Betalinger

Hva er PCI, og hva betyr det for bedriften min?

Av Heine Aaen Hansen
Den 07 februar 2018

Du har kanskje hørt om PCI - spesielt dersom bedriften din tar imot kortbetalinger.

Fra det øyeblikket et betalingskort trekkes frem mot kortterminalen deres, må dere nemlig oppfylle PCI’s sikkerhetsstandard.

Hvis du imidlertid er i ferd med å starte en bedrift og ikke kjenner til PCI, eller er usikker på hva det innebærer, bør du lese denne artikkelen. Her vil jeg nemlig forklare litt om bakgrunnen for PCI og hva det egentlig er, hvordan du bør forholde deg til det og hva det har å si for bedriften din.

La oss starte med det helt grunnleggende:

PCI DSS står for Payment Card Industry Data Security Standard (informasjons-sikkerhetsstandard for kortbransjen) og er en sikkerhetsstandard som dekker hele bransjen for betalingskort. Når folk snakker om PCI, mener de som oftest PCI DSS.

Formålet med PCI DSS er å styrke forbrukers sikkerhet knyttet til kortbetaling med én felles standard for behandling av kortopplysninger som må følges av alle.

Sikkerhetsstandarden er utviklet av kortselskapene Visa, Mastercard, American Express, JCB og Discover i fellesskap.

Standarden vedlikeholdes av bransjerådet PCI SSC (Payment Card Industry Security Standards Council), som ble opprettet i 2006. PCI SSC er ansvarlig for å utvikle PCI DSS-standarden videre.

Så – hvem gjelder egentlig PCI DSS for?

Det er ganske enkelt:

PCI DSS gjelder for alle bedrifter som lagrer, behandler, overfører eller på annen måte håndterer kortopplysninger.

Uansett om dere bare skal behandle én eneste korttransaksjon, må dere oppfylle PCI DSS-standarden.

Hva skal til for å oppfylle PCI DSS?

Kort forklart må bedriften oppfylle seks overordnede krav og tolv tekniske- og driftsmessige krav for å etterleve PCI DSS-kravene.

Kravene er som følger:

Sette opp og vedlikeholde et sikkert nettverk og sikre systemer.

1. Installere og vedlikeholde en brannmur som beskytter kortopplysningene.

2. Ikke bruke standardinstillinger til systempassord eller andre sikkerhetsparametre.

Beskytte kortopplysningene  

3. Beskytte alle opplysningene som lagres.

4. Kryptere kortopplysninger som sendes via åpne nettverk.

Faste og sikre prosedyrer for potensielle sårbarheter

5. Sørge for bruk og vedlikehold av antivirusprogrammer.

6. Utvikle og vedlikeholde sikre systemer og applikasjoner.

Iverksette sikre tiltak for adgangskontroll

7. Kun gi tilgang til kortopplysninger når det er absolutt nødvendig.

8. Gi en unik ID til personer med tilgang til data

9. Begrense fysisk tilgang til kortopplysninger.

Jevnlig overvåking og testing av nettverk

10. Spore og overvåke all tilgang til nettverksressurser og kortopplysninger.

11. Regelmessig teste sikkerhetssystemer og -prosesser.

Utarbeide og vedlikeholde retningslinjer for datasikkerhet

12. Ha retningslinjer for datasikkerhet som gjelder for samtlige medarbeidere.

Hvis du vil ha flere tekniske detaljer, kan du klikke på lenken nedenfor, der du finner et dokument med beskrivelse av over 200 sikkerhetspunkter som må følges for å oppfylle PCI DSS.

Klikk her og velg dokumentet som heter «PCI DSS».

Disse tolv kravene gjelder altså for ALLE bedrifter som håndterer kortopplysninger – og alle bedrifter må oppfylle PCI DSS-kravene.

Samsvar med PCI-standarden

Én gang i året skal bedrifter dokumentere at den overholder PCI DSS-standarden overfor sin innløser. Hvordan dette skal dokumenteres, avhenger av hvor mange korttransaksjoner bedriften behandler per år.

Her har du en kjapp (og litt forenklet) oversikt over hvordan det fungerer:

Hvis dere behandler mer enn 6 millioner transaksjoner per år, får dere besøk av en QSA som gjennomfører en kontroll i bedriftens lokaler og sjekker at bedriften overholder PCI DSS-standarden. QSA står for Qualified Security Assessor (kvalifisert sikkerhetskontrollør), det vil si en bedrift som er sertifisert for å evaluere og konstatere at bedrifter overholder PCI DSS-kravene.

Hvis dere behandler mellom 1 og 6 millioner transaksjoner per år, skjer samsvarsrapporteringen via et såkalt SAQ-skjema (Self-Assessment Questionnaire, eller «egenevalueringsskjema»), som fylles ut én gang i året. Det kan også hende dere får besøk av en QSA som gjennomfører en kontroll i bedriftens lokaler.

Hvis dere behandler mellom 20 000 og 1 million e-handelstransaksjoner, må dere fylle ut et SAQ-skjema for egenevaluering én gang i året. Siden dette er den vanligste formen for evaluering, og mest sannsynlig den din bedrift skal bruke, vil vi gå nærmere inn på SAQ-skjemaet lenger ned i artikkelen.

Hvis dere behandler mellom 0 og 1 million butikktransaksjoner eller 0–20 000 e-handelstransaksjoner per år, er det opp til bedriftens innløser å bestemme hvordan samsvarsrapporteringen skal foregå.

Alle bedrifter, uavhengig av hvor mange transaksjoner de håndterer per år, må få hjelp av en ASV (Approved Scanning Vendor, et selskap som utfører sikkerhetssøk for andre virksomheter) til å utføre en nettverksskanning én gang i kvartalet. Vi vil også komme tilbake til dette.

Så dessverre er det ingen vei utenom. Dere er nødt til å dokumentere samsvaret, slik at innløseren deres (og kortselskapet) ser at dere oppfyller PCI DSS-kravene.

Men hvordan skal dere gå fram?

Slik går dere frem

Jeg vet, jeg vet; PCI kan være en noe omstendelig affære. Derfor har vi i Bambora prøvd å gjøre det litt enklere for dere.

Nrå man bruker Bambora som innløser, får bedriften tilgang til et nettbasert verktøy som hjelper med å administrere og rapportere PCI-samsvar.

Og det beste med det hele?

Det er gratis.

PCI-rapportering er kanskje ikke så spennende, men på denne måten slipper man i det minste å betale noe for det.

Nå lurer du kanskje på:

Hva med de obligatoriske kvartalsvise ASV-nettverksskanningene?

De er også gratis. Vi har inkludert dem i verktøyet.

Så hva kan egentlig dette PCI-verktøyet gjøre?

Kort fortalt gjør verktøyet det enkelt å håndtere alt som har med PCI å gjøre.

Her er noen av de viktigste funksjonene:

  • PCI-samsvarsbehandling (trinnvis veiledning til SAQ-skjemaet)

  • søk etter sikkerhetsproblemer i nettverket (ASV-skanning)

  • kurs og opplæring

  • samsvarsovervåking

  • sikkerhetstesting

Verktøyet er enkelt å bruke, og det er spesielt laget for å hjelpe bedrifter med å sikre PCI-samsvar og forenkle hele prosessen. Det blir dermed ingen sak å oppfylle kravene.

La oss nå et øyeblikk tenke oss at dere på en eller annen måte ikke oppfyller PCI DSS-kravene. Hva ville konsekvensene blitt?

Vel, for å si det rett ut:

Hvis bedriften ikke oppfyller PCI DSS-kravene, risikerer dere faktisk hele livsgrunnlaget for bedriften.

PCI DSS ble etablert for å beskytte forbrukere og bedrifter over hele verden, og brudd på sikkerhetsreglene kan bety store bøter.

Størrelsen på boten avhenger av type sikkerhetsbrudd, men for å være sikker på å unngå bøter, bør dere sørge for at bedriften overholder samsvarskravene.

Hvis det er noe man ikke skal ta lett på, så er det tross alt bedriftens sikkerhet.

Vil du vite mer?

Jeg håper denne artikkelen har gitt deg bedre innsikt i PCI DSS-reglene og hvordan du bør forholde deg til dem.

Du finner mer informasjon på PCI Security Standards Councils offisielle nettsted, her:  https://www.pcisecuritystandards.org/

Hvis du lurer på noe i forbindelse med PCI DSS eller vårt kostnadsfrie samsvarsverktøy, kan du kontakte oss her. Vi svarer deg gjerne.

Heine Aaen Hansen

Markedsførings- og innholdsspesialist i Bambora. Bokentusiast, ordnerd og hjelpeløs pappa. Når han ikke skriver er han som regel opptatt med å lese.

We are open for business!

Welcome to the world of payment solutions. Choose your country and start accepting payments from customers all over the world.