PCI checklista
Du som tar betalt med kort har ansvar för att skydda kort- och transaktionsinformation från obehöriga. Här har vi sammanställt några av de viktigaste PCI-kraven ditt företag behöver följa för att säkerställa att informationen hanteras på ett korrekt sätt.
- Undvik att lagra kortinformation eller annan känslig information.
- Säkerställ att kortinformation som lagras är krypterad.
- Säkerställ att den fullständiga kortinformationen i kortets magnetspår eller chip samt kortets säkerhetskod (de tre sista siffrorna som är tryckta i signaturfältet) inte lagras efter avslutad kortbetalning*.
- Säkerställ att kortnummer alltid trunkeras, det vill säga aldrig trycks i sin helhet på kvitton eller annat tryckt media*.
- Radera kortinformation som inte används.
- Säkerställ att teknisk service genomförs på ett sätt så att kortinformation inte hamnar i orätta händer.
- Behörighetsskydda tillgången till kortinformation med användaridentiteter och lösenord.
- Säkerställ att utgivna behörigheter inte sprids till obehöriga.
- Säkerställ att användandet av behörigheter kan spåras.
- Säkerställ de interna rutinerna för att undvika insiderbrott eller externa intrång i systemet.
- Installera och underhåll säkerhetsprogramvara och skydda systemet mot datavirus.
- Genomför regelbundet tester av säkerhetssystemet.
- Utbilda och ge instruktioner till behörig personal som har tillgång till den tekniska utrustningens lösenord.
- Säkerställ att fysiska och elektroniska underlag som innehåller kortinformation förvaras på ett säkert sätt (till exempel inlåst) så att endast behöriga personer har tillgång till dem. Dessa kan exempelvis vara betalterminalens kvitto, transaktionsloggar, notaförfrågningar, återdebiteringsbrev, datorer, nätverks- och kommunikationshårdvara.
- Säkerställ att fysiska och elektroniska underlag med kortinformation makuleras på ett säkert sätt när de inte längre behövs.
- Ge all personal som hanterar bokföring och administration, inklusive kassapersonalen, information om vilket ansvar de har för kortinformationen och vilka rutiner som gäller.
- Placera den tekniska utrustningen (betalterminalen) så att inte obehöriga kan komma åt den och dess innehåll.
- Kontrollera den tekniska utrustningen varje dag för att se till att ingen manipulering av den har skett.
- Förvara lösenord så de inte blir tillgängliga för obehöriga.
- Byt lösenord med jämna mellanrum och så fort misstanke finns om att ett lösenord har lämnats ut till någon obehörig.
- Säkerställ att innehållet inte blir tillgängligt för någon obehörig vid försäljning eller ”skrotning” av teknisk utrustning.
*Krav du ska ställa på den tekniska utrustningen
Har du frågor?
Vill du veta mer om PCI eller är du ute efter en betallösning som gör det enklare för dig att leva upp till PCI-kraven? Hör av dig till oss via vårt kontaktformulär eller på telefon 08-411 10 80.