Vad är PCI DSS?

Mängden data ökar exponentiellt. 90 procent av all data som finns idag skapades de senaste två åren. Data kommer i många former - från statistik, till personuppgifter och inte minst transaktionsdata. Data är ibland känt som "den nya oljan" och värdet gör att dataintrång kan bli en dyr affär. Siffror visar att ett dataintrång kostar upp till 22 miljoner kronor.

PCI DSS är en standard för att skydda transaktionell data och minska stöldrisken på kortuppgifter. Precis som med GDPR och PSD2 är det viktigt att förstå hur PCI DSS påverkar ens verksamhet och vilka steg man behöver ta för att garantera sin efterlevnad.

Vad är PCI DSS?

PCI DSS är till för att skydda kortuppgifter, minska bedägerier och hindra dataintrång. För att uppnå detta har oganisationen Payment Card Industry Security Standards Council (PCI SSC) skapat standarden Payment Card Industry Data Security Standards (PCI DSS).

Standaden täcker både tekniska och operationella krav och gäller för varje verksamhet som behandlar, förvarar eller använder kortuppgifter i någon utsträckning.

Varje företag som hanterar kortuppgifter är skyldigt att följa standarden. Även fast PCI inte är lagstadgat så är det en global standard. Företag som inte följer PCI på rätt sätt riskerar hårda straff och böter.

Skapa en översikt på hur kortuppgifter hanteras av olika delar i verksamheten. Detta behöver inkludera olika applikationer, system och anställda som hanterar den typen av data, inklusive leverantörer. Detta är något IT-avdelningen oftast ansvarar för.

Efterlevnad innebär att man hanterar kortuppgifter på rätt sätt, även från ett tekniskt perspektiv sett. I det här steget är målet att förstå hur man i dagsläget möter dessa krav. Detta kallas även "scoping" på engelska och mer information om det här steget finns på PCI SCC:s hemsida.

Bedöm hur verksamhetens efterlevnad ser ut med hjälp av dokumentmallan "Self-Assessment Questionnaire A" även känt som "SAQ A". Personen som gör bedömningen behöver vara kvalificerad för att utföra den.

Baserat på hur utvärderingen ser ut kan man behöva införa nödvändiga ändringar.

Efter att alla ändringar är genomförda behöver dokumentet SAQ A fyllas i på nytt med uppdaterad information. Den behöver även singeras av personen som är ansvarig för risk i bolaget, t.ex. en Chief Risk Officer eller Chief Technology Officer.

Adyen ber alla kunder att lämna in dokumentationen till oss.

Efterlevnad kräver kontinuerlig uppföljning. PCI DSS är ett pågående arbete.

För att garantera efterlevnad behöver man säkerställa att man möter PCI DSS kraven för ens verksamhet. Det kräver också att en del pappersarbete. Vi kommer att gå igenom hur man fyller i några av de viktigaste formulären, bl.a. "Self-Assessment Questionnaire A" eller "‘SAQ A".

PCI DSS är inte lika komplicerat som det kan verka vid en första anblick. Det kräver en del pappersarbete, t.ex SAQ A. Detta bör vara en tidig prioritet eftersom detta dokument endast kan fyllas i av företaget det berör. 

Adyen kräver en del ytterligare dokumentation, beroende på vilken integration man väljer. Som Adyen kund hittar man vilken dokumentation som krävs här.

För många verksamheter kan PCI DSS upplevas som ett huvudbry, men efterlevnad behöver inte vara svårt att uppnå. Adyen erbjuder en rad krypteringstjänster när vi hanterar betalningar, för att minska mängden okrypterade kortuppgifter ett företag behöver röra vid. Dessutom är plattformen vi hanterar betalningar på helt och hållet i linje med PCI:s krav.