Vi bruger cookies til at levere og forbedre vores tjenester. Ved at klikke på "Accepter" accepterer du lagring af alle vores cookies på din enhed. Cookie-indstillinger.

Vi kontakter dig

KOM I GANG!

Udfyld formularen, så kontakter vi dig hurtigst muligt.

Form confirmation worldline 01

Mange tak.

Vi kontakter dig hurtigst muligt.

Hvad er PCI?

RISIKO OG SIKKERHED

5 min læsetid

Hvis du tager imod kortbetalinger, har du nok hørt om PCI Data Security Standard. Enhver virksomhed, der håndterer kortdata, skal overholde PCI. I denne artikel får du en gennemgang af PCI, og hvad det betyder for din virksomhed.

Nu laver jeg et vildt gæt:

Du har hørt om PCI. Det, tror jeg, der er ret stor sandsynlighed for, hvis du har en forretning, der tager imod kortbetalinger. For hvis du accepterer så meget som bare én eneste kortbetaling, skal du jo overholde PCI's sikkerhedsstandarder. Men hvis du er i gang med at starte en forretning, eller hvis du er i tvivl om, hvad PCI virkelig er, er den her artikel noget for dig.

I artiklen her får du en gennemgang af, hvad PCI er, hvorfor det findes, hvad du skal gøre, og hvad det reelt betyder for din forretning.

Lad os starte med det grundlæggende:

PCI DSS er en forkortelse for Payment Card Industry Data Security Standard og er en sikkerhedsstandard, der gælder hele kortbranchen. Når folk nævner PCI, er det ofte PCI DSS, de mener.

Formålet med PCI DSS er at forbedre sikkerheden i forbindelse med kortbetalinger for forbrugere verden over ved at sikre fælles standarder for virksomheders behandling af kortdata. Sikkerhedsstandarden blev udviklet af kortnetværkene Visa, Mastercard, American Express, JCB og Discover. Standarden vedligeholdes af Payment Card Industry Security Standards Council (PCI SSC), der blev oprettet i 2006. PCI SSC er ansvarlig for at udvikle PCI DSS.

Så langt, så godt.

Hvem gælder PCI DSS så for?

Det er nemt at svare på, fordi:

PCI DSS gælder for alle virksomheder, der lagrer, behandler, overfører eller på anden måde håndterer kortdata. Uanset om du kun behandler én korttransaktion, skal du overholde PCI DSS.

Og hvad betyder det så at overholde PCI DSS? PCI DSS har 6 overordnede mål samt 12 tekniske og operationelle krav. De er:

Opbyg og oprethold et sikkert netværk
  • Installér og vedligehold en firewall, der beskytter kortdata.
  • Brug ikke standardindstillinger fra leverandører til systemkodeord eller andre sikkerhedsparametre.
Beskyt kortdata
  • Beskyt lagrede kortdata.
  • Kryptér overførslen af kortdata via åbne, offentlige netværk.
Oprethold faste procedurer for håndteringen af sårbarheder
  • Beskyt alle systemer mod malware, og opdatér antivirussoftware eller -programmer regelmæssigt.
  • Udvikl og oprethold sikre systemer og applikationer
Implementér en effektiv adgangskontrol
  • Begræns adgangen til kortdata, så færrest muligt har adgang.
  • Identificér og godkend adgang til systemets komponenter.
  • Begræns den fysiske adgang til kortdata.
Overvåg og test netværkene regelmæssigt
  • Spor og overvåg al adgang til netværkets ressourcer og kortdata.
  • Test sikkerhedssystemer og -processer regelmæssigt.
Oprethold en sikkerhedspolitik
  • Oprethold en politik, der vedrører sikker behandling af data for alt personale.


Hvis du vil have flere tekniske oplysninger, kan du besøge linket herunder og finde de over 200 sikkerhedspunkter, som PCI DSS medfører. Klik her, og vælg dokumentet "PCI DSS".

Disse 12 krav gælder ALLE virksomheder, der på en eller anden måde håndterer korholderdata – og alle virksomheder skal overholde PCI DSS.

At overholde PCI

For at dokumentere, at din virksomhed overholder PCI DSS, skal du indberette det til din kortindløser én gang om året. Hvordan du skal indberette det, afhænger af, hvor mange transaktioner du behandler om året. Her følger et hurtigt (og noget forenklet) overblik.

Hvis du behandler over 6 millioner transaktioner om året, skal du have udført en lokal audit én gang om året af en QSA. En QSA er en Qualified Security Assessor, der er certificeret til at godkende, at virksomheder overholder PCI DSS.

Hvis du behandler 1-6 millioner transaktioner om året, skal du enten udfylde et Self-Assessment Questionnaire (SAQ) én gang om året, eller muligvis have udført en lokal audit af en QSA.

Hvis du behandler 20.000 til 1 million e-handelstransaktioner, skal du udfylde et SAQ én gang om året. Da dette er den mest almindelige måde, at virksomheder indberetter, at de lever op til PCI DSS på, vender vi tilbage til SAQ’en om et øjeblik.

Hvis du behandler 0 til 1 million butikstransaktioner om året eller 0-20.000 e-handelstransaktioner om året, er det din indløser, som beslutter, hvordan du skal indberette, at du overholder PCI DSS.

Alle virksomheder, uanset hvor mange transaktioner de behandler om året, skal have udført kvartalsvise netværksscanninger af en ASV (en Approved Scanning Vendor – hvilket er en virksomhed, som tilbyder sikkerhedsscanninger af andre virksomheder). Det kommer vi også snart tilbage til.

Ok, der er ingen vej udenom. Du skal indberette over for din indløser (og kortnetværkene), at du lever op til PCI DSS-reglerne. Hvordan gør du så det?

Sådan indberetter du

Vi ved, at PCI kan være temmelig indviklet, så vi har prøvet at gøre det nemt for dig.

Når du bruger Worldline som indløser, får du adgang til et onlineværktøj, der hjælper dig med at administrere og indberette, at du lever op til PCI-reglerne. Og det bedste ved det hele? Det er gratis.

Ja! Eftersom al den halløj med PCI ikke var din idé, har vi besluttet at give dig vores PCI-værktøj helt gratis. Og de kvartalsvise netværksscanninger, der skal udføres af ASV'er for alle virksomheder? Dem forærer vi også væk. De indgår i værktøjet.

Hvad gør dette PCI-værktøj så?

Det gør det nemt for dig at administrere alt i forbindelse med PCI. De vigtigste funktioner er bl.a.:

  • Værktøj til at indberette PCI (der trin for trin leder dig igennem SAQ)
  • Scanninger af netværkets sårbarhed (ASV-scanninger)
  • Uddannelsesprogrammer
  • Overvågning af
  • Sikkerhedstests


Værktøjet er brugervenligt og beregnet til at hjælpe forretninger med at opretholde deres PCI-certificering – og gøre processen nem. Det er legende let at håndtere PCI med vores PCI-værktøj.

Lad os så se på risiciene, hvis du ikke overholder PCI DSS.

Uden at lægge fingrene imellem. Hvis din virksomhed ikke overholder PCI DSS, løber du en enorm risiko, der kan undergrave hele din virksomhed. PCI DSS er udarbejdet for at beskytte forbrugere og virksomheder verden over, og du risikerer store bøder, hvis der sker et brud på sikkerheden.

Da bødens størrelse afhænger af bruddet, skal du sørge for, at din virksomhed overholder reglerne, så du undgår bøder. Jeg kan kun på det kraftigste opfordre dig til ikke at tage let på virksomhedens sikkerhed.

Yderligere oplysninger?

Jeg håber, at du med denne artikel har fået en bedre forståelse af PCI DSS-reglerne, og hvordan du håndterer dem.

Du kan finde mange flere oplysninger på PCI Security Standards Councils officielle hjemmeside her.

Hvis du har spørgsmål om PCI DSS eller vores gratis værktøj, kan du kontakte os. Vi hjælper dig hellere end gerne!

KONTAKT SUPPORT

Bare rolig, vi står klar til at hjælpe dig. Udfyld formularen her, eller ring til os på 78 79 47 00. Vi kontakter vi dig hurtigst muligt.

Form Confirmation Icon

Mange tak. Vi kontakter dig snarest.