PCI - så påverkas du
Beroende på hur många kortköp ditt företag har per år och vilken miljö köpen genomförs i är det olika åtgärder som ska genomföras för PCI ("Payment Card Industry Data Security Standard" kallas vanligtvis endast för PCI). Kraven för PCI är dock samma för alla företag, skillnaden ligger i hur man intygar att man lever upp till standarden.
För större företag
Om du har en butik med åtminstone 1 miljon kortköp per år eller en e-handel med 20 000 - 1 miljon kortköp per år så gäller specifika krav för ditt företag gällande PCI. Du kommer vid behov att bli kontaktad av oss och tillsammans ser vi till att ni följer kraven för PCI.
I tabellen kan du se hur ofta olika typer av granskning behöver göras för olika företag.
Nivå | Kriterier | Granskning på plats (On-site Audit) | Självgranskning (Self Assessment) | Extern nätverksscanning |
1 | Företag med mer än 6 miljoner kortköp från Visa eller från Mastercard per år | Årligen | Inget krav | Kvartalsvis |
2 | Företag med mellan 1 - 6 miljoner kortköp från Visa eller från Mastercard per år | Årligen1 | Inget krav | Kvartalsvis |
3 | Företag inom e-handel med mellan 20 000 och 1 miljoner kortköp från Visa eller från Mastercard per år | Inget krav | Årligen | Kvartalsvis |
4 | Övriga företag | Inget krav | Rekommenderas årligen | Rekommenderas årligen |
1Företag som tillhör nivå 2 som tar emot transaktioner online (kriterier läses i formulär
SAQ A / SAQ A-EP) eller via betalterminal som matchar kriterierna i SAQ D genomför årlig granskning på plats med godkänd revisor (QSA/ISA). Företag som tillhör nivå 2, vars miljöer matchar kriterierna i B-IP, C-VT, C eller P2PE kan ha möjlighet att istället genomföra en årlig självgranskning.
Företag inom vissa branscher på nivå 4 behöver genomgå en certifiering och kontaktas i så fall av oss.
Vad innebär metoderna för granskning?
- Granskning på plats – företaget anlitar en revisor, som har godkänts* av Mastercard och Visa. Revisorn gör en granskning av säkerhetsrutiner samt hantering och lagring av transaktionsinformation, på plats.
- Självgranskning – består av ett formulär som företaget fyller i.
- Extern nätverksscanning - verktyg från godkänd leverantör (Approved Scanning Vendor) skannar externa IP-adresser för att upptäcka eventuella säkerhetsbrister i datornätverk.
* En förteckning över revisorer som är godkända av Visa och Mastercard, samt vilka länder de är verksamma i, hittar du på www.pcisecuritystandards.org.
Skärpta krav 2024
PCI DSS v4.0 lanserades i Mars 2022 och blir obligatoriskt från 2024 och framåt. Den uppdaterade standarden innehåller ett antal skärpningar och förtydliganden. Bland de främsta av dessa återfinns kravet att alla kunder som har e-handel behöver genomföra extern scanning för att kunna bevisa compliance. Scanningen behöver vara utförd av en ASV (Approved Scanning Vendor).
Har du frågor?
Vill du ha hjälp eller har du frågor får du gärna höra av dig till oss på genom vår support eller telefon 08-411 10 80.