PCI DSS: Alt, hvad I skal vide for at opfylde de nye krav

PCI DSS er et sæt sikkerhedskrav, der blev skabt af Payment Card Industry Security Standards Council (PCI SSC) tilbage i 2004. PCI SSC omfatter de største kortnetværk (Visa, Mastercard, American Express, Discover og JCB).

PCI DSS består af 12 tekniske og operationelle krav, som PCI SSC har udviklet for at beskytte kortholderens oplysninger i forbindelse med en betaling og samtidig minimere risikoen for databrud og svindel. Kravene har også andre fordele som f.eks. at:

• Udvikle og vedligeholde sikre netværk og systemer

• Beskytte kontooplysninger og kortdata

• Installere og vedligeholde et program til at identificere sårbarheder i systemet

• Implementere robuste processer til at kontrollere adgangen til systemer

• Regelmæssig overvågning og test af netværk

• Opretholde en stram politik for datasikkerhed

Der findes andre standarder til beskyttelse af kortholderdata, men PCI DSS er den vigtigste og obligatoriske standard for forhandlere, der håndterer kredit- og debetkort.

PCI DSS-kravene gælder:

• Virksomheder, der gennemfører transaktioner med kredit- og debetkort.

• Virksomheder, der indsamler, opbevarer og overfører kortdata eller følsomme oplysninger i forbindelse med autentificering.

*Kortholderdata omfatter komplette primary account numbers (PAN) og kortindehaverens navn, udløbsdato og sikkerhedskode (CVC eller CVV).

*Følsomme autentificeringsdata henviser til sikkerhedsrelaterede oplysninger, der bruges til at verificere kortindehaveren og godkende transaktioner med kortet.

Det betyder, at alle parter, der er involveret i behandlingen af en betaling (f.eks. forhandleren, betalingsudbyderen, kortindløseren, den kortudstedende bank og andre tjenesteudbydere), skal overholde PCI DSS.

At opfylde PCI DSS-kravene handler primært om at overholde en omfattende sikkerhedsstandard, der blev skabt for at beskytte kortholderdata og garantere sikre transaktioner.

Der er 12 krav, som alle virksomheder, der overholder PCI DSS, skal opfylde:

1. Installere og vedligeholde en firewall for at beskytte kortholderdata

2. Ikke anvende leverandørernes standardadgangskoder til deres systemer og andre sikkerhedsparametre

3. Beskytte gemte kortholderdata

4. Kryptere overførsel af kortholderdata på åbne, offentlige netværk

5. Beskytte alle systemer mod malware og regelmæssigt opdatere antivirussoftware

6. Udvikle og vedligeholde sikre systemer og applikationer

7. Begrænse adgangen til kortholderdata ift. forretningsbehovet

8. Identificere og godkende adgang til systemkomponenter

9. Begrænse den fysiske adgang til kortholderdata

10. Spore og overvåge al adgang til netværksressourcer og kortholderdata

11. Teste sikkerhedssystemer og processer regelmæssigt

12. Opretholde en stram politik for datasikkerhed for alle medarbejdere

For at overholde PCI DSS-kravene skal virksomheder følge disse krav og validere deres overholdelse ved at udfylde den relevante PCI DSS-dokumentation hvert år.

Virksomhederne kan enten tage det fulde ansvar for at vurdere og overholde PCI DSS-kravene eller samarbejde med en betalingsudbyder, som minimerer deres eget arbejde med at overholde kravene.

Overholdelse af PCI DSS handler først og fremmest om at leve op til branchens krav, men også om at beskytte jeres virksomhed og opbygge tillid hos jeres kunder. Der er flere fordele for jeres virksomhed:

Øget sikkerhed

PCI DSS hjælper virksomheder med at beskytte kortholderdata, reducere svindel og minimere risikoen for databrud.

Færre omkostninger

Virksomheder, der ikke overholder PCI DSS, risikerer alvorlige bøder og strafgebyrer fra kortnetværk og kortudstedende banker.

Tillid til varemærket

PCI DSS er et regelsæt, der er blevet en ny standard i betalingsindustrien. Virksomheder, der overholder disse krav, styrker deres omdømme og tillid hos banker og kunder, som kan føle sig sikre på, at virksomheden tager ansvar for deres data.

Virksomheder, der ikke overholder PCI DSS, risikerer store bøder. Manglende overholdelse gør, at følsomme kortdata bliver mere udsatte for databrud, hvilket kan medføre tab af tillid til varemærket og store bøder.

Virksomheder skal sikre, at de overholder de fastsatte PCI-krav. Manglende overholdelse af disse krav kan resultere i bøder på mellem 35.000 og 3,5 millioner kr., afhængigt af hvor alvorlige de konstaterede mangler er.

Adyen gør det lettere at overholde PCI DSS ved at tilbyde sikre integrationer, der minimerer den administrative byrde ved overholdelse, samtidig med at vi garanterer sikre transaktioner for alle parter. Vores løsninger håndterer de fleste af PCI DSS-kravene for jer, så I kan fokusere på vækst i stedet for at håndtere følsomme kortholderdata.

Sådan kan Adyens vigtigste integrationer reducere jeres arbejde med PCI DSS:

• Drop-in/Components/plugins: Disse færdigbyggede integrationer kan behandle transaktioner sikkert via Adyens servere, så I ikke behøver at opbevare eller håndtere følsomme kortdata.

• Pay by Link: Send sikre betalingslinks via e-mail eller chatfunktioner, så kunden får mulighed for at gennemføre en betaling via en sikker, Adyen-hostet løsning. På den måde behøver jeres systemer ikke at håndtere følsomme kortoplysninger.

• Hostet checkout: Adyens justerbare, sikre betalingsside kan håndtere og opbevare alle kortoplysninger i Adyens infrastruktur, hvilket minimerer jeres PCI DSS-ansvar.

• In-person payments (IPP): Adyen tilbyder sikre, fuldt krypterede kortterminaler, der sikrer, at alle kortdata behandles i overensstemmelse med kravene, hvilket minimerer jeres ansvar for transaktioner i et fysisk miljø.

Med disse integrationer kan jeres virksomhed gennemføre sikre transaktioner uden uønsket kompleksitet ved at skulle administrere og opbevare kortholderdata, hvilket minimerer jeres egen indsats med at overholde PCI DSS.

Omfattende dokumentation og kontinuerlig support

Ud over sikre integrationer tilbyder Adyen ressourcer til at hjælpe virksomheder med at forstå og opretholde overholdelsen af PCI DSS. Vores PCI DSS Compliance Guide beskriver de vigtigste krav og bedste praksis, samtidig med at den holder jer opdateret med de stadigt skiftende branchestandarder og sikkerhedsopdateringer.