Fråga Advisa:
Vad är PCI DSS?
I samband med kortbetalningar på nätet har jag hört om något som heter PCI DSS, utan att förstå vad det är. Vad är PCI DSS?
Povel på Advisa svarar:
PCI DSS står för “Payment Card Industry Data Security Standard” och är ett regelverk som anger hur kund- och kortinformation ska hanteras av företag som erbjuder kortbetalningar. Genom att följa detta regelverk minskas exempelvis risken för att obehöriga kommer över känslig information.
Läs vidare för att lära dig om vad PCI DSS betyder, hur regelverket tillämpas samt varför det togs fram.
*Räntan är rörlig och sätts individuellt. För ett annuitetslån på 0 kr med 12 års löptid, nominell ränta NaN % och 0 kr i uppläggnings-/aviavgift blir den effektiva räntan 0 %. Totalt belopp att betala: 0 kr. Månadskostnad: 0 kr fördelat på 144 betalningstillfällen. Uppdaterat 2020-09-09. Advisa arbetar med 40 kreditgivare. Din ansökan kommer att skickas till de kreditgivare som bäst matchar din profil. Återbetalningstid 1-20 år. Maximala räntan är 33,99%. Räntespann mellan: 5,20% - 33,99% (Uppdaterat februari 2024).
Vad betyder PCI DSS?
PCI DSS står för “Payment Card Industry Data Security Standard”. Som namnet anger är det en säkerhetsstandard som reglerar datasäkerhet kring kortbetalningar.
Samtliga företag som hanterar kortuppgifter omfattas av PCI DSS. Däremot är det olika regler som behöver följas beroende på hur företaget förväntas hantera dessa uppgifter. Det är exempelvis skillnad på kraven mellan en betalningsförmedlare och en butik.
Läs också: Hur mycket pengar får man överföra till annat konto?
Hur tillämpas PCI DSS?
De företag som omfattas av PCI DSS förväntas vara insatt i, och följa, detta regelverk. Det är ett regelverk som består av sex huvudområden och totalt över 300 tillämpningsbara regler. De sex huvudområdena är:
1. Säkert nätverk
Nätverket som används för transaktioner ska vara säkert att hantera både för företaget och dess kunder. Det kan exempelvis innebära att en tillräcklig effektiv brandvägg ska vara installerad samt att exempelvis lösenord och PIN-koder lätt ska kunna bytas.
2. Säker hantering av kortuppgifter
Eventuella kund- och kortuppgifter måste sparas på ett säkert sätt för att skyddas mot dataintrång. Vid överföring av information måste den vara krypterad.
3. Minska sårbarheter
Några exempel på åtgärder för att minska sårbarheten är uppdaterade virusprogram och operativsystem. Det ska även finnas rutiner som innebär att säkerhetsnivån ska bibehållas hög.
Läs också: Hur mycket kan man ta ut i bankomat?
4. Behörigheter
Antalet personer som har tillgång till känslig information ska begränsas. Samtliga som använder systemet ska även ha ett konfidentiellt ID-nummer eller namn.
5. Övervaka och testa
Genom att övervaka och testa säkerhetssystemet regelbundet kan eventuella svagheter upptäckas tidigt. Dessutom visar dessa tester att säkerhetssystemen fungerar enligt förväntat.
6. Säkerhetspolicy
Det ska finnas en intern säkerhetspolicy. Denna policy ska regelbundet uppdateras och kontroll ska ske att den efterföljs.
Kategorierna ovan beskrivs enbart översiktligt. Kontakta din bank för tydligare information kring hur PCI DSS behöver implementeras utifrån verksamheten inom ditt företag.
Läs också: Vad är marginalskatt?
Varför används denna standard?
Enligt finansbolaget Stripe har cirka 11 miljarder konsumentuppgifter spridits till obehöriga mellan 2005 och 2022. Detta via över 8 500 olika dataintrång. Även om det är svårt att få exakt statistik på antal dataintrång så är det uppenbart ett stort problem.
För att möta detta problem har PCI DSS tagits fram som en ministandard. Det första steget togs 2006 då Payment Card Industry Security Standards Council (PCI SSC) skapades. Detta via ett samarbete mellan Visa, Mastercard, American Express, Discover och JCB. I stället för att varje företag skulle ha en enskild standard utarbetades PCI DSS som därmed samtliga dessa företag kräver att deras kunder följer.
Läs också: Hur mycket kan man swisha?
PCI DSS compliance – vad betyder det?
Att ett företag är compliant med PCI DSS betyder att företaget följer de krav och riktlinjer som regelverket har. Det finns fyra olika nivåer samt åtta olika SAQ-typer som avgör vilka regler som förväntas uppfyllas. Med SAQ-typ menas hur företaget integrerar med de kortbetalningar som sker.
Om inte reglerna följs
Skulle det uppstå ett dataintrång och det sedan visar sig att företaget inte följt PCI DSS kan företaget få kostsamma påföljder. Det handlar både om böter samt att företaget kan bli nekad att i framtiden ta emot kortbetalningar.
Flera år som ekonomi- och näringslivsreporter har gett Povel ett fundament för att leverera lättbegripliga texter inom privatekonomi här på Advisa.se.
Vanliga frågor och svar – PCI DSS
Vad menas med certifierad betalväxel?
E-butiker kan undvika PCI-certifiering genom att låta en certifierad betalväxel hantera all betalinformation. Det är ett externt företag som därmed hanterar all säkerhet kring hantering av kortuppgifterna.
Vad är QSA?
QSA står för ”Qualified Security Assessors” och är externa företag som granskar att reglerna inom PCI DSS efterlevs.
Advisa samarbetar med 40 långivare
