PCI - sådan bliver du påvirket
Alt efter hvor mange kortkøb din virksomhed har årligt, og i hvilket miljø købene gennemføres, er der forskellige foranstaltninger, som skal gennemføres for PCI. Kravene til PCI er dog de samme for alle virksomheder, forskellen ligger i, hvordan man bekræfter, at man lever op til standarden.
Til større virksomheder
Hvis du har en butik med mindst 1 million kortkøb om året eller en netbutik med 20.000-1 million kortkøb om året, gælder specifikke krav for din virksomhed vedrørende PCI. Om nødvendigt bliver du kontaktet af os, og vi sørger i fællesskab for, at du overholder kravene til PCI.
I tabellen kan se, hvor ofte forskellige former for revision skal foretages for forskellige virksomheder.
| Niveau | Kriterier | Revision på stedet (On-site Audit) | Egenvurdering (Self Assessment) | Ekstern netværksscanning |
| 1 | Virksomheder med mere end 6 millioner kortkøb fra Visa eller MasterCard årligt | Årligt | Intet krav | Kvartalsvis |
| 2 | Virksomheder med mellem 1-6 millioner kortkøb fra Visa eller MasterCard årligt | Årligt1 | Intet krav | Kvartalsvis |
| 3 | Virksomheder med mellem 20.000 og 1 million kortkøb fra Visa eller fra MasterCard årligt | Intet krav | Årligt | Kvartalsvis |
| 4 | Øvrige virksomheder |
Intet krav | Anbefales årligt | Anbefales årligt |
1Virksomheder, der tilhører niveau 2, og som modtager transaktioner online (kriterier læst i form SAQ A / SAQ A-EP) eller via betalingsterminal, der matcher kriterierne i SAQ D, foretager årlige on-site revisioner med en godkendt revisor (QSA / ISA). Virksomheder, der tilhører niveau 2, hvis miljøer matcher kriterierne i B-IP, C-VT, C eller P2PE, kan i stedet have mulighed for at foretage en årlig selvundersøgelse.
Virksomheder i visse brancher på niveau 4 skal certificeres og i givet fald kontaktes af os.
Hvad betyder metoderne for revision?
- Revision på stedet – virksomhederne benytter en revisor, som er godkendt* af MasterCard og Visa. Revisoren foretager en revision af sikkerhedsprocedurer og håndtering og lagring af transaktionsinformation på stedet.
- Egenrevision – består af en formular, som virksomheden udfylder.
- Ekstern netværksscanning - værktøj fra godkendt leverandør (Approved Scanning Vendor) scanner eksterne IP-adresser for at afdække eventuelle sikkerhedsbrister i computernetværk.
* På www.pcisecuritystandards.org findes en liste med revisorer, der er godkendt af Visa og MasterCard, samt de lande, hvor de opererer.
Skærpede krav i 2024
PCI DSS v4.0 blev lanceret i marts 2022 og vil være obligatorisk fra 2024 og fremefter. Den nu opdaterede standard indeholder en række skærpelser og præciseringer. Blandt de vigtigste af disse er kravet om, at alle kunder, der benytter e-handel, skal foretage ekstern scanning for at bevise at de fortsat lever op til kravene. Scanningen skal udføres af en ASV (Godkendt scanningsleverandør).
Flere forslag til dig
PCI-tjekliste
Vi har sammenfattet nogle af de vigtigste PCI-krav, din virksomhed skal følge for at sikre, at kortoplysningerne håndteres korrekt.
Reducer risikoen for svindel i din webshop
Hvad kan du gøre for at minimere risiciene for falske bestillinger og andre bedragerier? Vi har samlet nogle af de vigtigste tips.
Beskyt din e-handel med 3D Secure
Hvis du driver en webshop er 3D Secure et af de vigtigste værktøjer til sikkerhed.