PCI - sikker håndtering af kortoplysninger

"Payment Card Industry Data Security Standard" omtales normalt kun som PCI og er en sikkerhedsstandard til håndtering af kortoplysninger, som er oprettet af Visa og MasterCard. Også American Express, Diners Club og JCB er tilknyttet samme standard, der gælder både for fysiske kortkøb og køb på nettet.

Hvad er formålet med PCI?

Hvis du har en butik, hvor kunderne betaler med kort, er du ansvarlig for, at uautoriserede personer ikke kan få adgang til de kort- og kundeoplysninger, du håndterer. PCI er en standard som du - og alle andre, der håndterer kortoplysninger - skal følge for at sikre, at det ikke sker. 

PCI sikkerhedsstandarden bygger på Visas program Account Information Security, AIS, og MasterCards program Site Data Protection, SDP. Standarden gælder for alle, der håndterer, indsamler og overfører kortoplysninger. Fysiske dokumenter og elektroniske medier (eksempelvis kvitteringer, transaktionslogfiler og transaktionsrapporter), som indeholder kortoplysninger skal lagres på et sikkert sted, som kun autoriserede person har adgang til.

PCI 3.2

Sikkerhedsstandarden PCI opdateres regelmæssigt. Den aktuelle version er 3.2.1, der blev lanceret 1. januar 2019. I tidligere versioner anvendes krypteringsprotokollen SSL, men fra version 3.2 anvendes kun senere version af protokollen TLS til kryptering af oplysninger fra betalings- og kreditkort. Læs mere i Read more on SSL/early TLS migration.

Hvad gælder for kunder, der driver en netbutik?

Hvis du driver en netbutik, der selv håndterer kortoplysninger, skal du sikre, at håndteringen opfylder PCI-kravene. Det kan du gøre via en selvevalueringsformular, kaldet SAQ A EP.  Benytter du en såkaldt hostet (lagret eller “hostet” hos Terminaloperatør/ PSP) betalingsløsning, bliver du ikke berørt af dette.

En hostet løsning betyder, at når kunden indtaster sit kortnummer for at betale, gøres det på side, som er ejet af en PCI-certificeret terminaloperatør. Lagring, overføring eller håndtering af kortoplysninger sker kun hos den PCI-certificerede terminalleverandør/PSP, og ikke hos dit firma eller anden part/leverandør.

Hvis du som driver handel på nettet, har en hostet løsning i dag, anbefaler vi at du skifter for at undgå at skulle gennemgå hundredvis af sikkerhedskrav til, hvordan kortoplysninger skal beskyttes. Kontakt din terminalleverandør/PSP for at finde ud af, hvordan du skifter.

Du kan også læse mere om forskellige typer e-handelsløsninger, og hvilken kravliste, der gælder for de respektive løsninger i Processing E-commerce Payments guide (pdf.)

POS-integreret terminal

Har du en terminal, som er integreret med dit POS-system? Her kan du se, om dit udstyr er godkendt i henhold til PCI. Download listen med godkendte integrerede POS-systemer.

Vil du vide mere om PCI?

PCI Kortsikkerhed MasterCard

PCI Kortsikkerhed Visa

PCI Standarden (PCI Security Council)

 

 

Hvad skal du gøre?

Alt efter hvor mange kortkøb din virksomhed har årligt, og i hvilket miljø købene gennemføres, er der forskellige foranstaltninger, som skal gennemføres for PCI. Kravene til PCI er dog de samme for alle virksomheder, forskellen ligger i, hvordan man bekræfter, at man lever op til standarden.

Vil du have hjælp på vejen?

Vi påtager os ansvaret for, at sikkerhedskravene opfyldes i vores betalingsløsninger, uanset om du tager mod betaling i butikken eller på nettet. Vores kortindløsning er også certificeret.

Hvis du har spørgsmål om PCI, bedes du kontakte vores support eller telefon +45 88 62 40 02.