Payment Card Industry Data Security Standard

Payment Card Industry Data Security Standard (PCI DSS) är en säkerhetsstandard framtagen av bland annat Visa och MasterCard. Numera hanteras innehållet i standarden av PCI Security Standards Council.

Innehållet i standardenRedigera

Standarden omfattar 6 huvudområden[1]:

  1. Säkerheten i nätverket,
  2. Skydda kortinformationen,
  3. Skydd mot sårbarheter,
  4. Behörighetskontroll,
  5. Övervakning och test samt
  6. Användning av säkerhetspolicy

Parter som omfattasRedigera

Den part som kommer i kontakt med kortnummer omfattas av regelverket, vilket innebär att flera aktörer inom kortnätverket påverkas, liksom mellanliggande aktörer. Inom e-handel handlar det främst om betalväxlar, leverantörer av e-handelsplattformar och e-handelsbutiker. För butiker som hanterar kort i den fysiska världen, omfattas terminalleverantörer, leverantörer av programvaror, nätverksleverantörer och enheter som tillhandahåller datalagring. I mindre utsträckning omfattas även kortutgivaren, kortinlösaren och producenten av själva korten.

KravställareRedigera

Det är Varumärkesbolagen (samlingsnamn för kortföretag som till exempel Visa och MasterCard) som genom sina avtal med medlemmarna ställer krav framför allt mot Inlösaren (oftast en bank) att säkra upp transaktionerna så att dessa uppfyller kraven enligt PCI DSS. Brott mot reglerna, till exempel vid ett dataintrång där kortnummer kommer över, kan leda till att inlösaren drabbas av böter om så inte sker. För att se till att detta sker, ställer inlösaren i sin tur krav på sina säljföretag att säkra sina miljöer enligt standarden.

Påverkan på säljföretagetRedigera

Hur omfattande certifieringen är beror på storleken av säljföretagets försäljning och vilka säljkanaler de använder.

För en e-butik kan man undvika att genomgå den relativt omfattande certifieringsprocessen genom att låta konsumenten lämna sina kortuppgifter hos en certifierad betalväxel. Då ansvarar betalväxeln för att upprätthålla en PCI DSS-certfiering.

KällorRedigera

  1. ^ PCI SSC Data Security Standards Overview PCI Security Standards Council

Externa länkarRedigera