Betalinger

Hvad er PCI, og hvad betyder det for min forretning?

Af Heine Aaen Hansen
Den 07 februar 2018

Nu laver jeg et vildt gæt:

Du har hørt om PCI.

Det, tror jeg, der er ret stor sandsynlighed for, hvis du har en forretning, der tager imod kortbetalinger.

For hvis du accepterer så meget som bare én eneste kortbetaling, skal du jo overholde PCI's sikkerhedsstandarder.

Men hvis du er i gang med at starte en forretning, eller hvis du er i tvivl om, hvad PCI virkelig er, er den her artikel noget for dig.

I artiklen her får du en gennemgang af, hvad PCI er, hvorfor det findes, hvad du skal gøre, og hvad det reelt betyder for din forretning.

Lad os starte med det grundlæggende:

PCI DSS er en forkortelse for Payment Card Industry Data Security Standard og er en sikkerhedsstandard, der gælder hele kortbranchen. Når folk nævner PCI, er det ofte PCI DSS, de mener.

Formålet med PCI DSS er at forbedre sikkerheden i forbindelse med kortbetalinger for forbrugere verden over ved at sikre fælles standarder for virksomheders behandling af kortdata.

Sikkerhedsstandarden blev udviklet af kortnetværkene Visa, Mastercard, American Express, JCB og Discover.

Standarden vedligeholdes af Payment Card Industry Security Standards Council (PCI SSC), der blev oprettet i 2006. PCI SSC er ansvarlig for at udvikle PCI DSS.

Så langt, så godt.

Hvem gælder PCI DSS så for?

Det er nemt at svare på, fordi:

PCI DSS gælder for alle virksomheder, der lagrer, behandler, overfører eller på anden måde håndterer kortdata.

Uanset om du kun behandler én korttransaktion, skal du overholde PCI DSS.

Og hvad betyder det så at overholde PCI DSS?

PCI DSS har 6 overordnede mål samt 12 tekniske og operationelle krav.

De er:

Opbyg og oprethold et sikkert netværk

1. Installér og vedligehold en firewall, der beskytter kortdata.

2. Brug ikke standardindstillinger fra leverandører til systemkodeord eller andre sikkerhedsparametre.

Beskyt kortdata  

3. Beskyt lagrede kortdata.

4. Kryptér overførslen af kortdata via åbne, offentlige netværk.

Oprethold faste procedurer for håndteringen af sårbarheder

5. Beskyt alle systemer mod malware, og opdatér antivirussoftware eller -programmer regelmæssigt.

6. Udvikl og oprethold sikre systemer og applikationer

Implementér en effektiv adgangskontrol

7. Begræns adgangen til kortdata, så færrest muligt har adgang.

8. Identificér og godkend adgang til systemets komponenter.

9. Begræns den fysiske adgang til kortdata.

Overvåg og test netværkene regelmæssigt

10. Spor og overvåg al adgang til netværkets ressourcer og kortdata.

11. Test sikkerhedssystemer og -processer regelmæssigt.

Oprethold en sikkerhedspolitik

12. Oprethold en politik, der vedrører sikker behandling af data for alt personale.

Hvis du vil have flere tekniske oplysninger, kan du besøge linket herunder og finde de over 200 sikkerhedspunkter, som PCI DSS medfører.

Klik her, og vælg dokumentet "PCI DSS".

Disse 12 krav gælder ALLE virksomheder, der på en eller anden måde håndterer korholderdata – og alle virksomheder skal overholde PCI DSS.

At overholde PCI

For at dokumentere, at din virksomhed overholder PCI DSS, skal du indberette det til din kortindløser én gang om året. Hvordan du skal indberette det, afhænger af, hvor mange transaktioner du behandler om året.

Her følger et hurtigt (og noget forenklet) overblik.

Hvis du behandler over 6 millioner transaktioner om året, skal du have udført en lokal audit én gang om året af en QSA. En QSA er en Qualified Security Assessor, der er certificeret til at godkende, at virksomheder overholder PCI DSS.

Hvis du behandler 1-6 millioner transaktioner om året, skal du enten udfylde et Self-Assessment Questionnaire (SAQ) én gang om året, eller muligvis have udført en lokal audit af en QSA.

Hvis du behandler 20.000 til 1 million e-handelstransaktioner, skal du udfylde et SAQ én gang om året. Da dette er den mest almindelige måde, at virksomheder indberetter, at de lever op til PCI DSS på, vender vi tilbage til SAQ’en om et øjeblik.

Hvis du behandler 0 til 1 million butikstransaktioner om året eller 0-20.000 e-handelstransaktioner om året, er det din indløser, som beslutter, hvordan du skal indberette, at du overholder PCI DSS.

Alle virksomheder, uanset hvor mange transaktioner de behandler om året, skal have udført kvartalsvise netværksscanninger af en ASV (en Approved Scanning Vendor – hvilket er en virksomhed, som tilbyder sikkerhedsscanninger af andre virksomheder). Det kommer vi også snart tilbage til.

Ok, der er ingen vej udenom. Du skal indberette over for din indløser (og kortnetværkene), at du lever op til PCI DSS-reglerne.

Hvordan gør du så det?

Sådan indberetter du

Vi ved, at PCI kan være temmelig indviklet, så vi har prøvet at gøre det nemt for dig.

Når du bruger Bambora som indløser, får du adgang til et onlineværktøj, der hjælper dig med at administrere og indberette, at du lever op til PCI-reglerne.

Og det bedste ved det hele?

Det er gratis.

Ja! Eftersom al den halløj med PCI ikke var din idé, har vi besluttet at give dig vores PCI-værktøj helt gratis.

Og de kvartalsvise netværksscanninger, der skal udføres af ASV'er for alle virksomheder?

Dem forærer vi også væk. De indgår i værktøjet.

Hvad gør dette PCI-værktøj så?

Det gør det nemt for dig at administrere alt i forbindelse med PCI.

De vigtigste funktioner er bl.a.:

  • Værktøj til at indberette PCI (der trin for trin leder dig igennem SAQ)

  • Scanninger af netværkets sårbarhed (ASV-scanninger)

  • Uddannelsesprogrammer

  • Overvågning af 

  • Sikkerhedstests

Værktøjet er brugervenligt og beregnet til at hjælpe forretninger med at opretholde deres PCI-certificering – og gøre processen nem.

Det er legende let at håndtere PCI med vores PCI-værktøj.

Lad os så se på risiciene, hvis du ikke overholder PCI DSS.

Uden at lægge fingrene imellem:

Hvis din virksomhed ikke overholder PCI DSS, løber du en enorm risiko, der kan undergrave hele din virksomhed.

PCI DSS er udarbejdet for at beskytte forbrugere og virksomheder verden over, og du risikerer store bøder, hvis der sker et brud på sikkerheden.

Da bødens størrelse afhænger af bruddet, skal du sørge for, at din virksomhed overholder reglerne, så du undgår bøder.

Jeg kan kun på det kraftigste opfordre dig til ikke at tage let på virksomhedens sikkerhed.

Yderligere oplysninger?

Jeg håber, at du med denne artikel har fået en bedre forståelse af PCI DSS-reglerne, og hvordan du håndterer dem.

Du kan finde mange flere oplysninger på PCI Security Standards Councils officielle hjemmeside her: https://www.pcisecuritystandards.org/

Hvis du har spørgsmål om PCI DSS eller vores gratis værktøj, kan du kontakte os her. Vi hjælper dig hellere end gerne.

 

Heine Aaen Hansen

Markedsføring og digitalt indhold ved Bambora. Bogorm, sprognørd og håbløs far.

We are open for business!

Welcome to the world of payment solutions. Choose your country and start accepting payments from customers all over the world.