Vad är PCI DSS?

Har du någonsin ställt dig frågan om hur PCI DSS fungerar? Vi går igenom vad företag behöver känna till för att garantera sin efterlevnad.

OBS Den här artikeln är avsedd att endast fungera som en guide och ska inte ses som rådgivning. Man bör alltid rådgöra med sin kortinlösare eller en Qualified Security Assessor för specifika råd. Denna artikel riktar sig främst till företag med färre än 6 miljoner transaktioner årligen.

PCI DSS är en standard för hur man hanterar transaktionell data

Mängden data ökar exponentiellt. 90 procent av all data som finns idag skapades de senaste två åren. Data kommer i många former - från statistik, till personuppgifter och inte minst transaktionsdata. Data är ibland känt som "den nya oljan" och värdet gör att dataintrång kan bli en dyr affär. Siffror visar att ett dataintrång kostar upp till 22 miljoner kronor.

PCI DSS är en standard för att skydda transaktionell data och minska stöldrisken på kortuppgifter. Precis som med GDPR och PSD2 är det viktigt att förstå hur PCI DSS påverkar ens verksamhet och vilka steg man behöver ta för att garantera sin efterlevnad.


PCI DSS i ett nötskall

Vad är PCI DSS?

  • Står för: Payment Card Industry Data Security Standards (PCI DSS).
  • Skapat av: Payment Card Industry Security Standards Council (PCI SSC).
  • Mål: minska stöldrisken på kortuppgifter.

PCI DSS är till för att skydda kortuppgifter, minska bedägerier och hindra dataintrång. För att uppnå detta har oganisationen Payment Card Industry Security Standards Council (PCI SSC) skapat standarden Payment Card Industry Data Security Standards (PCI DSS).

Standaden täcker både tekniska och operationella krav och gäller för varje verksamhet som behandlar, förvarar eller använder kortuppgifter i någon utsträckning.

Vad händer om man bryter mot standarden?

Varje företag som hanterar kortuppgifter är skyldigt att följa standarden. Även fast PCI inte är lagstadgat så är det en global standard. Företag som inte följer PCI på rätt sätt riskerar hårda straff och böter.

Sju steg för att bli PCI DSS compliant

Steg 1: kartlägg hur verksamheten hanterar kortuppgifter

Skapa en översikt på hur kortuppgifter hanteras av olika delar i verksamheten. Detta behöver inkludera olika applikationer, system och anställda som hanterar den typen av data, inklusive leverantörer. Detta är något IT-avdelningen oftast ansvarar för.

Steg 2: dokumentera vilka personer, avdelningar och system som berörs av PCI DSS

Efterlevnad innebär att man hanterar kortuppgifter på rätt sätt, även från ett tekniskt perspektiv sett. I det här steget är målet att förstå hur man i dagsläget möter dessa krav. Detta kallas även "scoping" på engelska och mer information om det här steget finns på PCI SCC:s hemsida.

Steg 3: gör en utvärdering

Bedöm hur verksamhetens efterlevnad ser ut med hjälp av dokumentmallan "Self-Assessment Questionnaire A" även känt som "SAQ A". Personen som gör bedömningen behöver vara kvalificerad för att utföra den.

Steg 4: inför alla nödvändiga ändringar

Baserat på hur utvärderingen ser ut kan man behöva införa nödvändiga ändringar.

Steg 5: uppdatera SAQ A

Efter att alla ändringar är genomförda behöver dokumentet SAQ A fyllas i på nytt med uppdaterad information. Den behöver även singeras av personen som är ansvarig för risk i bolaget, t.ex. en Chief Risk Officer eller Chief Technology Officer.

Steg 6: lämna in dokumentationen till betalningsleverantören​​​​​​​

Adyen ber alla kunder att lämna in dokumentationen till oss.

Steg 7: sätt upp nödvändig uppföljning​​​​​​​

Efterlevnad kräver kontinuerlig uppföljning. PCI DSS är ett pågående arbete.

Två personer som utvärderar PCI DSS

Två personer som utvärderar PCI DSS

För att garantera efterlevnad behöver man säkerställa att man möter PCI DSS kraven för ens verksamhet. Det kräver också att en del pappersarbete. Vi kommer att gå igenom hur man fyller i några av de viktigaste formulären, bl.a. "Self-Assessment Questionnaire A" eller "‘SAQ A".


Hur mycket pappersarbete innebär efterlevnad av PCI DSS?

PCI DSS är inte lika komplicerat som det kan verka vid en första anblick. Det kräver en del pappersarbete, t.ex SAQ A. Detta bör vara en tidig prioritet eftersom detta dokument endast kan fyllas i av företaget det berör. 

Adyen kräver en del ytterligare dokumentation, beroende på vilken integration man väljer. Som Adyen kund hittar man vilken dokumentation som krävs här.

För många verksamheter kan PCI DSS upplevas som ett huvudbry, men efterlevnad behöver inte vara svårt att uppnå. Adyen erbjuder en rad krypteringstjänster när vi hanterar betalningar, för att minska mängden okrypterade kortuppgifter ett företag behöver röra vid. Dessutom är plattformen vi hanterar betalningar på helt och hållet i linje med PCI:s krav. 

Vill du veta mer om PCI DSS?

Kontakta oss idag så återkommer vi inom 36 timmar

Kontakta oss idag så återkommer vi inom 36 timmar Vi hjälper dig att hitta den bästa lösningen för verksamhetens behov

Kontakta oss

Anmäl dig till Adyens nyhetsbrev

Jag medger härmed att Adyen får skicka mig nyhetsbrev med information om Adyen, om företaget och branschen, våra partners och dotterbolag, produkter och tjänster samt nya lösningar och lanseringar. Genom att skicka in detta formulär intygar du att du har läst igenom vår Integritetspolicy och godkänner användningen av data i enlighet därmed.


Are you looking for test card numbers?

Would you like to contact support?