PCI - säker hantering av kortuppgifter

"Payment Card Industry Data Security Standard" kallas vanligtvis endast för PCI och är en säkerhetsstandard för hantering av kortuppgifter som skapats av Visa och Mastercard. Även American Express, Diners Club och JCB är anslutna till samma standard som gäller både för fysiska kortköp och köp online.

Vad är syftet med PCI?

Om du har en butik eller e-handel där kunder betalar med kort är du ansvarig för att obehöriga inte ska kunna komma åt den kort- och kundinformation du hanterar. PCI är en standard som du - och alla andra som hanterar kortuppgifter - behöver följa för att säkerställa att det inte sker.

PCI säkerhetsstandard bygger på Visas program Account Information Security, AIS, och Mastercards program Site Data Protection, SDP. Standarden gäller för alla som hanterar, samlar in, lagrar och överför kortinformation. Fysiska dokument och elektronisk media (till exempel kvitton, transaktionsloggar och transaktionsrapporter) som innehåller kortinformation ska lagras på en säker plats, som endast behöriga personer har tillgång till.

PCI 3.2

Säkerhetsstandarden PCI uppdateras regelbundet. Den aktuella versionen är 3.2.1 som lanserades den 1 januari 2019. I tidigare versioner användes krypteringsprotokollet SSL, men från version 3.2 används endast senare versioner av protokollet TLS för kryptering av information från betal- och kreditkort. Läs mer i Read more on SSL/early TLS migration.

Vad gäller för e-handlare?

Om du driver en e-handel som på egen hand hanterar kortuppgifter måste du säkerställa att hanteringen lever upp till PCI-kraven. Det kan du göra med ett självutvärderingsformulär som heter SAQ A EP. Använder du en så kallad hostad (lagrad eller "hosted" hos betalväxeln) betallösning så berörs du inte av detta.

En hostad lösning innebär att när kunden skriver in sitt kortnummer för att betala så görs det på en hemsida som ägs av en PCI-certifierad betalväxel. Lagring, transport eller hantering av kortinformation sker endast hos den PCI-certifierade betalväxeln och inte hos ditt företag eller annan part/leverantör.

Om du som e-handlare inte har en hostad lösning idag så rekommenderar vi att du byter för att slippa själv gå igenom hundratals säkerhetskrav kring hur kortuppgifter ska skyddas. Kontakta din betalväxel för att ta reda på hur du byter.

Du kan läsa mer om olika typer av e-handelslösningar och vilken kravlista som gäller för respektive lösning i Processing e-commerce payments Guide (PDF).

Kassaintegrerad terminal

Har du en terminal som är integrerad med ditt kassasystem? Här kan du se om din utrustning är godkänd enligt PCI. Ladda ned listan över godkända integrerade kassasystem.

Vill du veta mer om PCI?

PCI Kortsäkerhet Mastercard
PCI Kortsäkerhet Visa
PCI Standarden (PCI Security Council)

Vad behöver du göra?

Beroende på hur många kortköp ditt företag har per år och vilken miljö köpen genomförs i är det olika åtgärder som ska genomföras för PCI. Kraven för PCI är dock samma för alla företag, skillnaden ligger i hur man intygar att man lever upp till standarden.

Vill du ha hjälp på vägen?

Vi tar ansvar för att säkerhetskraven möts i våra betallösningar, oavsett om du tar betalt i butik eller online. Även vår kortinlösen är certifierad. 

Har du frågor om PCI får du gärna höra av dig till oss genom att fylla i vårt formulär eller på telefon 08-411 10 80.