Skip to content | Go to main menu

Information om PCI DSS

Hvad betyder PCI DSS-overholdelse?

PCI DSS-overholdelse betyder, at din virksomhed til enhver tid opfylder PCI DSS-kravene og har gyldig dokumentation som bevis herfor.
Gyldige PCI DSS-dokumenter omfatter et korrekt udfyldt Self-Assessment Questionnaire (SAQ) eller en Attestation of Compliance (AoC) / Report on Compliance (ROC). Disse kan skulle suppleres med godkendte og fejlfrie ASV-scanningsrapporter.

PCI DSS-validering skal fornyes årligt. Løbende sikkerhedsforanstaltninger (f.eks. kvartalsvise ASV-scanninger, regelmæssige softwareopdateringer, netværksovervågning og ændring af adgangskoder) skal håndteres af forretningen eller dens tjenesteudbydere.

Hvis et sikkerhedskrav ikke opfyldes, skal forretningen straks iværksætte de nødvendige afhjælpende tiltag for at leve op til standarden igen.

Hvem skal overholde PCI DSS?

PCI DSS gælder for alle organisationer, der modtager, lagrer, behandler eller transmitterer kortdata og/eller følsomme autentifikationsdata – eller på anden måde kan påvirke sikkerheden i kortdatamiljøet. Dette omfatter forretninger, processorer, indløsere, udstedere og andre tjenesteudbydere.

➔ Forretninger, der modtager kortbetalinger, har ansvaret for altid at være PCI DSS-kompatible og sikre, at alle relevante tjenesteudbydere, de anvender, også er PCI-kompatible.

➔ PCI DSS-validering kræves selv for organisationer, der har outsourcet alle kortdatafunktioner til PCI-certificerede tjenesteudbydere.

Hvordan validerer jeg PCI DSS-overholdelse?

Valideringskravene for enheder, der er underlagt PCI DSS, varierer afhængigt af virksomhedens art, kompleksitet og omfang samt antallet af transaktioner.
Hovedværktøjet, som Loomis Pay bruger til validering af PCI DSS-overholdelse, er: Self-Assessment Questionnaire (SAQ).

Dette værktøj kræver udfyldelse og bekræftelse af den gældende selvevalueringsformular. PCI DSS-overholdelse gælder for det specifikke miljø, der attesteres. Relevante ændringer efter vurderingen, der påvirker kortdatamiljøet (f.eks. software, terminaler, websteder, tjenesteudbydere), kan kræve fornyet attestering.

Hvem betaler for PCI DSS-overholdelse?

Alle omkostninger ved PCI DSS-overholdelse bæres af forretningen. Dette omfatter valideringsforanstaltninger samt afhjælpning af eventuelle mangler eller sårbarheder. 
Omkostninger ved manglende overholdelse og databrud bæres ligeledes af forretningen.

Hvilke risici findes der ved manglende PCI-overholdelse?

Eksempler på alvorlige risici (ikke udtømmende liste):

➔ Bøder og sanktioner fra kortselskaber

➔ Sikkerhedshuller, som kan medføre eksponering eller tab af følsomme data

➔ Utilsigtet eller svigagtig udnyttelse af system- eller organisationssårbarheder

➔ Manipulation af betalingsinfrastruktur

➔ Cyberangreb

➔ Tyveri af kortdata, ransomware og GDPR-overtrædelser

➔ Økonomiske, driftsmæssige og omdømmemæssige konsekvenser

➔ Afbrydelse af kortbetalinger og tab af omsætning

➔ Hastende reparationer af sårbarheder

➔ Pålagte forensiske undersøgelser og PCI-revision på stedet af QSA

➔ Øgede gebyrer og omkostninger relateret til databrud

➔ Alvorlig skade på virksomhedens omdømme

➔ Lovpligtige indberetninger og regulatoriske sanktioner

➔ Tab af kundernes tillid

Kernekrav i PCI DSS

PCI DSS gælder alle systemkomponenter, herunder netværksudstyr, servere og applikationer, som indgår i eller er forbundet til kortdatamiljøet. 
Dette omfatter også virtualiseringskomponenter såsom virtuelle maskiner, virtuelle routere/switche, virtuelle applikationer og hypervisorer.

Kortdatamiljøet består af mennesker, processer og teknologi, der håndterer kortdata eller følsomme autentifikationsdata.

For yderligere information om den gældende version af standarden, henvises til PCI SSC’s hjemmeside: www.pcisecuritystandards.org

Hvilke valideringskrav gælder for en forretning?

Kortselskaberne har fastlagt, hvilke valideringsforanstaltninger og dokumenter der kræves afhængigt af forretningens PCI-niveau.

For større virksomheder 

Hvis din butik håndterer mindst 1 million korttransaktioner om året, vil vi kontakte dig efter behov for at sikre PCI-overholdelse. 

Nedenstående tabel viser, hvor ofte forskellige typer kontroller skal udføres.

Niveau Kriterier  Revision på stedet  Selvevaluering  Ekstern netværksscanning
1 Over 6 millioner Visa/Mastercard-transaktioner om året 
 Årligt Ikke påkrævet
 Kvartalsvis
2 1–6 millioner Visa/Mastercard-transaktioner om året Årligt Ikke påkrævet
 Kvartalsvis
3 Gælder ikke – Loomis Pay tilbyder ikke e-handel
 -
4 Øvrige virksomheder
 Ikke påkrævet
 Anbefales årligt
 Anbefales årligt

➔ Vi benytter kun B-IP-formularen, og e-handel er ikke relevant for vores drift.

➔ Visse niveau 4-virksomheder i specifikke brancher kan være påkrævet at gennemgå certificering og vil i så fald blive kontaktet af os.

Loomis Pay kan anmode forretningen om at fremlægge gyldig dokumentation for PCI DSS-overholdelse.

 


Menu

Kundeservice

Virksomheden

Danmark

Language:

Ophavsret © 2024 Loomis Digital Solutions. Hovedkvarter: Stockholm, Sverige. Alle rettigheder forbeholdes. Loomis Digital Solutions AB. Drottninggatan 82, 111 36 Stockholm. Organisationsnummer: 556961-5312. Loomis Pay tilbyder skræddersyede betalingsløsninger. Vi tilbyder ikke lån eller finansiel rådgivning.