Payment Card Industry Data Security Standard

Från Rilpedia

Version från den 20 maj 2009 kl. 21.32 av Frispar (Diskussion)
(skillnad) ← Äldre version | Nuvarande version (skillnad) | Nyare version → (skillnad)
Hoppa till: navigering, sök
Wikipedia_letter_w.pngTexten från svenska WikipediaWikipedialogo_12pt.gif
rpsv.header.diskuteraikon2.gif

Payment Card Industry Data Security Standard (PCI DSS) är en säkerhetsstandard framtagen av bland annat Visa och MasterCard. Numera hanteras innehållet i standarden av PCI Security Standards Council.

Innehåll

Innehållet i standarden

Standarden omfattar 6 huvudområden[1]:

  1. Säkerheten i nätverket,
  2. Skydda kortinformationen,
  3. Skydd mot sårbarheter,
  4. Behörighetskontroll,
  5. Övervakning och test samt
  6. Användning av säkerhetspolicy

Parter som omfattas

Den part som kommer i kontakt med kortnummer omfattas av regelverket, vilket innebär att flera aktörer inom kortnätverket påverkas, liksom mellanliggande aktörer. Inom e-handel handlar det främst om betalväxlar, leverantörer av e-handelsplattformar och e-handelsbutiker. För butiker som hanterar kort i den fysiska världen, omfattar det terminalleverantörer, leverantörer av programvaror, nätverksleverantörer och enheter som tillhandahåller datalagring. I mindre utsträckning omfattas även kortutgivaren, kortinlösaren och producenten av själva korten - personaliseringsbyrån och präglingsbyrån.

Kravställare

Det är Varumärkesbolagen (samlingsnamn för kortföretag som till exempel Visa och MasterCard) som genom sina avtal med medlemmarna ställer krav framför allt mot Inlösaren (oftast en bank) att säkra upp transaktionerna så att dessa uppfyller kraven enligt PCI DSS. Brott mot reglerna, till exempel vid ett dataintrång där kortnummer kommer över, kan leda till att inlösaren drabbas av böter om så inte sker. För att se till att detta sker, ställer inlösaren i sin tur krav på sina säljföretag att säkra sina miljöer enligt standarden.

Påverkan på säljföretaget

Kraven utifrån PCI DSS bestäms på hur säljföretaget tar emot kort och hur många transaktioner man har per år. För en e-butik kan man undvika att genomgå den relativt omfattande certifieringsprocessen genom att låta konsumenten lämna sina kortuppgifter hos en certifierad betalväxel. Då ansvarar betalväxeln för att upprätthålla en PCI DSS-certfiering. Som större säljföretag måste man dock genomgå processen själv.

Källa

  1. [1]

Externa länkar

Personliga verktyg