Guider och rapporter
Vad är PCI DSS?
Har du någonsin ställt dig frågan om hur PCI DSS fungerar? Vi går igenom vad företag behöver känna till för att garantera sin efterlevnad.
OBSDen här artikeln är avsedd att endast fungera som en guide och ska inte ses som rådgivning. Man bör alltid rådgöra med sin kortinlösare eller en Qualified Security Assessor för specifika råd. Denna artikel riktar sig främst till företag med färre än 6 miljoner transaktioner årligen.
PCI DSS är en standard för hur man hanterar transaktionell data
Mängden data ökar exponentiellt. 90 procent av all data som finns idag skapades de senaste två åren. Data kommer i många former - från statistik, till personuppgifter och inte minst transaktionsdata. Data är ibland känt som "den nya oljan" och värdet gör att dataintrång kan bli en dyr affär.Siffror visar att ett dataintrångkostar upp till 22 miljoner kronor.
PCI DSS i ett nötskall
Vad är PCI DSS?
- Står för: Payment Card Industry Data Security Standards (PCI DSS).
- Skapat av: Payment Card Industry Security Standards Council (PCI SSC).
- Mål: minska stöldrisken på kortuppgifter.
PCI DSS är till för att skydda kortuppgifter, minska bedägerier och hindra dataintrång. För att uppnå detta har oganisationen Payment Card Industry Security Standards Council (PCI SSC) skapat standarden Payment Card Industry Data Security Standards (PCI DSS).
Standaden täcker både tekniska och operationella krav och gäller för varje verksamhet som behandlar, förvarar eller använder kortuppgifter i någon utsträckning.
Vad händer om man bryter mot standarden?
Varje företag som hanterar kortuppgifter är skyldigt att följa standarden. Även fast PCI inte är lagstadgat så är det en global standard. Företag som inte följer PCI på rätt sätt riskerar hårda straff och böter.
Sju steg för att bli PCI DSS compliant
Steg 1: kartlägg hur verksamheten hanterar kortuppgifter
Skapa en översikt på hur kortuppgifter hanteras av olika delar i verksamheten. Detta behöver inkludera olika applikationer, system och anställda som hanterar den typen av data, inklusive leverantörer. Detta är något IT-avdelningen oftast ansvarar för.
Steg 2: dokumentera vilka personer, avdelningar och system som berörs av PCI DSS
Efterlevnad innebär att man hanterar kortuppgifter på rätt sätt, även från ett tekniskt perspektiv sett. I det här steget är målet att förstå hur man i dagsläget möter dessa krav. Detta kallas även "scoping" på engelska och mer information om det här steget finns påPCI SCC:s hemsida.
Steg 3: gör en utvärdering
Bedöm hur verksamhetens efterlevnad ser ut med hjälp av dokumentmallan "Self-Assessment Questionnaire A" även känt som "SAQ A". Personen som gör bedömningen behöver vara kvalificerad för att utföra den.
Steg 4: inför alla nödvändiga ändringar
Baserat på hur utvärderingen ser ut kan man behöva införa nödvändiga ändringar.
Steg 5: uppdatera SAQ A
Efter att alla ändringar är genomförda behöver dokumentet SAQ A fyllas i på nytt med uppdaterad information. Den behöver även singeras av personen som är ansvarig för risk i bolaget, t.ex. en Chief Risk Officer eller Chief Technology Officer.
Steg 6: lämna in dokumentationen till betalningsleverantören
Adyen ber alla kunder att lämna in dokumentationen till oss.
Steg 7: sätt upp nödvändig uppföljning
Efterlevnad kräver kontinuerlig uppföljning. PCI DSS är ett pågående arbete.
Två personer som utvärderar PCI DSS
För att garantera efterlevnad behöver man säkerställa att man möter PCI DSS kraven för ens verksamhet. Det kräver också att en del pappersarbete. Vi kommer att gå igenom hur man fyller i några av de viktigaste formulären, bl.a. "Self-Assessment Questionnaire A" eller "‘SAQ A".
Hur mycket pappersarbete innebär efterlevnad av PCI DSS?
PCI DSS är inte lika komplicerat som det kan verka vid en första anblick. Det kräver en del pappersarbete, t.ex SAQ A. Detta bör vara en tidig prioritet eftersom detta dokument endast kan fyllas i av företaget det berör.
Adyen kräver en del ytterligare dokumentation, beroende på vilken integration man väljer. Som Adyen kund hittar man vilken dokumentation som krävshär.
För många verksamheter kan PCI DSS upplevas som ett huvudbry, men efterlevnad behöver inte vara svårt att uppnå. Adyen erbjuder en rad krypteringstjänster när vi hanterar betalningar, för att minska mängden okrypterade kortuppgifter ett företag behöver röra vid. Dessutom är plattformen vi hanterar betalningar på helt och hållet i linje med PCI:s krav.
Vill du veta mer om PCI DSS?
Kontakta oss idag så återkommer vi inom 36 timmar
Vi hjälper dig att hitta den bästa lösningen för verksamhetens behov
Kontakta ossAnmäl dig till Adyens nyhetsbrev
Kontakta vårt kommunikationsteam
Jag bekräftar att jag har läst Adyens integritetspolicy och jag godkänner användandet av min data i enlighet med policyn.