PCI DSS: Allt ni behöver veta för att följa de nya reglerna

PCI DSS är en uppsättning säkerhetsregler som skapades av Payment Card Industry Security Standards Council (PCI SSC) redan 2004. I PCI SSC ingår de stora kortnätverken (Visa, Mastercard, American Express, Discover, och JCB).

PCI DSS utgörs av 12 tekniska och operativa krav som PCI SSC tog fram för att skydda kortinnehavarens information under en transaktion samtidigt som man ville minimera risken för dataintrång och bedrägeri. Regelverket har även andra fördelar som:

• Bygg och upprätthåll säkra nätverk och system

• Skydda kontodata

• Upprätthåll ett program för att identifiera sårbarheter i systemet

• Implementera robusta processer för att kontrollera tillgång till system

• Regelbunden bevakning och test av nätverk

• Upprätthåll en policy för att hantera information på ett säkert sätt

Det finns andra regelverk för att skydda kortinnehavarens data, men PCI DSS är det huvudsakliga och obligatoriska regelverket för handlare som hanterar kredit- och debetkort.

PCI DSS-kraven gäller:

• Företag som genomför transaktioner med kredit- och debetkort.

• Företag som samlar, lagrar och överför kortdata eller känslig data relaterad till autentisering.

*Kortinnehavarens data inkluderar fullständiga primary account numbers (PAN) samt kortinnehavarens namn, utgångsdatum och säkerhetskod (CVC eller CVV).

*Känslig autentiseringsdata syftar till säkerhetsrelaterad information som används för att verifiera kortinnehavaren och godkänna betalningar med kortet.

Detta innebär att alla parter som är involverade i att processa en betalning (t.ex handlaren, betaltjänstleverantören, kortinlösare, kortutgivande bank och andra leverantörer av tjänster) måste följa PCI DSS.

Att möta kraven för PCI DSS-regelefterlevnad handlar främst om att följa en omfattande säkerhetsstandard som skapades för att skydda kortinnehavarens data och säkerställa säkra transaktioner.

Det finns tolv krav som varje organisation som följer PCI DSS-regelverket måste efterleva:

1. Installera och upprätthåll en brandvägg för att skydda kortinnehavarens data

2. Inte använda leverantörers standardlösenord för sina system och andra säkerhetsparametrar

3. Skydda lagrad data om kortinnehavaren

4. Kryptera överföringen av kortinnehavarens data inom öppna nätverk

5. Skydda alla system mot skadlig programvara och regelbundet uppdatera sina antivirusprogram

6. Utveckla och upprätthålla säkra system och applikationer

7. Begränsa tillgång till kortinnehavarens data utifrån behov

8. Identifiera och autentisera åtkomst till systemkomponenter

9. Begränsa fysisk tillgång till kortinnehavarens data

10. Spåra och övervaka all åtkomst till nätverksresurser och kortinnehavarens data

11. Testa säkerhetssystem och processer regelbundet

12. Upprätthåll en policy som hanterar informationssäkerhet för all personal

För att leva upp till PCI DSS-regelverket måste företag följa dessa krav och validera sin regelefterlevnad genom att fylla i rätt PCI DSS-dokumentation varje år.

Företag kan antingen ta på sig fullt ansvar för att utvärdera och efterleva kraven för PCI DSS eller arbeta med en betaltjänstleverantör som minimerar deras eget arbete med regelverket.

Att följa PCI DSS handlar främst om att leva upp till branschens krav, men även om att skydda er verksamhet och bygga förtroende hos era kunder. Det finns flera fördelar för er organisation:

Ökad säkerhet

PCI DSS hjälper företag att skydda kortinnehavarens data, minska bedrägeri och minimera chansen för ett dataintrång. 

Minskade kostnader 

Företag som inte följer PCI DSS riskerar allvarliga straff och straffavgifter från kortnätverk och kortutgivande banker.

Förtroende för varumärket

PCI DSS är ett regelverk som har blivit en gyllene standard inom betalbranschen. Företag som följer regelverket stärker sitt rykte och förtroende hos banker och kunder, som kan känna sig trygga i att företaget tar ansvar för deras data.

Företag som inte följer PCI DSS kan drabbas av allvarliga påföljder. Att inte följa regelverket sätter känslig kortdata i riskzonen för dataintrång, vilket kan leda till förlorat förtroende för varumärket och höga straffavgifter.

Företag måste säkerställa att de möter de uppsatta PCI-kraven. Om man ej följer dessa etablerade krav riskerar man att betala avgifter mellan 50 000 och 5 miljoner kronor, beroende på hur allvarliga brister som uppdagas.

Adyen förenklar PCI DSS-regelefterlevnad genom att erbjuda säkra integrationer som minimerar den administrativa bördan av regelefterlevnad, samtidigt som vi säkerställer säkra transaktioner för alla parter. Våra lösningar hanterar de flesta kraven inom ramen för PCI DSS åt er, så att ni kan fokusera på tillväxt istället för hantering av känslig data.

Hur Adyens viktigaste integrationer reducerar ert arbete med PCI DSS:

• Drop-in/Components/plugins: Dessa färdigbyggda integrationer kan processa betalningar säkert via Adyens servrar så att ni slipper lagra eller hantera känslig kortdata.

• Pay by Link: Skicka säkra betallänkar via e-post eller chattfunktioner, som ger kunden chansen att avsluta en betalning via en säker, Adyen-hostad lösning. På så vis slipper era system hantera känslig kortdata.

• Hostad checkout: Adyens justerbara, säkra betalsida kan hantera och lagra all kortdata inom Adyens infrastruktur, vilket minimerar ert PCI DSS-ansvar.

• In-person payments (IPP): Adyen erbjuder säkra, fullständigt krypterade kortterminaler som säkerställer att all kortdata processas i enlighet med regelverket, vilket minimerar ert ansvar för transaktioner i fysisk miljö. 

Med dessa integrationer kan ert företag genomföra säkra betalningar utan oönskad komplexitet vad gäller hantering och lagring av kortinnehavarens data, vilket minimerar ert eget arbete med PCI DSS.

Omfattande dokumentation och kontinuerlig support

Förutom säkra integrationer tillhandahåller Adyen resurser för att hjälpa företag att förstå och upprätthålla PCI DSS-efterlevnad. Vår PCI DSS Compliance Guide beskriver viktiga krav och bästa praxis, samtidigt som den håller er uppdaterad med ständigt föränderliga industristandarder och säkerhetsuppdateringar.