Fråga Advisa:

Vad är PCI DSS?

I samband med kortbetalningar på nätet har jag hört om något som heter PCI DSS, utan att förstå vad det är. Vad är PCI DSS?

Povel på Advisa svarar:

PCI DSS står för “Payment Card Industry Data Security Standard” och är ett regelverk som anger hur kund- och kortinformation ska hanteras av företag som erbjuder kortbetalningar. Genom att följa detta regelverk minskas exempelvis risken för att obehöriga kommer över känslig information.

Läs vidare för att lära dig om vad PCI DSS betyder, hur regelverket tillämpas samt varför det togs fram.

Vad betyder PCI DSS?

PCI DSS står för “Payment Card Industry Data Security Standard”. Som namnet anger är det en säkerhetsstandard som reglerar datasäkerhet kring kortbetalningar.

Samtliga företag som hanterar kortuppgifter omfattas av PCI DSS. Däremot är det olika regler som behöver följas beroende på hur företaget förväntas hantera dessa uppgifter. Det är exempelvis skillnad på kraven mellan en betalningsförmedlare och en butik.

Läs också: Hur mycket pengar får man överföra till annat konto?

Hur tillämpas PCI DSS?

De företag som omfattas av PCI DSS förväntas vara insatt i, och följa, detta regelverk. Det är ett regelverk som består av sex huvudområden och totalt över 300 tillämpningsbara regler. De sex huvudområdena är:

1. Säkert nätverk

Nätverket som används för transaktioner ska vara säkert att hantera både för företaget och dess kunder. Det kan exempelvis innebära att en tillräcklig effektiv brandvägg ska vara installerad samt att exempelvis lösenord och PIN-koder lätt ska kunna bytas.

2. Säker hantering av kortuppgifter

Eventuella kund- och kortuppgifter måste sparas på ett säkert sätt för att skyddas mot dataintrång. Vid överföring av information måste den vara krypterad.

3. Minska sårbarheter

Några exempel på åtgärder för att minska sårbarheten är uppdaterade virusprogram och operativsystem. Det ska även finnas rutiner som innebär att säkerhetsnivån ska bibehållas hög.

Läs också: Hur mycket kan man ta ut i bankomat?

4. Behörigheter

Antalet personer som har tillgång till känslig information ska begränsas. Samtliga som använder systemet ska även ha ett konfidentiellt ID-nummer eller namn.

5. Övervaka och testa

Genom att övervaka och testa säkerhetssystemet regelbundet kan eventuella svagheter upptäckas tidigt. Dessutom visar dessa tester att säkerhetssystemen fungerar enligt förväntat.

6. Säkerhetspolicy

Det ska finnas en intern säkerhetspolicy. Denna policy ska regelbundet uppdateras och kontroll ska ske att den efterföljs.

Kategorierna ovan beskrivs enbart översiktligt. Kontakta din bank för tydligare information kring hur PCI DSS behöver implementeras utifrån verksamheten inom ditt företag.

Läs också: Vad är marginalskatt?

Varför används denna standard?

Enligt finansbolaget Stripe har cirka 11 miljarder konsumentuppgifter spridits till obehöriga mellan 2005 och 2022. Detta via över 8 500 olika dataintrång. Även om det är svårt att få exakt statistik på antal dataintrång så är det uppenbart ett stort problem.

För att möta detta problem har PCI DSS tagits fram som en ministandard. Det första steget togs 2006 då Payment Card Industry Security Standards Council (PCI SSC) skapades.  Detta via ett samarbete mellan Visa, Mastercard, American Express, Discover och JCB. I stället för att varje företag skulle ha en enskild standard utarbetades PCI DSS som därmed samtliga dessa företag kräver att deras kunder följer.

Läs också: Hur mycket kan man swisha?

PCI DSS compliance – vad betyder det?

Att ett företag är compliant med PCI DSS betyder att företaget följer de krav och riktlinjer som regelverket har. Det finns fyra olika nivåer samt åtta olika SAQ-typer som avgör vilka regler som förväntas uppfyllas. Med SAQ-typ menas hur företaget integrerar med de kortbetalningar som sker.

Om inte reglerna följs

Skulle det uppstå ett dataintrång och det sedan visar sig att företaget inte följt PCI DSS kan företaget få kostsamma påföljder. Det handlar både om böter samt att företaget kan bli nekad att i framtiden ta emot kortbetalningar.

Povel Arwidson
Povel Arwidson
Uppdaterad: 2023-06-14

Flera år som ekonomi- och näringslivsreporter har gett Povel ett fundament för att leverera lättbegripliga texter inom privatekonomi här på Advisa.se.
Läs mer om Povel

 

Vanliga frågor och svar – PCI DSS

Vad menas med certifierad betalväxel?

E-butiker kan undvika PCI-certifiering genom att låta en certifierad betalväxel hantera all betalinformation. Det är ett externt företag som därmed hanterar all säkerhet kring hantering av kortuppgifterna.

Vad är QSA?

QSA står för ”Qualified Security Assessors” och är externa företag som granskar att reglerna inom PCI DSS efterlevs.

Fler besvarade frågor

Måste man betala skatt på spelvinster?

Skatt behöver inte betalas på vinster från spelbolag med svensk licens. Däremot kan skatt tillkomma för tävlingsvinster eller vinster från b...
Läs mer

Hur mycket kontanter bör man ha hemma?

Att ha kontanter hemma kan vara bra vid en kris eller om digitala banker ligger nere. Men hur mycket kontanter bör man ha? Så här ser råden ...
Läs mer

Var kan man växla pengar billigast?

Dags för semester? Här går vi igenom olika metoder för att växla pengar och hur du växlar pengar billigast inför resan.
Läs mer
Spendwise
Bank Norweigan
Remember
Nordax
ICA Banken
Santander
Ikano bank
Coop
Collector
Marginalen Bank
Nordnet
Resurs