PCI - sådan bliver du påvirket
Alt efter hvor mange kortkøb din virksomhed har årligt, og i hvilket miljø købene gennemføres, er der forskellige foranstaltninger, som skal gennemføres for PCI. Kravene til PCI er dog de samme for alle virksomheder, forskellen ligger i, hvordan man bekræfter, at man lever op til standarden.
Til større virksomheder
Hvis du har en butik med mindst 1 million kortkøb om året eller en netbutik med 20.000-1 million kortkøb om året, gælder specifikke krav for din virksomhed vedrørende PCI. Om nødvendigt bliver du kontaktet af os, og vi sørger i fællesskab for, at du overholder kravene til PCI.
I tabellen kan se, hvor ofte forskellige former for revision skal foretages for forskellige virksomheder.
Niveau | Kriterier | Revision på stedet (On-site Audit) | Egenvurdering (Self Assessment) | Ekstern netværksscanning |
1 | Virksomheder med mere end 6 millioner kortkøb fra Visa eller MasterCard årligt | Årligt | Intet krav | Kvartalsvis |
2 | Virksomheder med mellem 1-6 millioner kortkøb fra Visa eller MasterCard årligt | Årligt1 | Intet krav | Kvartalsvis |
3 | Virksomheder med mellem 20.000 og 1 million kortkøb fra Visa eller fra MasterCard årligt | Intet krav | Årligt | Kvartalsvis |
4 | Øvrige virksomheder |
Intet krav | Anbefales årligt | Anbefales årligt |
1Virksomheder, der tilhører niveau 2, og som modtager transaktioner online (kriterier læst i form SAQ A / SAQ A-EP) eller via betalingsterminal, der matcher kriterierne i SAQ D, foretager årlige on-site revisioner med en godkendt revisor (QSA / ISA). Virksomheder, der tilhører niveau 2, hvis miljøer matcher kriterierne i B-IP, C-VT, C eller P2PE, kan i stedet have mulighed for at foretage en årlig selvundersøgelse.
Virksomheder i visse brancher på niveau 4 skal certificeres og i givet fald kontaktes af os.
Hvad betyder metoderne for revision?
- Revision på stedet – virksomhederne benytter en revisor, som er godkendt* af MasterCard og Visa. Revisoren foretager en revision af sikkerhedsprocedurer og håndtering og lagring af transaktionsinformation på stedet.
- Egenrevision – består af en formular, som virksomheden udfylder.
- Ekstern netværksscanning - værktøj fra godkendt leverandør (Approved Scanning Vendor) scanner eksterne IP-adresser for at afdække eventuelle sikkerhedsbrister i computernetværk.
* På www.pcisecuritystandards.org findes en liste med revisorer, der er godkendt af Visa og MasterCard, samt de lande, hvor de opererer.
Når du er godkendt i henhold til PCI, modtager du et certifikat, "Attestation of Compliance", via TrustKeeper. Du får også adgang til PCI-certifikater, som du for eksempel kan placere på dit websted.