Information om PCI DSS
Baggrund
Loomis Pay regulerer dette i vilkårene og betingelserne. En forhandler skal til enhver tid være PCI DSS-kompatibel og kunne fremlægge dokumentation ved forespørgsel.
For at uddybe detaljerne giver nedenstående information teknisk og organisatorisk vejledning i overensstemmelse med relevante krav og acceptaftalen.
Hvor stammer det fra?
Hvad betyder PCI DSS-overholdelse?
PCI DSS-overholdelse betyder, at man til enhver tid opfylder PCI DSS-kravene og har gyldig dokumentation som bevis herfor.
Gyldige dokumenter til PCI DSS-overholdelse er enten et korrekt udfyldt PCI DSS Self-Assessment Questionnaire (SAQ) eller en Attestation of Compliance (AoC) / Report on Compliance (ROC), som eventuelt skal ledsages af rene Approved Scanning Vendor (ASV) scanningsrapporter.
Validering af PCI DSS skal fornys årligt. Løbende sikkerhedsforanstaltninger (f.eks. kvartalsvise ASV-scanninger, regelmæssig softwareopdatering, netværksovervågning, ændring af adgangskoder osv.) skal håndteres af forhandleren eller deres udpegede tjenesteudbydere.
Hvis et sikkerhedskrav ikke opfyldes, skal forhandleren straks iværksætte passende afhjælpende tiltag.
Hvem skal være PCI DSS-kompatibel?
PCI DSS-standarden gælder for alle organisationer, der accepterer, lagrer, behandler eller transmitterer kortdata og/eller følsomme autentificeringsdata eller som kan påvirke sikkerheden i kortdata-miljøet (herunder forhandlere, processorer, indløsere, udstedere og andre tjenesteudbydere).
➔ Det er et vigtigt ansvar for forhandlere, der accepterer kreditkortbetalinger, at være PCI DSS-kompatible til enhver tid og sikre, at alle relevante tjenesteudbydere, de benytter, også er PCI-kompatible.
➔ PCI DSS-validering kræves også for organisationer, der har outsourcet alle kortdatafunktioner til PCI-kompatible tjenesteudbydere.
Hvorfor er PCI DSS-overholdelse relevant for en forhandler?
PCI DSS-overholdelse fremmes af kortorganisationerne (betalingsmærkerne), som har fastlagt sikkerhedsprogrammer som et kernekrav i deres regulativer (f.eks. Visa AIS, Mastercard SDP), der omfatter PCI-overvågning, rapportering og sanktioner. Beskyttelse af betalings- og kundedata forhindrer alvorlige økonomiske og omdømmemæssige risici og er afgørende for at opbygge kundetillid som grundlag for en bæredygtig forretning.
PCI DSS-certificering er anerkendt som en global standard også uden for betalingsindustrien og bruges af instanser, forsikringsselskaber og brancheorganer (f.eks. IATA), samt af forbrugere, til at demonstrere overholdelse af gældende datasikkerhedsstandarder og kan være med til at udelukke grov uagtsomhed.
Hvordan validerer jeg PCI DSS-overholdelse?
Valideringskravene for enheder, der er underlagt PCI DSS, varierer afhængigt af virksomhedens art, kompleksitet og omfang samt antallet af transaktioner.
Hovedværktøjet, som Loomis Pay bruger til validering af PCI DSS-overholdelse, er: Self-Assessment Questionnaire (SAQ).
Dette værktøj kræver udfyldelse og bekræftelse af den gældende selvevalueringsformular. PCI DSS-overholdelse gælder for det specifikke miljø, der attesteres. Relevante ændringer efter vurderingen, der påvirker kortdatamiljøet (f.eks. software, terminaler, websteder, tjenesteudbydere), kan kræve fornyet attestering.
Hvem betaler for PCI DSS-overholdelse?
Alle omkostninger vedrørende manglende overholdelse og databrud bæres ligeledes af forhandleren.
Hvad er risikoen ved ikke at overholde PCI-standarderne?
Eksempler på (ikke-udtømmende liste over) konsekvenser og alvorlige risici ved manglende PCI-overholdelse:
➔ Brud på kontraktlige forpligtelser, hvilket kan føre til gebyrer, bøder og yderligere sanktioner
➔ Sikkerhedshuller og uforudsete risici for eksponering af følsomme data
➔ Uheldig eller svigagtig udnyttelse af organisatoriske eller systemmæssige sårbarheder
➔ Skadelig manipulation af betalingsinfrastruktur (enheder, system, organisation)
➔ Cyberangreb
➔ Kortdatatyveri, ransomware og overtrædelse af GDPR
➔ Forretningsrisici og ansvar (økonomiske, driftsmæssige og omdømmemæssige konsekvenser)
➔ Pludselig afbrydelse af kortbetalinger og dermed tab af indtægter
➔ Uplanlagt fejlfinding og udbedring af sårbarheder
➔ Krævet akut retsmedicinsk undersøgelse og PCI DSS-revision på stedet af en QSA
➔ Øgede gebyrer, bøder og erstatningskrav fra kortselskaber
➔Omdømmetab og negativ medieomtale
➔ Påkrævede offentlige rapporteringer og økonomiske sanktioner fra tilsynsmyndigheder
➔ Tab af forbrugertillid – grundlaget for din forretning og hele brancheøkosystemet
Hvad er de centrale tekniske og organisatoriske krav i PCI DSS?
PCI DSS-kravene gælder for alle systemkomponenter. I PCI DSS-sammenhæng defineres “systemkomponenter” som alle netværkskomponenter, servere eller applikationer, der indgår i eller er forbundet med kortdata-miljøet.
Det inkluderer også virtualiseringskomponenter som virtuelle maskiner, virtuelle switche/routere, virtuelle appliances, virtuelle applikationer/desktopmiljøer og hypervisorer.
Kortdata-miljøet består af mennesker, processer og teknologi, der håndterer kortdata eller følsomme autentificeringsdata. (uddrag fra "Navigating PCI DSS: Understanding the Intent of the Requirements", PCI Security Standards Council LLC)
For yderligere information om den gældende version af standarden, henvises til PCI SSC’s hjemmeside: www.pcisecuritystandards.org
Hvilke PCI-valideringskrav gælder for en forhandler?
Kortselskaberne har defineret, hvilke valideringsforanstaltninger og dokumenter der kræves som bevis for PCI DSS-overholdelse, afhængigt af forhandlerens PCI-niveau.
| PCI DSS Merchant Compliance Levels | |
| PCI DSS Merchant Levels | |
| PCI DSS Merchant Level 1 | > 6M Transactions / Year |
| PCI DSS Merchant Level 2 | 1 - 6M Transactions / Year |
| PCI DSS Merchant Level 3 | 20K - 1M Transactions / Year |
Klassificeringskriterierne for PCI-niveauet afhænger af forhandlerens behandlingsmiljø og antallet af transaktioner. Forhandlere skal validere PCI DSS-overholdelse via den relevante PCI Self-Assessment Questionnaire (SAQ).
Loomis Pay kan til enhver tid anmode forhandleren om at fremlægge aktuelle PCI DSS-valideringsdokumenter.