Vad är PCI DSS?
RISK OCH SÄKERHET


5 min läsning
2018 trädde nya säkerhetskrav för kortterminaler in och i detta inlägg förklarar vi vad PCI DSS är, varför det finns och hur det påverkar din affärsverksamhet.
Om du arbetar i en bransch där kortbetalningar förekommer har du säkert hört talats om PCI DSS?
Vi årsskiftet trädde nya säkerhetskrav för kortterminaler in och i detta inlägg förklarar vi vad PCI DSS är, varför det finns och hur det påverkar din affärsverksamhet.
PCI DSS står för Payment Card Industry Data Security Standard och är en säkerhetsstandard som gäller för hela betalkortindustrin. När någon talar om PCI så är det PCI DSS de menar (i alla fall om det gäller betalkort). I resten av artikeln kommer vi för enkelhetens skull att kalla det PCI.
Syftet med PCI är att öka säkerheten kring kortbetalningar i hela världen. Det görs genom PCI, en gemensam säkerhetsstandard som beskriver vad som gäller för företag som tar emot kortbetalningar.
PCI är ett gemensamt initiativ från alla de stora kortföretagen Visa, Mastercard, American Express, JCB och Discover (mest populärt i USA).
Regelverket hanteras av Payment Card Industry Security Standards Council (PCI SSC). De har även ansvar för att utveckla och uppdatera PCI. PCI SSC grundades 2006.
Vilka är det egentligen som berörs av PCI?
PCI omfattar alla företag som hanterar, samlar in, lagrar och överför kortinformation.
Även om du bara hanterar en enda liten korttransaktion så måste du följa PCI.
Vad innebär det att följa PCI?
PCI omfattar 6 huvudområden med totalt 12 olika krav:
Sätta upp och underhålla ett säkert nätverk
1. Använda robusta brandväggar för att skydda kortdata
2. Använd aldrig förinställda säkerhetssystem och lösenord
Skydda kortinformationen
3. Kortinnehavarens information måste alltid skyddas
4. Kortdata som överförs via allmänt nät ska krypteras på ett effektivt sätt
Upprätthåll effektiva säkerhetsåtgärder
5. Skydda systemen genom att ha uppdaterade antivirusprogram och andra säkerhetsprogram
6. Se till att installera och uppdatera till säkra system och applikationer
Ha lämplig behörighetskontroll
7. Begränsa spridning av information om kortuppgifter
8. Använd unika och konfidentiella identifikationsnamn i systemet
9. Undvik att fysiskt hantera kortuppgifter och data
Övervaka och testa nätverket
10. Övervaka och spåra all information
11. Testa systemet regelbundet för att se till att alla processer finns på plats, fungerar korrekt och hålls up-to-date
Ha en säkerhetspolicy
12. Ta fram en formell informationssäkerhetspolicy som alla berörda parter följer
Om du vill gå på djupet med den tekniska biten så rekommenderar jag länken nedan, där finns fler än 200 säkerhetstips för att efterleva kraven i PCI.
Så följer du PCI
För att säkerställa att ditt företag lever upp till PCI-kraven ska du en gång om året avlägga en rapport till inlösande bank. Hur du rapporterar beror på hur många korttransaktioner ditt företag har per år.
Här listar jag en överblick av de olika kategorier som finns.
Om du har fler än 6 miljoner korttransaktioner per år så ska du varje år göra en revision med en ackrediterad revisor (PCI QSA) som bekräftar att företaget följer PCI-reglerna. QSA står för Qualified Security Assessor.
Om du har mellan 1 och 6 miljoner korttransaktioner per år så ska du fylla i ett självskattningsformulär (SAQ). Det sker en gång per år och visar att du efterlever PCI-kraven. Du kan även behöva göra en revision med en ackrediterad revisor (PCI QSA).
Om du har mellan 20 000 och 1 miljon korttransaktioner/år inom e-handel rapporterar du genom ett självskattningsformulär (SAQ) en gång om året. Det här är det vanligaste sättet att rapportera, och jag kommer strax att skriva mer om självskattningsformulär.
Om du har färre än 1 miljon korttransaktioner per år, eller 20 000 korttransaktioner per år inom e-handel är det upp till inlösande bank att bestämma hur du ska rapportera att du lever upp till PCI-kraven.
Alla företag, oavsett antal transaktioner, behöver göra en extern sårbarhetsskanning varje kvartal. Det görs av en ASV (Approved Scanning Vendor), ett företag som är godkänt av PCI SSC för att genomföra en sådan undersökning.
Slutsatsen är att alla företag som hanterar kortbetalningar måste redovisa (för kortföretagen och inlösande bank) att de följer PCI.
Så hur gör man det rent praktiskt?
Bli godkänd enligt PCI
PCI kan verka snårigt, så vi har försökt att förenkla det.
När du använder Worldline som inlösande bank får du ett verktyg som hjälper dig att bli validerad och rapportera enligt PCI.
Men vad gör vårt PCI-verktyg rent konkret då?
Jo, det hjälper dig att hantera allt som har med PCI att göra.
Viktiga funktioner är:
● PCI-validering (en steg-för-steg guide som tar dig genom SAQ)
● Sårbarhetsskanning (ASV scans)
● Utbildningar och övningar
● Rapporter och monitorering
● Säkerhetstester
Verktyget är smidigt att använda och designat för att snabbt och enkelt få företag att komma i fas med PCI-arbetet. Det gör det enkelt att bli godkänd enligt PCI!
Om ditt företag, mot förmodan, inte skulle leva upp till PCI-kraven, vad händer då?
Om din verksamhet inte efterlever PCI finns det en stor risk att företag och kortanvändare kan komma att utsättas för bedrägerier.
PCI skapades för att skydda företag och kortanvändare globalt. Om ditt företag äventyrar det skyddet riskerar ni dryga böter.
Hur stora böter det skulle bli varierar, men för att inte riskera något: Se till att leva upp till PCI-kraven!
Vill du veta mer om PCI?
Vi hoppas att den här artikeln gav dig en bra översikt av vad PCI är och hur du ska göra för att leva upp till de krav som ställs.
På den officiella hemsidan för PCI SSC finns mer information: https://www.pcisecuritystandards.org/
Om du har några frågor gällande PCI i allmänhet eller Worldlines PCI-verktyg i synnerhet, hör av dig så hjälper vi dig gärna.