Skip to content | Go to main menu

Tillbaka till juridik

Information om PCI DSS 

Vad innebär PCI DSS-efterlevnad?

PCI DSS-efterlevnad innebär att ditt företag uppfyller PCI DSS-kraven vid varje tidpunkt och har giltig dokumentation som bevis på detta. 
Giltiga PCI DSS-dokument inkluderar ett korrekt ifyllt Self-Assessment Questionnaire (SAQ) eller en Attestation of Compliance (AoC) / Report on Compliance (ROC). Dessa kan behöva kompletteras med godkända och felfria ASV-scanningsrapporter.

PCI DSS-validering måste förnyas årligen. Löpande säkerhetsåtgärder (t.ex. kvartalsvisa ASV-scanningar, regelbundna programuppdateringar, nätverksövervakning och lösenordsbyten) ska hanteras av handlaren eller dennes tjänsteleverantörer.

Om ett säkerhetskrav inte uppfylls måste handlaren omedelbart vidta nödvändiga åtgärder för att åter uppfylla säkerhetsstandarden.

Vem måste följa PCI DSS?

PCI DSS gäller alla organisationer som tar emot, lagrar, behandlar eller överför kortdata och/eller känslig autentiseringsdata – eller på annat sätt kan påverka säkerheten i kortdatamiljön. Detta inkluderar handlare, processorer, inlösare, utgivare och andra tjänsteleverantörer.

➔ Handlare som tar emot kortbetalningar ansvarar för att alltid vara PCI DSS-kompatibla och säkerställa att alla relevanta tjänsteleverantörer de använder också följer PCI-kraven.

➔ PCI DSS-validering krävs även om alla funktioner med kortdata är helt outsourcade till PCI-godkända tjänsteleverantörer.

Hur validerar jag PCI DSS-efterlevnad?

Valideringskraven varierar beroende på verksamhetens natur, miljöns omfattning och komplexitet samt antal transaktioner som behandlas.

Loomis Pay använder främst ett Self-Assessment Questionnaire (SAQ) som verktyg för PCI DSS-validering. Den aktuella SAQ-typen måste fyllas i och godkännas. Efterlevnaden gäller endast för den miljö som intyget omfattar.

Relevanta förändringar efter genomförd bedömning – t.ex. ändringar i programvara, terminaler, webbplatser eller tjänsteleverantörer – kan kräva att ett nytt intyg tas fram.

Vem står för kostnaderna för PCI DSS-efterlevnad?

Alla kostnader för PCI DSS-efterlevnad bekostas av handlaren. Detta inkluderar valideringsåtgärder samt åtgärder för att rätta till eventuella brister och sårbarheter. 
Alla kostnader relaterade till bristande efterlevnad eller dataintrång bekostas också av handlaren.

Vilka risker finns vid bristande PCI-efterlevnad?

Exempel på allvarliga risker (ej uttömmande lista):

➔ Böter, avgifter och sanktioner från kortnätverk

➔ Säkerhetsluckor som kan leda till exponering eller förlust av känslig data

➔ Oavsiktligt eller avsiktligt utnyttjande av system- eller organisationssårbarheter

➔ Manipulation av betalningsinfrastruktur

➔ Cyberintrång

➔ Stöld av kortdata, ransomware och GDPR-överträdelser

➔ Ekonomiska, operativa och varumärkesrelaterade konsekvenser

➔ Avstängning av kortbetalningar och förlorad försäljning

➔ Akuta åtgärder och reparationer för att åtgärda sårbarheter

➔ Påtvingade forensiska utredningar och PCI-revision på plats av QSA

➔ Ökade avgifter och kostnader från kortnätverk vid intrång

➔ Allvarlig ryktesskada och negativ mediabevakning

➔ Myndighetsrapportering och finansiella sanktioner

➔ Förlorat kundförtroende

Vilka tekniska och organisatoriska krav omfattas av PCI DSS?

PCI DSS gäller alla systemkomponenter. Dessa omfattar nätverkskomponenter, servrar och applikationer som ingår i eller är anslutna till kortdatamiljön. 
Systemkomponenter inkluderar även virtualiseringsmiljöer såsom virtuella maskiner, virtuella switchar/router, virtuella applikationer och hypervisors.

Kortdatamiljön består av personer, processer och teknik som hanterar kortdata eller känslig autentiseringsdata.

För mer information om den aktuella versionen av standarden, se PCI SSC:s webbplats www.pcisecuritystandards.org

Vilka valideringskrav gäller för handlare?

Kortnätverken har fastställt vilka valideringsåtgärder och dokument som krävs beroende på handlarens PCI-nivå.

PCI – Hur påverkas du?

Beroende på hur många korttransaktioner ditt företag gör per år och i vilken miljö de behandlas krävs olika åtgärder för PCI. Kraven är desamma för alla företag, men sättet att bevisa efterlevnad skiljer sig åt. 

För större företag

Om du har en butik med minst 1 miljon korttransaktioner per år kontaktar vi dig vid behov för att säkerställa PCI-efterlevnad. 

Nedan visas hur ofta olika typer av kontroller behöver göras för olika företag.

Nivå Kriterier  Revision på plats  Självutvärdering  Extern nätverksskanning 
1 Mer än 6 miljoner Visa/Mastercard-transaktioner per år  Årligen Ej krav  Kvartalsvis 
2 1–6 miljoner Visa/Mastercard-transaktioner per år Årligen Ej krav  Kvartalsvis 
3 Gäller ej – Loomis Pay erbjuder inte e-handel -
4 Övriga företag Ej krav Rekommenderas årligen Rekommenderas årligen

 

➔ Vi använder endast B-IP-formuläret och e-handel är inte tillämpligt för vår verksamhet.

➔ Vissa företag på nivå 4 kan behöva certifiering och kontaktas då av oss.

Loomis Pay kan begära att handlaren tillhandahåller aktuella PCI DSS-valideringsdokument.


Menu

Kundtjänst

Företaget

Sverige

Language:

Copyright © 2024 Loomis Digital Solutions. Headquarters: Stockholm, Sweden. All rights reserved. Loomis Digital Solutions AB. Drottninggatan 82, 111 36 Stockholm. Organization number: 556961-5312. Loomis Pay erbjuder anpassade betallösningar. Vi erbjuder inte lån eller finansiell rådgivning.