Information om PCI DSS 

Bakgrund

Handlare som accepterar kortbetalningar och tjänsteleverantörer som kan påverka säkerheten i kortinnehavarens datamiljö måste följa säkerhetskraven som definieras i Payment Card Industry Data Security Standard (PCI DSS). Loomis Pay reglerar detta i villkoren. En handlare är skyldig att alltid vara PCI DSS-kompatibel och i enlighet därmed uppvisa dokumentation på begäran. För att utöka detaljerna ger informationen nedan mer teknisk och organisatorisk vägledning, i linje med relevanta krav och godkännandeavtalet.

Vad handlar PCI DSS om?

Payment Card Industry Data Security Standard (PCI DSS) är en uppsättning tekniska och operativa krav som syftar till att säkra betalningsekosystemet i allmänhet och skydda kortdata i synnerhet mot globala säkerhetshot. PCI DSS är ett ramverk för bästa praxis för säkerhet för att skydda handlare, kortinnehavare och branschintressenter, anpassa sig till nya hot och stödja säkra betalningar över hela världen. 

I stort sett handlar PCI DSS om att skydda kortdata och bygga upp kortinnehavarnas förtroende som grunden för vårt branschekosystem.

Var kommer det ifrån?

Det utvecklades av Payment Card Industry Security Standards Council (PCI SSC) – ett globalt forum för branschintressenter som leds av ledande betalningsföretag i syfte att bekämpa ökad stöld av kortdata och efterföljande bedräglig användning av stulna kortdata, och därigenom ta itu med relaterade, utvecklande branschrisker, inklusive ekonomiskt ansvar för alla inblandade parter, och förhindra förlust av konsumentförtroende.

Vad innebär det att följa PCI DSS?

PCI DSS-efterlevnad innebär att man alltid uppfyller PCI DSS-kraven och har giltig dokumentation som bevis på detta. Giltiga PCI DSS-efterlevnadsdokument är antingen ett korrekt ifyllt PCI DSS-självbedömningsformulär (SAQ) eller en intyg om efterlevnad (AoC) / rapport om efterlevnad (ROC), vilket kan behöva åtföljas av rena skanningsrapporter från godkända skanningsleverantörer (ASV). 

PCI DSS-validering måste förnyas årligen. Ytterligare löpande säkerhetsåtgärder (t.ex. kvartalsvisa ASV-skanningar, regelbundna programuppdateringar, nätverksövervakning, lösenordsbyte etc.) ska hanteras av handlaren eller deras tilldelade tjänsteleverantörer.

Om något säkerhetskrav inte uppfylls är handlaren skyldig att omedelbart vidta lämpliga åtgärder för att uppfylla säkerhetsstandarderna.

Vem behöver följa PCI DSS?

PCI DSS-standarden gäller alla organisationer som accepterar, lagrar, bearbetar eller överför kortinnehavardata och/eller känsliga autentiseringsdata eller som kan påverka säkerheten i kortinnehavardatamiljön (inklusive handlare, processorer, inlösare, utfärdare och andra tjänsteleverantörer). 

➔ Det är ett viktigt ansvar för handlare som accepterar kreditkortsbetalningar att alltid vara PCI DSS-kompatibla och säkerställa att alla relevanta tjänsteleverantörer som de anlitar också är PCI-kompatibla. 

➔Validering av PCI DSS-efterlevnad krävs också för organisationer som helt har outsourcat alla funktioner gällande kortinnehavardata till PCI-kompatibla tjänsteleverantörer.

Varför är PCI DSS-relevans viktigt för handlare?

Efterlevnad av PCI DSS främjas genom kortorganisationer (betalningsmärken) som har ställt säkerhetsprogram som ett kärnkrav i sina regelverk (t.ex. Visa AIS, Mastercard SDP) vilket omfattar övervakning, rapportering och sanktioner av PCI-efterlevnad.

Att skydda betalnings- och kunddata förhindrar allvarliga ekonomiska och anseendemässiga risker och är också avgörande för att bygga kundernas förtroende som en grund för framgångsrika hållbara företag.

PCI DSS-certifiering är erkänd som en global standard bortom betalningsbranschen och erkänns av ytterligare instanser, försäkringsbolag och branschorganisationer (t.ex. IATA) och konsumenter, för att visa efterlevnad av uppdaterade datasäkerhetsstandarder och kan utesluta grov vårdslöshet.

Hur validerar man PCI DSS- överensstämmelse?

Valideringskraven för enheter som omfattas av PCI DSS-efterlevnad varierar beroende på verksamhetens art, miljöns komplexitet och omfattning samt antalet transaktioner som behandlas av handlaren.

Det huvudsakliga verktyget som används av Loomis Pay för validering av PCI DSS-efterlevnad är ett självbedömningsformulär (SAQ). Detta verktyg kräver ifyllande och bekräftelse av tillämpligt självbedömningsformulär. PCI DSS-efterlevnaden är giltig för den specifika miljö som attesteras. Relevanta ändringar som görs efter bedömningen och som påverkar kortdatamiljön, t.ex. programvara, terminaler, webbplats, tjänsteleverantörer, kan kräva förnyelse av attesteringen.

Vem ansvarar för kostnaderna?

Alla kostnader relaterade till handlarens efterlevnad av PCI DSS ska bäras av handlaren. Detta inkluderar valideringsåtgärder och ändringar som krävs för att åtgärda brister och sårbarheter. Dessutom ska alla kostnader relaterade till handlarens bristande efterlevnad av PCI DSS och dataintrång bäras av handlaren.

Vilka risker finns vid underlåtenhet att följa PCI?

Konsekvenser och allvarliga risker med att inte följa PCI-reglerna inkluderar som exempel (ej uttömmande lista):

➔ Brott mot avtalsenlig skyldighet som kan leda till avgifter, böter och ytterligare sanktioner för bristande efterlevnad av PCI-reglerna

➔ Säkerhetsbrister som potentiellt underskattar risken för oavsiktlig exponering eller förlust av känsliga uppgifter

➔ Oavsiktligt eller bedrägligt utnyttjande av organisatoriska eller systemsårbarheter

➔ Skadlig manipulation av betalningsinfrastruktur (enheter, systemmiljö, organisation)

➔ Cyberintrång

➔ Underlätta stöld av kortdata, ransomware-attacker och brott mot GDPR

➔ Affärsrisker och ansvar till följd av dataintrång (finansiell, anseendemässig, operativ påverkan)

➔ Plötsligt avbrott i kortbehandling och därmed förlust av försäljningsintäkter efter dataintrång

➔ Oplanerade åtgärdsarbeten för att åtgärda sårbarheter

➔ Tillämpning av ad hoc-forensisk utredning och PCI DSS-revision på plats av QSA

➔ Ökade avgifter, böter och återhämtningskostnader från kortorganisationer relaterade till intrånget

➔ Ryktesskada och medieuppmärksamhet

➔ Offentliga rapporteringskrav och ekonomiska sanktioner från tillsynsmyndigheter

➔ Förlust av konsumentförtroende som grund för din verksamhet, branschens ekosystem och intressenter

Vilka är de centrala tekniska och organisatoriska kraven i PCI DSS?

PCI DSS-krav gäller för alla systemkomponenter. I samband med PCI DSS definieras "systemkomponenter" som alla nätverkskomponenter, servers eller applikationer som ingår i, eller är anslutna till, kortinnehavarens datamiljö. "Systemkomponenter" inkluderar även alla virtualiseringskomponenter såsom virtuella maskiner, virtuella switchar/routrar, virtuella apparater, virtuella applikationer/skrivbord och hypervisorer. Kortinnehavarens datamiljö består av personer, processer och teknik som hanterar kortinnehavardata eller känslig autentiseringsdata. (utdrag från Navigating PCI DSS: Understanding the Intent of the Requirements, PCI Security Standards Council LLC)

För mer information om den aktuella versionen av standarden, se PCI SSC:s webbplats www.pcisecuritystandards.org

Vilka valideringskrav gäller för handlare?

Kortorganisationer har beskrivit vilka valideringsåtgärder som krävs för att bevisa PCI DSS-efterlevnad och vilka dokument som måste tillhandahållas enligt definitionen för handlarens PCI-nivå.

PCI DSS Merchant Compliance Level
PCI DSS Merchant Levels
PCI DSS Merchant Level 1	>6M Transactions / Year
PCI DSS Merchant Level 2	1 - 6M Transactions / Year
PCI DSS Merchant Level 3	20K - 1M Transactions / Year

PCI-DSS-v4-0-1-SAQ-B-IP.pdf

Klassificeringskriterier för handlarens PCI-nivåer är handlarens bearbetningsmiljö och antalet bearbetade transaktioner. Handlare är skyldiga att validera PCI DSS-efterlevnad genom bedömning med tillämplig PCI-självbedömningsformulär (SAQ).

Loomis Pay kan begära att handlaren tillhandahåller aktuella PCI DSS-valideringsdokument.