Payment Card Industry Data Security Standard
Från Rilpedia
Payment Card Industry Data Security Standard (PCI DSS) är en säkerhetsstandard framtagen av bland annat Visa och MasterCard. Numera hanteras innehållet i standarden av PCI Security Standards Council.
Innehåll |
Innehållet i standarden
Standarden omfattar 6 huvudområden[1]:
- Säkerheten i nätverket,
- Skydda kortinformationen,
- Skydd mot sårbarheter,
- Behörighetskontroll,
- Övervakning och test samt
- Användning av säkerhetspolicy
Parter som omfattas
Den part som kommer i kontakt med kortnummer omfattas av regelverket, vilket innebär att flera aktörer inom kortnätverket påverkas, liksom mellanliggande aktörer. Inom e-handel handlar det främst om betalväxlar, leverantörer av e-handelsplattformar och e-handelsbutiker. För butiker som hanterar kort i den fysiska världen, omfattar det terminalleverantörer, leverantörer av programvaror, nätverksleverantörer och enheter som tillhandahåller datalagring. I mindre utsträckning omfattas även kortutgivaren, kortinlösaren och producenten av själva korten - personaliseringsbyrån och präglingsbyrån.
Kravställare
Det är Varumärkesbolagen (samlingsnamn för kortföretag som till exempel Visa och MasterCard) som genom sina avtal med medlemmarna ställer krav framför allt mot Inlösaren (oftast en bank) att säkra upp transaktionerna så att dessa uppfyller kraven enligt PCI DSS. Brott mot reglerna, till exempel vid ett dataintrång där kortnummer kommer över, kan leda till att inlösaren drabbas av böter om så inte sker. För att se till att detta sker, ställer inlösaren i sin tur krav på sina säljföretag att säkra sina miljöer enligt standarden.
Påverkan på säljföretaget
Kraven utifrån PCI DSS bestäms på hur säljföretaget tar emot kort och hur många transaktioner man har per år. För en e-butik kan man undvika att genomgå den relativt omfattande certifieringsprocessen genom att låta konsumenten lämna sina kortuppgifter hos en certifierad betalväxel. Då ansvarar betalväxeln för att upprätthålla en PCI DSS-certfiering. Som större säljföretag måste man dock genomgå processen själv.
Källa
Externa länkar
- PCI Security Standards Council, Här finns alla uppgifter kring PCI Security Standards Council.
- [2], En certifierad betalväxel måste kunna uppvisa ett sådant certifikat.
- Beskrivning av hur en certifiering går till och vart man kan vända sig.