PCI - sådan bliver du påvirket

Alt efter hvor mange kortkøb din virksomhed har årligt, og i hvilket miljø købene gennemføres, er der forskellige foranstaltninger, som skal gennemføres for PCI. Kravene til PCI er dog de samme for alle virksomheder, forskellen ligger i, hvordan man bekræfter, at man lever op til standarden.

Til større virksomheder 

Hvis du har en butik med mindst 1 million kortkøb om året eller en netbutik med 20.000-1 million kortkøb om året, gælder specifikke krav for din virksomhed vedrørende PCI. Om nødvendigt bliver du kontaktet af os, og vi sørger i fællesskab for, at du overholder kravene til PCI.

I tabellen kan se, hvor ofte forskellige former for revision skal foretages for forskellige virksomheder.

Niveau Kriterier Revision på stedet (On-site Audit) Egenvurdering (Self Assessment) Ekstern netværksscanning
 1 Virksomheder med mere end 6 millioner kortkøb fra Visa eller MasterCard årligt Årligt Intet krav Kvartalsvis
 2 Virksomheder med mellem 1-6 millioner kortkøb fra Visa eller MasterCard årligt Årligt1 Intet krav Kvartalsvis
 3 Virksomheder med mellem 20.000 og 1 million kortkøb fra Visa eller fra MasterCard årligt Intet krav Årligt Kvartalsvis
 4
Øvrige virksomheder

Intet krav Anbefales årligt Anbefales årligt

1Virksomheder, der tilhører niveau 2, og som modtager transaktioner online (kriterier læst i form  SAQ A / SAQ A-EP) eller via betalingsterminal, der matcher kriterierne i SAQ D, foretager årlige on-site revisioner med en godkendt revisor (QSA / ISA). Virksomheder, der tilhører niveau 2, hvis miljøer matcher kriterierne i B-IP, C-VT, C ​​eller P2PE, kan i stedet have mulighed for at foretage en årlig selvundersøgelse.

Virksomheder i visse brancher på niveau 4 skal certificeres og i givet fald kontaktes af os.

Hvad betyder metoderne for revision?

  • Revision på stedet – virksomhederne benytter en revisor, som er godkendt* af MasterCard og Visa. Revisoren foretager en revision af sikkerhedsprocedurer og håndtering og lagring af transaktionsinformation på stedet.
  • Egenrevision – består af en formular, som virksomheden udfylder.
  • Ekstern netværksscanning - værktøj fra godkendt leverandør (Approved Scanning Vendor) scanner eksterne IP-adresser for at afdække eventuelle sikkerhedsbrister i computernetværk.

* På www.pcisecuritystandards.org findes en liste med revisorer, der er godkendt af Visa og MasterCard, samt de lande, hvor de opererer.

Skærpede krav i 2024

PCI DSS v4.0 blev lanceret i marts 2022 og vil være obligatorisk fra 2024 og fremefter. Den nu opdaterede standard indeholder en række skærpelser og præciseringer. Blandt de vigtigste af disse er kravet om, at alle kunder, der benytter e-handel, skal foretage ekstern scanning for at bevise at de fortsat lever op til kravene. Scanningen skal udføres af en ASV (Godkendt scanningsleverandør).