Handlare som accepterar kortbetalningar och tjänsteleverantörer som kan påverka säkerheten i kortinnehavarens datamiljö måste följa säkerhetskraven som definieras i Payment Card Industry Data Security Standard (PCI DSS). Loomis Pay reglerar detta i villkoren. En handlare är skyldig att alltid vara PCI DSS-kompatibel och i enlighet därmed uppvisa dokumentation på begäran. För att utöka detaljerna ger informationen nedan mer teknisk och organisatorisk vägledning, i linje med relevanta krav och godkännandeavtalet.
Vad handlar PCI DSS om?
Payment Card Industry Data Security Standard (PCI DSS) är en uppsättning tekniska och operativa krav som syftar till att säkra betalningsekosystemet i allmänhet och skydda kortdata i synnerhet mot globala säkerhetshot. PCI DSS är ett ramverk för bästa praxis för säkerhet för att skydda handlare, kortinnehavare och branschintressenter, anpassa sig till nya hot och stödja säkra betalningar över hela världen.
I stort sett handlar PCI DSS om att skydda kortdata och bygga upp kortinnehavarnas förtroende som grunden för vårt branschekosystem.
Var kommer det ifrån?
Det utvecklades av Payment Card Industry Security Standards Council (PCI SSC) – ett globalt forum för branschintressenter som leds av ledande betalningsföretag i syfte att bekämpa ökad stöld av kortdata och efterföljande bedräglig användning av stulna kortdata, och därigenom ta itu med relaterade, utvecklande branschrisker, inklusive ekonomiskt ansvar för alla inblandade parter, och förhindra förlust av konsumentförtroende.
Vad innebär det att följa PCI DSS?
PCI DSS-efterlevnad innebär att man alltid uppfyller PCI DSS-kraven och har giltig dokumentation som bevis på detta. Giltiga PCI DSS-efterlevnadsdokument är antingen ett korrekt ifyllt PCI DSS-självbedömningsformulär (SAQ) eller en intyg om efterlevnad (AoC) / rapport om efterlevnad (ROC), vilket kan behöva åtföljas av rena skanningsrapporter från godkända skanningsleverantörer (ASV).
PCI DSS-validering måste förnyas årligen. Ytterligare löpande säkerhetsåtgärder (t.ex. kvartalsvisa ASV-skanningar, regelbundna programuppdateringar, nätverksövervakning, lösenordsbyte etc.) ska hanteras av handlaren eller deras tilldelade tjänsteleverantörer.
Om något säkerhetskrav inte uppfylls är handlaren skyldig att omedelbart vidta lämpliga åtgärder för att uppfylla säkerhetsstandarderna.
Vem behöver följa PCI DSS?
PCI DSS-standarden gäller alla organisationer som accepterar, lagrar, bearbetar eller överför kortinnehavardata och/eller känsliga autentiseringsdata eller som kan påverka säkerheten i kortinnehavardatamiljön (inklusive handlare, processorer, inlösare, utfärdare och andra tjänsteleverantörer).
➔ Det är ett viktigt ansvar för handlare som accepterar kreditkortsbetalningar att alltid vara PCI DSS-kompatibla och säkerställa att alla relevanta tjänsteleverantörer som de anlitar också är PCI-kompatibla.
➔Validering av PCI DSS-efterlevnad krävs också för organisationer som helt har outsourcat alla funktioner gällande kortinnehavardata till PCI-kompatibla tjänsteleverantörer.