Hvad er PCI, og hvad betyder det for min forretning?

Har du hørt om PCI.?

Det, tror jeg, der er ret stor sandsynlighed for, hvis du har en forretning, der tager imod kortbetalinger.

For hvis du accepterer så meget som bare én eneste kortbetaling, skal du jo overholde PCI’s sikkerhedsstandarder.

Men hvis du er i gang med at starte en forretning, eller hvis du er i tvivl om, hvad PCI virkelig er, er den her artikel noget for dig.

I artiklen her får du en gennemgang af, hvad PCI er, hvorfor det findes, hvad du skal gøre, og hvad det reelt betyder for din forretning.

Lad os starte med det grundlæggende:

PCI DSS er en forkortelse for Payment Card Industry Data Security Standard og er en sikkerhedsstandard, der gælder hele kortbranchen. Når folk nævner PCI, er det ofte PCI DSS, de mener.

Formålet med PCI DSS er at forbedre sikkerheden i forbindelse med kortbetalinger for forbrugere verden over ved at sikre fælles standarder for virksomheders behandling af kortdata.

Sikkerhedsstandarden blev udviklet af kortnetværkene Visa, Mastercard, American Express, JCB og Discover.

Standarden vedligeholdes af Payment Card Industry Security Standards Council (PCI SSC), der blev oprettet i 2006. PCI SSC er ansvarlig for at udvikle PCI DSS.

Hvem gælder PCI DSS så for?

PCI DSS gælder for alle virksomheder, der lagrer, behandler, overfører eller på anden måde håndterer kortdata.

Uanset om du kun behandler én korttransaktion, skal du overholde PCI DSS.

Og hvad betyder det så at overholde PCI DSS?

PCI DSS har 6 overordnede mål samt 12 tekniske og operationelle krav.

Hav et sikkert netværk 

  • Krav 1: du skal sikre, at din virksomhed installerer og vedligeholder en firewall, der beskytter jeres kortdata
  • Krav 2: du må ikke benytte standardindstillinger til systempasswords og andre sikkerhedsparametre

Beskyt jeres kortdata

  • Krav 3: du skal beskytte jeres kortdata
  • Krav 4: du skal kryptere kortdata, som I sender over åbne offentlige netværk

Håndter sårbarheder med faste procedurer 

  • Krav 5: du skal benytte antivirus-software og opdatere den jævnligt
  • Krav 6: du skal udvikle og vedligeholde jeres sikkerhed i systemer og applikationer løbende

Implementer en stærk adgangskontrol

  • Krav 7: du skal begrænse adgangen til kortdata i forhold til forretningsbehovet, så færrest muligt kan komme til dem
  • Krav 8: hver bruger af jeres computernetværk skal have et unikt ID
  • Krav 9: færrest muligt skal have fysisk adgang til kortdata

Overvåg og test jeres netværk løbende

  • Krav 10: du skal overvåge al adgang til jeres netværk og kortdata
  • Krav 11: du skal foretage jævnlige test af sikkerhedssystemer og processer

Oprethold en sikkerhedspolitik 

  • Krav 12: du skal opretholde en stram sikkerhedspolitik