Payment Card Industry Data Security Standard

Från Wikipedia
Hoppa till: navigering, sök

Payment Card Industry Data Security Standard (PCI DSS) är en säkerhetsstandard framtagen av bland annat Visa och MasterCard. Numera hanteras innehållet i standarden av PCI Security Standards Council.

Innehållet i standarden[redigera | redigera wikitext]

Standarden omfattar 6 huvudområden[1]:

  1. Säkerheten i nätverket,
  2. Skydda kortinformationen,
  3. Skydd mot sårbarheter,
  4. Behörighetskontroll,
  5. Övervakning och test samt
  6. Användning av säkerhetspolicy

Parter som omfattas[redigera | redigera wikitext]

Den part som kommer i kontakt med kortnummer omfattas av regelverket, vilket innebär att flera aktörer inom kortnätverket påverkas, liksom mellanliggande aktörer. Inom e-handel handlar det främst om betalväxlar, leverantörer av e-handelsplattformar och e-handelsbutiker. För butiker som hanterar kort i den fysiska världen, omfattas terminalleverantörer, leverantörer av programvaror, nätverksleverantörer och enheter som tillhandahåller datalagring. I mindre utsträckning omfattas även kortutgivaren, kortinlösaren och producenten av själva korten.

Kravställare[redigera | redigera wikitext]

Det är Varumärkesbolagen (samlingsnamn för kortföretag som till exempel Visa och MasterCard) som genom sina avtal med medlemmarna ställer krav framför allt mot Inlösaren (oftast en bank) att säkra upp transaktionerna så att dessa uppfyller kraven enligt PCI DSS. Brott mot reglerna, till exempel vid ett dataintrång där kortnummer kommer över, kan leda till att inlösaren drabbas av böter om så inte sker. För att se till att detta sker, ställer inlösaren i sin tur krav på sina säljföretag att säkra sina miljöer enligt standarden.

Påverkan på säljföretaget[redigera | redigera wikitext]

Hur omfattande certifieringen är beror på storleken av säljföretagets försäljning och vilka säljkanaler de använder.

För en e-butik kan man undvika att genomgå den relativt omfattande certifieringsprocessen genom att låta konsumenten lämna sina kortuppgifter hos en certifierad betalväxel. Då ansvarar betalväxeln för att upprätthålla en PCI DSS-certfiering.

Källor[redigera | redigera wikitext]

  1. ^ PCI SSC Data Security Standards Overview PCI Security Standards Council

Externa länkar[redigera | redigera wikitext]