PCI DSS (Payment Card Industry Data Security Standard)

Hvad er PCI DSS?

PCI DSS er en bindende standard for alle kreditkortselskaber og skal beskytte kortmodtagende virksomheder og købere mod datatyveri. En forudsætning for effektiv PCI-overholdelse er, at PCI DSS-overholdelse er obligatorisk reguleret i virksomhedens generelle forretningsbetingelser. Desuden skal der regelmæssigt fremlægges bevis for, at virksomheden fortsat er PCI-kompatibel.

PCI-sikkerhedsstandarderne er baseret på de respektive sikkerhedsregler for kreditkortorganisationerne VISA, Mastercard, American Express, Discover og JCB. Alle virksomheder, der accepterer kreditkort som betalingsmetoder, er berørt af disse bestemmelser. Der skelnes mellem:

• Store handlende og tjenesteudbydere med mere end 6 millioner kreditkorttransaktioner om året
• Købmænd mellem 20.000 og 6 millioner transaktioner
• E-handelsforhandlere med mindre end 1 million transaktioner

En e-handelsforhandler skal bestille en PCI DSS-certificeret tjenesteudbyder til transaktionsbehandling for at kunne tilbyde PCI-kompatible betalingstransaktioner. Med henblik herpå yder banker og sparekasser også rådgivning og støtte og tilbyder ofte deres egne eller partnerhandlertjenester til at udføre sårbarhedsanalyser eller sikkerhedstjek på stedet.

Det er dog kun muligt at nævne PCI DSS-overholdelse i GTC’en, når alle tolv krav til en virksomheds computernetværk er opfyldt.

Hvad er kravene til overholdelse af PCI DSS?

PCI-regelsættet, som enhver forhandler eller tjenesteudbyder skal overholde, består af tolv obligatoriske krav:

• Installation og regelmæssig opdatering af firewallen for at beskytte data
• Skift regelmæssigt systemadgangskoder eller andre sikkerhedsindstillinger, og brug ikke standardadgangskoder, som f.eks. dem, der leveres af leverandører eller producenter.
• Beskyttelse af kreditkortindehavernes lagrede data er en topprioritet. Dette indebærer bl.a., at du ikke gemmer dem unødigt (f.eks. kun en del af kreditkortnummeret og ingen pinkoder eller bekræftelseskoder).
• Krypteret overførsel af kortholderdata og følsomme oplysninger i åbne netværk
• Brug og opdater regelmæssigt anerkendt antivirus-software
• Udvikling og anvendelse af sikre systemer og applikationer
• Sikring af, at dataadgang kun er begrænset til forretningsmæssige formål
• Hver person med computeradgang skal have sit eget bruger-id
• Begrænsning af den fysiske adgang til kreditkortindehaveroplysninger
• Registrering og overvågning af al adgang til netværksressourcer og kreditkortindehaverens data
• Regelmæssig gennemgang af alle sikkerhedssystemer og processtrømme
• Etablering og overholdelse af en virksomhedspolitik, der regulerer emnet informationssikkerhed

PCI Security Standards Council tilbyder mere detaljerede ressourcer om emnet.

Hvad betyder det for abonnementsøkonomien?

Ud over digitale betalingsmetoder som SEPA-betaling, Paypal eller In-App-Purchase anvendes kreditkortbetaling ofte af abonnementskunder i Tyskland med en andel på ca. 8 %, selv om dens andel af de anvendte betalingsmetoder relativt set er faldende (se også Billwerk+ Whitepaper “Subscription Based Services“). PCI Data Security Standard skal derfor være grundlaget for enhver forretningsmodel for abonnementer for at opretholde et tillidsfuldt forhold til kunderne. Det særlige ved abonnementsbaserede forretningsmodeller er den tilbagevendende og automatiserede proces, som kunden har indgået en kontrakt med virksomheden om.

Så på den ene side skal en abonnementsudbyder sikre en bekvem betalingsbehandling, der yder et abonnement retfærdighed, og på den anden side har kundens datasikkerhed og dermed en begrænset opbevaring af hans data højeste prioritet.

Hvad er fordelene ved PCI DSS?

En virksomhed, der tilbyder PCI DSS-kompatibel kreditkortbetaling, tager ikke kun et enormt skridt i forhold til potentielle kunder, men åbner samtidig markedet for kunder, der foretrækker kreditkortbetalingsmetoden. F.eks. skal nystartede virksomheder og virksomheder under oprettelse være opmærksomme på, at betaling med kreditkort kun kan tilbydes som en mulighed, hvis de overholder PCI-reglerne. Det, der lyder som en masse bureaukrati, har også sine gode sider i operationel henseende. Mange tjenesteudbydere tilbyder en allround-sorgløs pakke, hvor kreditkortbetalingsmetoden kan implementeres med lidt teknisk knowhow.

Konklusion: Fremtidssikret sikkerhedsstandard

PCI Data Security Standard er en globalt accepteret beskyttelse for købere og sælgere. På grund af dens integritet og udbredelse er der i øjeblikket ingen grund til at tro, at dette vil ændre sig inden for en overskuelig fremtid. Det er imidlertid selve sikkerhedsstandarderne, der vil blive ændret. Det er derfor absolut nødvendigt med løbende opdateringer for at tage hensyn til de konstante trusler udefra. De beskrevne regler og kontroller skal derfor ikke blot indføres og overholdes løbende, men også altid ajourføres rettidigt. Kun på denne måde kan kunderne, men også ens egen virksomhed, beskyttes mod uønsket adgang og kriminelle handlinger.

Når du vælger en platform til administration af abonnementer, og i tilfælde af intern udvikling, skal du derfor være opmærksom på leverandørens/udviklerens overholdelse af PCI DSS-kravene. Ideelt set bør den være PCI DSS-certificeret.