change location
PCI frågor och svar
Om oss Produkter och tjänster Nyheter Kundservice

PCI - FRÅGOR & SVAR


Vad är PCI DSS?
PCI står för Payment Card Industry Standard Data Security Standard och är en standard för hantering av kortinformation framtaget av de internationella kortnätverken MasterCard och Visa.

Varför togs denna standard fram?

Stulen kortinformation och kortbedrägerier har under en tid varit ett problem i många delar av världen och ett bekymmer för kortindustrin. Denna standard togs fram i syfte att öka säkerheten kring hantering av kortinformation och på så sätt minimera riskerna för stöld av kortdata. En viktig faktor är också att upprätthålla och stärka förtroendet för kort som betalningsmedel.

Vilka nätverk är anslutna till PCI DSS?

Förutom MasterCard och Visa som har tagit fram denna standard, så har Diners Club, American Express, JCB och Discover anslutit sig.

Är detta en global standard?

Ja. Alla säljföretag, inlösare och tredje parter som hanterar, lagrar och/eller överför kortinformation måste uppfylla PCI DSS kraven.

Vad innebär PCI DSS för ett säljföretag?

Det innebär att säljföretaget måste uppfylla säkerhetskraven som ställs inom ramen för PCI DSS. Dessa krav varierar något beroende på företagets volymer (korttransaktioner), bransch och riskklassificering. Euroline kommer att kontakta alla sina kunder för mer information angående de specifika kraven och nödvändiga åtgärder.

Vad är PCI DSS nivåer för säljföretag?

Visa och MasterCard har indelat säljföretag i olika nivåer utifrån typ av korttrans-aktioner liksom årlig volym av korttransaktioner. I tabellen nedan ser du de olika nivåerna samt vilken typ av utvärdering som ska tillämpas. Kortvolymen avser Visa- eller MasterCard-transaktioner.

Nivå
Kortvolym
(Visa eller MasterCard)
Utvärderingsmetod
Ska utföras av
1 Säljföretag som hanterar mer än 6 miljoner korttransaktioner/år a. Årlig On-site Audit *
b. Kvartalsvis sårbarhetsskanning		 a. QSA **
b. Skanning av ASV ***
2 Säljföretag som hanterar mellan 1 miljon och 6 miljoner korttransaktioner/
år		 a. Årligt PCI frågeformulär
b. Kvartalsvis sårbarhetsskanning		 a. Säljföretaget
b. Skanning av ASV ***
3 Säljföretag som hanterar mellan 20 000 och 1 miljon e-handels-transaktioner/år a. Årligt PCI frågeformulär
b. Kvartalsvis sårbarhetsskanning		 a. Säljföretaget
b. Skanning av ASV ***
4 Alla övriga säljföretag, d.v.s. säljföretag
som hanterar under 1 miljon
korttransaktioner eller säljföretag
som hanterar under 20 000 e-handelstransaktioner/år		 a. Årligt PCI frågeformulär
b. Årlig sårbarhetsskanning		 a. Säljföretaget
b. Skanning av ASV ***

* On-site Audit – En QSA besöker säljföretaget för att göra en fysisk granskning av dess hantering och lagring av kortinformation.
** QSA (Qualified Security Assessor) – är en av kortvarumärkesföreningarna godkänd PCI certifierare.
*** ASV (Approved Scanning Vendor) – är ett av kortvarumärkesföreningarna godkänt skanningsföretag.


Finns det en sammanfattning av kraven?

Ja, det finns 12 generella krav som kan sammanfattas enligt följande:
  1. Skydda nätverket och begränsa trafiken som är avsedd för verksamheten med en brandvägg
  2. Använd inte lösenord och andra säkerhetstjänster som har installerats av standardkonfigurationen
  3. Skydda all lagrad information
  4. Kryptera kortdata och annan känslig information vid transport via publika nätverk
  5. Använd en uppdaterad antivirusprogramvara
  6. Utveckla och förvalta säkra system och applikationer
  7. Fördela tillgången till data efter behov
  8. Varje användare ska logga in sig med unikt användarnamn
  9. Minimera den fysiska tillgången till kortdata
  10. Logga all tillgång till nätverken, dataresurser och kortinformation
  11. Testa säkerhetssystemen för att kontrollera att de fungerar
  12. Upprätta, förankra och underhåll en säkerhetspolicy för företagets korthantering

Är uppfyllandet av dessa krav obligatoriska eller är dessa allmänna riktlinjer för säljföretag?

Uppfyllandet av dessa krav är obligatoriska för alla säljföretag, servicebyråer, mjukvaruföretag och inlösare.

Hur och när kommer Euroline att kontakta sina kunder angående
PCI DSS?

För Euroline är detta en mycket viktig fråga, då det för oss är viktigt att våra kunder har en trygg informationssäkerhetsmiljö. Euroline kommer därför kontinuerligt att informera sina kunder i ämnet.

Vad är konsekvenserna om ett säljföretag eller en inlösare inte
uppfyller kraven?

Den part som inte uppfyller kraven riskerar stora finansiella förluster och i yttersta fall rätten till att ta emot kort som betalningsmedel.

Finns det några tips säljföretaget kan följa redan idag för en
säkrare korthantering?

  • Förvara kvitton på ett säkert ställe; gärna inlåst
  • Förvara terminalen säkert
  • Byt PIN-koden på terminalen
  • Tänk på att endast behöriga personer får utföra returer av korttransaktioner, då returbelopp alltid belastar företagets bankkonto
  • Förvara aldrig kortinformation oskyddat (gäller post- och/eller telefonorderkunder)
  • Utbilda all personal i säker korthantering

Förutom att det är ett krav på att uppfylla PCI DSS standarden,
finns det fördelar för säljföretaget?

Absolut. Ökad säkerhet är något som gynnar alla delaktiga parter
i kortbetalningssystemen. Fördelarna är många:
  • Kunskapen och säkerhetstänkandet i företaget ökar.
  • Företaget skyddas mot inkräktare i verksamhetens system och processer.
  • Företaget skyddas mot risken att drabbas av stora finansiella förluster.
  • Risken för ofördelaktig publicitet och skador på företagets varumärke minskar.
  • Ökas säkerhet ökar kundernas förtroende – kanske även försäljningen.

Var finns det mer detaljerad information?

Uppdaterad och detaljerad information finns på följande webbadresser:
www.pcisecuritystandards.org
www.visaeurope.com/aboutvisa/security/ais/main.jsp
http://sdp.mastercardintl.com