er gjeldende for alt ditt utstyr, dine systemer og nettverk der krypteringsnøkler, Kortholderdata, eller Sensitive autentiseringsdata (eller begge deler) lagres, behandles eller overføres. Begreper skrevet med store forbokstaver, men som ikke er definert her, har betydning gitt i ordlisten bakerst i disse retningslinjene. STANDARDER FOR BESKYTTELSE AV KRYPTERINGSNØKLER, KORTHOLDERDATA OG SENSITIVE AUTENTISERINGSDATA Du skal, og dine Dekkede parter skal: lagre Kortholderdata kun for å lette American Express Korttransaksjoner i samsvar med, og som kreves av, Avtalen; overholde gjeldende versjon av Payment Card Industry Data Security Standard (PCI DSS) og PCI PIN sikkerhetskrav senest ved ikrafttredelsesdato for implementering av gjeldende versjon; og ved distribusjon av ny eller utskifting av PIN- Entry-enheter eller Betalingsapplikasjoner (eller begge deler), kun bruke slike som er PCIgodkjent. Du skal beskytte alle American Express Belastningsoversikter, og Krediteringsoversikter, som beholdes i henhold til Avtalen i samsvar med disse datasikkerhetsbestemmelser; disse oversiktene skal kun brukes til dine forpliktelser i henhold til Avtalen og de skal beskyttes deretter. Du er økonomisk, og på annen måte, ansvarlig overfor American Express for å påse at dine Dekkede parter er i compliance med disse datasikkerhetsbestemmelser (annet enn å demonstrere at dine Dekkede parter er i compliance med disse retningslinjene i henhold til punkt 4 nedenfor). FORPLIKTELSER VED DATAHENDELSER Du skal varsle American Express umiddelbart og senest tjuefire (24) timer etter at en Datahendelse er oppdaget. For å varsle American Express, vennligst kontakt American Express Enterprise Incident Response Program (EIRP) på +1 (602) (+ viser internasjonalt retningsnummer), eller e-post EIRP@aexp.com. Det skal oppnevnes en kontaktperson for slike Datahendelser. Du skal gjennomføre en grundig undersøkelse av hver Datahendelse. For Datahendelser med eller flere unike American Express-kort kontonummer (eller på American Express' forespørsel), skal en PCI Forensic Investigator (PFI) gjennomføre undersøkelsen. Du skal umiddelbart gi American Express alle Kompromitterte kortnumre og undersøkelsesrapporten fra Datahendelsen. Du skal samarbeide med American Express for å rette opp eventuelle problemer som oppstår i forbindelse med Datahendelsen, inkludert rådspørre American Express vedrørende kommunikasjon med American Express' Kortmedlemmer som er berørt av Datahendelsen og gi (og skaffe eventuelle avkall som er nødvendig for å gi) American Express all relevant informasjon for å bekrefte din evne til å forhindre fremtidige Datahendelser på en måte som er i samsvar med Avtalen. Side 1 DSOP Norway. Oktober 2016

2 Undersøkelsesrapportene skal inneholde grundige vurderinger, compliance-rapporter, og all annen informasjon relatert til Datahendelsen; de skal identifisere årsaken til Datahendelsen; bekrefte om du overholdt PCI DSS på tidspunktet for Datahendelsen; og bekrefte din evne til å hindre fremtidige Datahendelser ved å tilby en plan for utbedring av alle PCI DSS-mangler. På anmodning fra American Express skal du fremvise validering fra en Qualified Security Assessor (QSA) om at manglene har blitt utbedret. Til tross for eventuell motstridende taushetsplikt i Avtalen, har American Express rett til å utlevere informasjon om eventuelle Datahendelser til American Express Kortmedlemmer, utstedere, andre deltakere i American Express-nettverket, og allmennheten, slik det fremgår av gjeldende lov; ved rettslig, administrativ eller regulatorisk pålegg, dekret, stevning, forespørsel eller annen prosess for å redusere risikoen for svindel eller annen skade, eller på annen måte i den grad det er hensiktsmessig for å operere American Express-nettverket. ERSTATNINGSFORPLIKTELSER FOR DATAHENDELSER Dine erstatningsforpliktelser for Datahendelser overfor American Express under Avtalen skal fastsettes, uten avkall av noen av American Express' andre rettigheter og rettsmidler, i henhold til dette punkt 3. American Express vil ikke søke erstatning fra deg for en Datahendelse som (a) omfatter mindre enn unike Kompromitterte kortnumre eller (b) hvis: du varslet American Express om Datahendelsen i henhold til punkt 2 i disse retningslinjene; du, på tidspunktet for Datahendelsen, var i samsvar med PCI DSS (som fastslått av PFIs undersøkelse av Datahendelsen); og Datahendelsen ikke ble forårsaket av klanderverdig atferd av deg eller av Dekkede parter. Du er ansvarlig for alle andre Datahendelser som angitt i vedlegg A på slutten av dette dokumentet. VIKTIG! PERIODISK VALIDERING AV DINE SYSTEMER Du skal gjøre følgende for årlig og kvartalsvis å validere, i henhold til PCI DSS som beskrevet nedenfor, status for utstyr, systemer og/eller nettverk (og deres komponenter) der Kortholderdata eller Sensitive autentiseringsdata lagres, bearbeides eller overføres. Det er fire trinn som kreves for å fullføre valideringen: Trinn 1 Innmelding i American Express Compliance Program under disse retningslinjene Trinn 2 Fastslå Nivå og Valideringskrav Trinn 3 Fastslå som skal sendes til American Express Trinn 4 Send til American Express Trinn 1 Innmelding I American Express Compliance Program Under Disse Retningslinjene Nivå 1 Forhandlere, Nivå 2 Forhandlere, Nivå 3 Forhandlere utpekt av American Express (som beskrevet nedenfor), Nivå EMV Forhandlere og alle Tjenesteleverandører, som beskrevet nedenfor, skal melde seg inn i American Express Compliance Program under disse retningslinjene ved å oppgi fullt navn, e-postadresse, telefonnummer og fysisk adresse på person som skal fungere som datasikkerhetskontakt. Du skal sende denne informasjonen til Trustwave, som administrerer programmet på vegne av American Express, på en av måtene som er oppført i trinn 4 nedenfor. Du skal melde fra til Trustwave dersom denne informasjonen endres, og gi oppdatert informasjon der det er aktuelt. American Express kan kreve at enkelte Nivå 3 Forhandlere skal melde seg inn i American Express Compliance Program under disse retningslinjene ved å varsle dem skriftlig. Utpekt Nivå 3 Forhandler skal melde seg inn senest 90 dager etter mottak av varsel. Trinn 2 Fastslå Nivå og Valideringskrav Det er fem nivåer for Forhandlere og to nivåer for Tjenesteleverandører. De fleste nivåer er basert på volum av American Express Korttransaksjoner. Krav til Forhandler Forhandlere (ikke Tjenesteleverandører) har fem mulige klassifikasjoner for nivå og valideringskrav. For Forhandlere er dette det volum som sendes inn av virksomhetene og som går opp til høyeste American Express Forhandler kontonivå. Se Forhandlertabellen for å finne valideringsdokumentasjonskrav. Nivå 1 Forhandler 2,5 millioner American Express korttransaksjoner eller mer per år; eller enhver Forhandler eller som American Express ellers anser å være Nivå 1. Nivå 2 Forhandler til 2,5 millioner American Express korttransaksjoner per år. Nivå 3 Forhandler (utpekt) Mindre enn American Express korttransaksjoner per år og som er utpekt av American Express til å sende inn valideringsdokumenter. Utpekte Forhandlere varsles skriftlig av American Express minst 90 dager før dokumentinnsending er påkrevd. Nivå 3 Forhandler (ikke-utpekt) Mindre enn American Express korttransaksjoner per år og som Side 2 DSOP Norway. Oktober 2016

3 ikke er utpekt av American Express til å sende inn valideringsdokumentasjon. Nivå EMV Forhandler som ikke har vært involvert i en Datahendelse i løpet av de siste 12 månedene og som dessuten: Behandler American Express korttransaksjoner eller mer per år Minst 75 % av alle transaksjoner er gjort av Kortmedlemmet med det fysiske Kort tilstede De utførte transaksjoner stammer fra EMV Chipenheter Tjenesteleverandørtabell Nivå (definert over) (definert i trinn 3 under) 1 Årlig stedlig sikkerhetsvurderingsrapport 2 Årlig egetevalueringsskjema Krav Forhandlertabell Nivå (definert over) Valideringsdokument asjon (definert i trinn 3 under) 1 Årlig stedlig sikkerhetsvurderingsrapport 2 Årlig egetevalueringsskjema 3 (Utpekt) Årlig egetevalueringsskjema 3* (Ikkeutpekt) EMV** Årlig egetevalueringsskjema e PCI DSS Prioritized Approach Summary & Attestasjon av compliance Krav Sterkt anbefalt * For å unngå tvil, Nivå 3 Forhandlere (Ikke-utpekt) trenger ikke å sende inn valideringsdokumentasjon, men må likevel overholde, og er gjenstand for erstatningsansvar i henhold til alle andre bestemmelser i disse retningslinjer for Datasikkerhet. ** Nivå EMV er ikke tilgjengelig for forhandlere som har hatt en Datahendelse innen tolv (12) måneder før dato årlig vurdering av compliance. Krav til Tjenesteleverandør Tjenesteleverandører (ikke Forhandlere) har to mulige klassifikasjoner for nivå og valideringskrav. Etter å ha fastslått Tjenesteleverandørnivå fra listen nedenfor, kan du se Tjenesteleverandørtabellen for å fastslå valideringsdokumentasjonskrav. Nivå 1 Tjenesteleverandør 2,5 millioner American Express korttransaksjoner eller mer per år; eller enhver Tjenesteleverandør som American Express ellers anser å være nivå 1. Nivå 2 Tjenesteleverandør mindre enn 2,5 millioner American Express korttransaksjoner per år; eller enhver Tjenesteleverandør som ikke anses å være Nivå 1 av American Express. Trinn 3 Fastslå som skal sendes til American Express Følgende dokumenter kreves for ulike nivåer av Forhandler og Tjenesteleverandør som vist i Forhandlertabell og Tjenesteleverandørtabell ovenfor. Årlig stedlig sikkerhetsvurdering er en detaljert undersøkelse av utstyr, systemer, og nettverk (og deres komponenter) der kortholderdata eller sensitive autentiseringsdata (eller begge deler) lagres, behandles eller overføres. Det skal utføres av en QSA eller deg og være sertifisert av konsernsjef, finansdirektør, regnskapssjef, informasjonssikkerhetssjef, eller oppdragsgiver og sendes årlig til American Express for den aktuelle Attestasjon av Compliance (AOC). AOC skal sertifisere compliance med alle kravene i PCI DSS og på anmodning inkludere kopi av hele rapporten om compliance (nivå 1 Forhandler og Nivå 1 Tjenesteleverandør). Årlig egetevalueringsskjema er en prosess som benytter PCI DSS egetevalueringsskjema (SAQ) og om muliggjør egenevaluering av utstyr, systemer, og nettverk (og deres komponenter) der kortholderdata eller sensitive autentiseringsdata (eller begge deler) lagres, behandles eller overføres. Det skal utføres av deg og være sertifisert av konsernsjef, finansdirektør, regnskapssjef, informasjonssikkerhetssjef, eller oppdragsgiver. AOC delen av SAQ skal sendes årlig til American Express. AOC delen av SAQ skal sertifiseres i samsvar med alle kravene i PCI DSS og inkludere full kopi av SAQ på forespørsel (Nivå 2 og alle Nivå 3 Forhandlere, Nivå 2 Tjenesteleverandører). Kvartalsvis nettverksscan er en prosess som eksternt tester datanettverk og webservere for potensielle svakheter og sårbarheter. Det skal utføres av en Approved Scanning Vendor (ASV). Du skal, kvartalsvis, fylle ut og sende inn ASV Scan Report Attestation of Scan Compliance (AOSC) eller et kortfattet sammendrag av funnene i skanningen (og kopi av full scan, på forespørsel), til American Express. AOSC eller kortfattet sammendrag skal Side 3 DSOP Norway. Oktober 2016

4 attestere at resultatene tilfredsstiller PCI DSS skanneprosedyrer, at det ikke er identifisert noen høye risikoforhold er, og at skanningen er bestått eller i overensstemmelse (alle Forhandlere unntatt Nivå EMV, alle Tjenesteleverandører). Årlig vurdering av compliance milepæler 1-4 av PCI DSS Prioritized Approach Validation Documentation er en undersøkelse av utstyr, systemer og nettverk (og deres komponenter) der kortholderdata eller sensitive autentiseringsdata (eller begge deler) lagres, behandles eller overføres. Det skal utføres av deg og være sertifisert av konsernsjef, finansdirektør, regnskapssjef, informasjonssikkerhetssjef, eller oppdragsgiver og sendes årlig til American Express for PCI DSS Prioritized Approach Summary & Attestation of Compliance (PASAOC). PASAOC skal sertifisere compliance med milepæler 1-4 av PCI DSS Prioritized Approach og på anmodning inkludere alle detaljer om slik compliance. (Kun Nivå EMV Forhandlere). Manglende compliance med PCI DSS Hvis det er manglende compliance med PCI DSS skal du fylle ut et AOC inkludert "Del 4. Handlingsplan ved manglende compliance" og sette en utbedringsdato, som ikke skal overstige tolv måneder etter datoen for AOC, for å oppnå compliance. Du skal sende inn AOC sammen med "Handlingsplan ved manglende compliance " til American Express på en av måtene som er oppgitt i trinn 4 nedenfor. Du skal gi American Express periodiske oppdateringer om fremdriften på utbedringen i "Handlingsplan ved manglende compliance" (Nivå 1, Nivå 2, og Utpekt Nivå 3 Forhandlere, alle Tjenesteleverandører). American Express skal ikke pålegge ikkevalideringsgebyr (beskrevet nedenfor) for avvik før utbedringsdato, men du er ansvarlig overfor American Express for alle erstatningsforpliktelser for en datahendelse og er underlagt alle andre bestemmelser i disse retningslinjer. Trinn 4 Send til American Express Nivå 1 Forhandlere, Nivå 2 Forhandlere, Utpekt Nivå 3 Forhandlere, Nivå EMV Forhandlere, og alle Tjenesteleverandører skal levere merket "obligatorisk" i tabellene i trinn 2. Du skal sende inn valideringsdokumentasjon til Trustwave på en av disse måtene: Sikker portal: kan lastes opp via Trustwaves sikre portal på Kontakt Trustwave på eller +1 (312) (+ viser internasjonalt retningsnummer) eller via e-post på AmericanExpressCompliance@trustwave.com for instruks om hvordan du bruker portalen. Sikker faks: kan fakses til: +1 (312) (+ viser internasjonalt retningsnummer). Husk å oppgi navn, handelsnavn, navnet på datasikkerhetskontakt, adresse og telefonnummer, og, kun for Forhandlere, kun ditt 10- sifrede American Express Forhandlernummer. Hvis du har generelle spørsmål om programmet eller prosessen, ta kontakt med Trustwave på eller +1 (312) (+ viser internasjonalt retningsnummer)eller via e-post på AmericanExpressCompliance@trustwave.com. Compliance og validering er gjennomført for din regning. Ved å sende inn valideringsdokumentasjon garanterer du til American Express at du har tillatelse til å utlevere informasjonen som finnes der, og leverer valideringsdokumentasjon til American Express uten å krenke en annen parts rettigheter. Ikke-valideringsgebyrer og oppsigelse av Avtalen American Express har rett til å pålegge ikkevalideringsavgifter på deg og si opp Avtalen hvis du ikke oppfyller disse kravene, eller unnlater å sende pliktig til American Express innen gjeldende frist. American Express vil varsle deg om den gjeldende fristen for hver årlige og kvartalsvise rapporteringsperiode. Beskrivelse (Valuta ) Et ikkevalideringsgebyr vil bli anslått dersom ikke er mottatt innen den første fristen. Et ekstra ikkevalideringsgebyr vil bli anslått dersom ikke er mottatt innen 30 dager etter den første fristen. Et ekstra ikkevalideringsgebyr vil bli anslått dersom ikke er mottatt innen 60 dager etter den første fristen. Nivå 1 Forhandler eller Tjenestelever andør Nivå 2 Forhandler eller Tjenestelev erandør, Nivå EMV Forhandler Utpekt Nivå 3 Kun Forhandler Dersom American Express ikke mottar obligatorisk innen 60 dager etter den første fristen, har American Express rett til å si opp Avtalen i henhold til vilkårene samt pålegge de foregående ikke-valideringsavgifter på deg kumulativt. Side 4 DSOP Norway. Oktober 2016

5 TAUSHETSPLIKT American Express skal treffe rimelige tiltak for å holde (og påse at agenter og underleverandører, inkludert Trustwave, holder) rapportene om compliance, inkludert hemmelige og ikke avslører til tredjepart (annet enn American Express filialer, agenter, representanter, Tjenesteleverandører og underleverandører) for en periode på tre år fra dato for mottak, bortsett fra at denne taushetsplikt ikke gjelder som: (i) allerede er kjent for American Express før utlevering; (ii) er eller blir tilgjengelig for allmennheten uten at American Express har brutt dette punkt; (iii) er rettmessig mottatt fra en tredjepart av American Express uten pålagt taushetsplikt; (iv) er uavhengig utviklet av American Express; eller (v) er nødvendig å utlevere som følge av pålegg fra domstol, forvaltningsorgan eller offentlig myndighet, eller av lov, regel eller forskrift, eller ved begjæring, stevning, eller annen administrativ eller juridisk prosess, eller ved en formell eller uformell henvendelse eller etterforskning av offentlige etater eller myndigheter (herunder lovgiver, inspektør, gransker, eller politimyndighet). ANSVARSFRASKRIVELSE AMERICAN EXPRESS FRASKRIVER SEG ALLE GARANTIER OG FORPLIKTELSER MED HENSYN TIL DISSE RETNINGSLINJER FOR DATASIKKERHET, PCI DSS, EMV SPESIFIKASJONER OG UTPEKELSE OG YTELSE AV QSA, ASV ELLER PFI (ELLER NOEN AV DEM), ENTEN UTTRYKKELIG, UNDERFORSTÅTT, LOVFESTET ELLER ANNET, INKLUDERT GARANTIER OM SALGBARHET ELLER EGNETHET FOR ET SPESIELT FORMÅL. AMERICAN EXPRESS- KORTUTSTEDERE ER IKKE TREDJEPARTSBEGUNSTIGEDE ETTER DISSE RETNINGSLINJENE. Nyttige nettsteder American Express Data Security: PCI Security Standards Council, LLC: VEDLEGG A: ERSTATNINGSBEREGNINGER For en datahendelse som kun involverer American Express-kortkontonumre, skal du erstatte American Express omgående ved å betale et datahendelsesgebyr som ikke skal overstige USD per datahendelse. For en datahendelse med American Express-kort kontonumre med Sensitive autentiseringsdata, skal du erstatte American Express omgående for: Inkrementell svindel (definert nedenfor) innen Datahendelsesvinduet og Kortovervåking og gjenskaffelseskostnad på (i) USD 1,00 per Kortkontonummer for 90 % av det totale antall Kompromitterte kortnumre og (ii) USD 5.00 per Kortkontonummer for 10 % av det totale antall Kompromitterte kortnumre, henholdsvis, og Et datahendelsesavviksgebyr skal ikke overstige USD per datahendelse. American Express skal beregne "Inkrementell svindel" i henhold til følgende metode: Inkrementell svindel = (X - Y) multiplisert med Z, der: X = Kortutstederes totale svindeltap, unntatt svindel med tilbakeføringer og tap på falske kortapplikasjoner, på Kompromitterte kortnummer i løpet av Datahendelsesvinduet, delt på Kortutstederes totale Belastningsvolum på Kompromitterte kortnumre i løpet av Datahendelsesvinduet. Y = Kortutstederes totale svindeltap, unntatt svindel med tilbakeføringer og tap på falske American Expresskortapplikasjoner, på ikke-kompromittert kortnummer i løpet av Datahendelsesvinduet, delt på Z = Kortutstederes totale Belastningsvolum på ikke-kompromittert kortnummer i løpet av Datahendelsesvinduet. Kortutstederes totale Belastningsvolum på Kompromitterte kortnumre i løpet av Datahendelsesvinduet. American Express vil utelukke fra sine beregninger av Inkrementell svindel og kortovervåking og gjenskaffelseskostnader eventuelle American Express-kortkontonumre som var involvert i en annen datahendelse med American Expresskortkontonumre med Sensitive autentiseringsdata, forutsatt at American Express har mottatt melding om andre datahendelser innen tolv (12) måneder før varslingsdato. Alle beregninger gjort av American Express i henhold til denne metodikken er endelige. Forhandleres erstatningsforpliktelser for datahendelser herunder skal ikke anses å være tilfeldig, indirekte, spekulativ, etterfølgende, spesial-, oppreisnings-, eller straffeerstatning etter Avtalen; forutsatt at slike forpliktelser ikke inkluderer skader i forbindelse med eller i form av tapt fortjeneste eller Side 5 DSOP Norway. Oktober 2016

6 inntekter, tap av goodwill, eller tap av forretningsmuligheter. VEDLEGG B: ORDLISTE I forbindelse med disse retningslinjer, gjelder følgende definisjoner: American Express-kort, eller Kort, betyr ethvert kort, kontotilgangsenhet eller betalingsenhet eller tjeneste som bærer American Express' eller en agents navn, logo, varemerker, servicemerker, handelsnavn eller andre proprietære design eller betegnelser og er utstedt av en utsteder eller et kortkontonummer Attestation of Compliance, eller AOC, betyr en erklæring om status for compliance med PCI DSS, i en form gitt av Payment Card Industry Security Standards Council, LLC. Approved Scanning Vendor, eller ASV, betyr en enhet som har blitt kvalifisert av Payment Card Industry Security Standards Council, LLC til å validere compliance med visse PCI DSS-krav ved å utføre sårbarhetsskanning av nettbaserte miljøer. Attestation of Scan Compliance, eller AOSC, betyr en erklæring om status for compliance med PCI DSS basert på en nettverksskanning, i en form gitt av Payment Card Industry Security Standards Council, LLC. Kortholderdata har betydningen gitt i gjeldende Ordliste for PCI DSS. Kortmedlem betyr et individ eller enhet (i) som har inngått en avtale om å etablere en kortkonto med en utsteder eller (ii) hvis navn vises på kortet. Kortmedlemsinformasjon betyr informasjon om American Express kortmedlemmer og korttransaksjoner, inkludert navn, adresser, kortkontonummmer, og kortidentifikasjonsnummer (CID). Belastning betyr en betaling eller kjøp gjort med et kort. Chip betyr en integrert mikrobrikke innebygd på et kort som inneholder kortmedlems- og kontoinformasjon. Chip-kort betyr et kort som inneholder en chip, og som kan kreve en PIN-kode for å verifisere identiteten til Kortmedlemmet eller kontoinformasjon i Chip, eller begge deler (noen ganger kalt "smart-kort", "EMV-kort", eller "integrert krets-kort" i våre materialer). Chip-aktivert enhet betyr en salgsenhet som har en gyldig og gjeldende EMVco ( godkjenning/sertifisering og som kan behandle AEIPS kompatible Chip-korttransaksjoner. Kompromittert kortnummer betyr et American Expresskortkontonummer knyttet til en datahendelse. Dekkede parter betyr noen eller alle dine ansatte, agenter, representanter, underleverandører, behandlere, Tjenesteleverandører, leverandører av salgsutstyr eller - systemer eller betalingsløsninger, og eventuelle andre parter du kan utlevere kortmedlemsinformasjon til i samsvar med Avtalen. Kreditering betyr Belastningsbeløpet som du tilbakebetaler til kortmedlemmer for kjøp eller betalinger på kortet. Datahendelse betyr en hendelse som involverer kompromittering av American Express krypteringsnøkler, eller minst et American Express-kortkontonummer der det er: uautorisert tilgang eller bruk av kortholderdata eller sensitive autentiseringsdata (eller begge deler) som er lagret, behandlet eller overført til ditt utstyr, systemer og/eller nettverk (eller komponenter av det); bruk av slike kortholderdata eller sensitive autentiseringsdata (eller begge deler) annet enn i samsvar med Avtalen; og/eller mistenkt eller bekreftet tap, tyveri eller underslag på noen måte av alle medier, materialer, registre, eller informasjon som inneholder slike kortholderdata eller sensitive autentiseringsdata. Datahendelsesvindu betyr perioden som starter 365 dager før varslingsdato og slutter 30 dager etter varslingsdato. Utpekt Nivå 3 Forhandler betyr Forhandlere som har fått beskjed av American Express at de er pålagt å delta i American Express PCI Compliance programmet og rapportere status for compliance. EMV Spesifikasjoner betyr spesifikasjonene utstedt av EMVCo, LLC, som er tilgjengelige på EMV Transaksjon betyr en integrert kretskorttransaksjon (noen ganger kalt "IC-kort", "chip-kort", "smartkort", "EMVkort" eller "ICC") gjennomført på en POS-terminal med en gyldig og gjeldende EMV typegodkjenning. EMV typegodkjenninger er tilgjengelig på Krypteringsnøkkel ("American Express krypteringsnøkkel"), betyr alle nøkler som brukes i behandling, generasjon, lasting og/eller beskyttelse av kontodata. Dette inkluderer, men er ikke begrenset til, følgende: Nøkkelkrypteringsnøkler: Zone Master Keys (ZMK) og Zone Pin Keys (ZPK) Master Keys som brukes i sikre kryptografiske enheter: Local Master Keys (LMK) Card Security Code Keys (CSCK) PIN-Keys: Base Derivation Keys (BDK), PIN Encryption Key (PEK), og ZPK Nivå 1 Forhandler betyr en Forhandler som behandler 2,5 millioner American Express korttransaksjoner eller mer per år; eller enhver Forhandler eller som American Express ellers anser som Nivå 1. Nivå 2 Forhandler betyr en Forhandler som behandler til American Express korttransaksjoner per år. Nivå 3 Forhandler (Utpekt) betyr en Forhandler som er varslet av American Express at de er pålagt å delta i American Express PCI Compliance programmet og rapportere status for compliance. Nivå 3 Forhandler (Ikke-utpekt) betyr en Forhandler som behandler mindre enn American Express korttransaksjoner per år og ikke har blitt utpekt av American Express. Nivå 1 Tjenesteleverandør betyr en tjenesteleverandør som behandler mer enn 2,5 millioner American Express korttransaksjoner per år; eller en tjenesteleverandør som American Express ellers anser som Nivå 1. Side 6 DSOP Norway. Oktober 2016

7 Nivå 2 Tjenesteleverandør betyr en tjenesteleverandør som behandler mindre enn 2,5 millioner American Express korttransaksjoner per år; eller tjenesteleverandør som ikke anses som Nivå 1 av American Express. Nivå EMV Forhandler betyr en Forhandler som ikke har vært involvert i en datahendelse i løpet av de siste 12 månedene og også: Behandler American Express korttransaksjoner eller mer per år; og Minst 75 % av Forhandlerens totale transaksjonstall er gjort med det fysiske kortet til stede og kommer fra salgsystemer som er kompatible med American Express EMV spesifikasjoner. Milepæler 1-4 betyr prioriteringer tilordnet PCI DSS-krav av PCI Prioritized Approach, som er tilgjengelig på Varslingsdato betyr datoen, utpekt av American Express, som utstedere mottar melding om datahendelse. Betalingsapplikasjon har betydningen gitt i gjeldende Ordliste for Payment Card Industry Payment Application Data Security Standard, som er tilgjengelig på PCI-godkjent betyr at en PIN-Entry-enhet eller en Betalingsapplikasjon (eller begge deler) fremkommer på tidspunktet for plassering på listen over godkjente bedrifter og leverandører som vedlikeholdes av PCI Security Standards Council, LLC, som er tilgjengelig på PCI DSS betyr Payment Card Industry Data Security Standard, som er tilgjengelig på PCI Prioritized Approach betyr PCI DSS-dokumentet som er tilgjengelig på s/prioritized.php. PCI DSS Prioritized Approach Summary & Attestation of Compliance, eller PASAOC, betyr en erklæring om status for compliance med PCI Prioritized Approach, i form gitt av Payment Card Industry Security Standards Council, LLC. PCI Forensic Investigator, eller PFI, betyr en enhet som har blitt godkjent av Payment Card Industry Security Standards Council, LLC til å utføre grundige undersøkelser av brudd på eller kompromittering av betalingskortdata. PCI PIN sikkerhetskrav, betyr Payment Card Industry PIN sikkerhetskrav, som er tilgjengelig på PIN-Entry-enhet har betydningen gitt i gjeldende Ordliste for Payment Card Industry PIN Transaction Security (PTS) Point of Interaction (POI), Modular Security Requirements, som er tilgjengelig på https: // Point of Sale (POS) system betyr informasjonsbehandlingssystem eller -utstyr, herunder terminal, personlig datamaskin, elektronisk kassaapparat, kontaktløs leser, eller betalingsmaskin eller -prosess, som brukes av en Forhandler, for å få autorisasjon eller å kreve inn slike data, eller begge deler. Databehandler betyr en serviceleverandør til Forhandler som tilrettelegger autorisasjon og rapportering til American Express-nettverket. Qualified Security Assessor eller QSA betyr en enhet som har blitt kvalifisert av Payment Card Industry Security Standards Council, LLC til å validere compliance med PCI DSS. Self-Assessment Questionnaire, eller SAQ, betyr et egetevalueringsverktøy opprettet av Payment Card Industry Security Standards Council, LLC, ment for å evaluere og bekrefte compliance med PCI DSS. Sensitive autentiseringsdata har betydningen gitt i gjeldende Ordliste for PCI DSS. Tjenesteleverandører betyr autoriserte databehandlere, tredjepartsdatabehandlere, systemportleverandører og alle andre tilbydere til Forhandlere av salgsutstyr, programvare eller systemer, eller andre betalingsløsninger eller - tjenester. Transaksjon betyr en Belastning eller en Kreditering gjennomført med et Kort. betyr AOC gjengitt i forbindelse med årlig stedlig sikkerhetsvurdering eller SAQ, AOSC og kortfattet sammendrag av funnene gjengitt i forbindelse med kvartalsvise nettverksscanninger, eller den årlige EMV Attestation. Side 7 DSOP Norway. Oktober 2016