PCI DSS

Payment Card Industry Data Security Standard, eller kort sagt PCI DSS, utvecklades av PCI Security Standards Council och är en globalt accepterad säkerhetsstandard för kreditkortstransaktioner som syftar till att skydda konsumenter och företag från missbruk av data och bedrägerier. I huvudsak innehåller regelverket tolv olika krav på företag som erbjuder kreditkortsbetalningar. Eftersom alla större kreditkortsföretag, t.ex. VISA, Mastercard och American Express, har enats om denna standard är den juridiskt bindande för alla deltagande företag, t.ex. leverantörer av abonnemangsbaserade tjänster eller nätbutiksoperatörer. I den här artikeln får du veta allt du behöver veta om PCI DSS-överensstämmelse för ditt företag och för valet av verktygs- och plattformsleverantörer, vilka krav som ställs på företagen och vilka fördelar som är förknippade med överensstämmelse med PCI Data Security Standards.

Table of Contents

Vad är PCI DSS?

PCI DSS-certifierat företag | Company billwerk GmbH | Payment Card Industry Data Security Standard


PCI DSS är en bindande standard för alla kreditkortsorganisationer och syftar till att skydda kortmottagande företag och köpare från datastöld. En förutsättning för effektiv PCI-överensstämmelse är att PCI DSS-överensstämmelse är obligatoriskt reglerad i företagets allmänna villkor. Dessutom måste man regelbundet bevisa att företaget fortsätter att vara PCI-kompatibelt.

PCI:s säkerhetsstandarder bygger på säkerhetsreglerna för kreditkortsorganisationerna VISA, Mastercard, American Express, Discover och JCB. Alla företag som accepterar kreditkort som betalningsmetod berörs av dessa bestämmelser. Man skiljer mellan:

  • Stora handlare och tjänsteleverantörer med mer än 6 miljoner kreditkortstransaktioner per år.
  • Handlare med mellan 20 000 och 6 miljoner transaktioner
  • E-handlare med mindre än 1 miljon transaktioner.

En e-handlare måste anlita en PCI DSS-certifierad tjänsteleverantör för transaktionshantering för att kunna erbjuda PCI-kompatibla betalningstransaktioner. Banker och sparkassor ger också råd och stöd och erbjuder ofta sina egna eller partners handelsföretag att utföra sårbarhetsanalyser eller säkerhetskontroller på plats.

Det är dock endast möjligt att nämna PCI DSS-överensstämmelse i allmänna villkor när alla tolv krav för ett företags datornätverk har uppfyllts.

Vilka är kraven för PCI DSS-överensstämmelse?

PCI Rulebook, som alla handlare och tjänsteleverantörer måste följa, består av tolv obligatoriska krav:

  • Installera och regelbundet uppdatera brandväggen för att skydda data.
  • Ändra regelbundet systemets lösenord eller andra säkerhetsinställningar och använd inte standardlösenord, t.ex. sådana som tillhandahålls av leverantörer eller tillverkare.
  • Att skydda kreditkortsinnehavarnas lagrade uppgifter har högsta prioritet. Detta innebär att du inte lagrar dem i onödan (t.ex. endast en del av kreditkortsnumret och inga PIN-koder eller verifieringskoder).
  • Krypterad överföring av kortinnehavaruppgifter och känslig information i öppna nätverk.
  • Använd och uppdatera regelbundet erkända antivirusprogram.
  • Utveckling och användning av säkra system och tillämpningar
  • Säkerställa att åtkomsten till uppgifter är begränsad till enbart affärssyften.
  • Varje person som har tillgång till en dator behöver ett eget användar-ID.
  • Begränsning av fysisk åtkomst till uppgifter om kreditkortsinnehavare.
  • Registrering och övervakning av all åtkomst till nätverksresurser och uppgifter om kreditkortsinnehavare.
  • Regelbunden översyn av alla säkerhetssystem och processflöden.
  • Upprätta och följa en företagspolicy som reglerar ämnet informationssäkerhet.

PCI Security Standards Council erbjuder mer detaljerade resurser i ämnet.

Vad betyder detta för prenumerationsekonomin?

Förutom digitala betalningsmetoder som SEPA-autogiro, Paypal eller In-App-Purchase använder en del abonnemangskunder kreditkortsbetalningar, även omkreditkort som betalningsmetod minskar relativt sett. PCI:s datasäkerhetsstandard måste därför vara grunden för varje affärsmodell för abonnemang för att upprätthålla en förtroendefull relation med kunderna. Det speciella med prenumerationsbaserade affärsmodeller är den återkommande och automatiserade processen för vilken kunden har ingått ett avtal med företaget.

En abonnemangsleverantör måste alltså å ena sidan garantera en bekväm betalningshantering som gör abonnemanget rättvisa, å andra sidan har säkerheten för kundens uppgifter och därmed en begränsad lagring av hans uppgifter högsta prioritet.

Vilka är fördelarna med PCI DSS?

Ett företag som erbjuder PCI DSS-kompatibla kreditkortsbetalningar tar inte bara ett enormt steg i riktning mot potentiella kunder, utan öppnar samtidigt upp marknaden för kunder som föredrar kreditkortsbetalningar. Startup-företag och företag under uppbyggnad måste vara medvetna om att betalning med kreditkort endast kan erbjudas som ett alternativ om de uppfyller PCI-bestämmelserna. Det som låter som en massa byråkrati har också sina goda sidor ur operativ synvinkel. Många betalningsleverantörer erbjuder ett helt bekymmersfritt paket där betalningssättet kreditkort kan införas med lite teknisk kunskap.

Slutsats: Framtidssäker säkerhetsstandard

PCI Data Security Standard är ett globalt accepterat skydd för köpare och säljare. På grund av dess integritet och utbredning finns det för närvarande ingen anledning att tro att detta kommer att förändras inom en överskådlig framtid. Vad som däremot kommer att förändras är själva säkerhetsstandarderna. Det är därför absolut nödvändigt med ständiga uppdateringar för att ta hänsyn till de ständiga hoten utifrån. De regler och kontroller som beskrivs måste därför inte bara införas och ständigt följas, utan också uppdateras i tid. Endast på detta sätt kan kunderna, men även det egna företaget, skyddas från oönskad åtkomst och brottsliga handlingar.

När du väljer en plattform för prenumerationshantering och vid intern utveckling bör du därför vara uppmärksam på leverantörens/utvecklarens PCI DSS-överensstämmelse. Helst ska den vara PCI DSS-certifierad.