Dokumentation - forretninger

Afhængig af omsætningen skal din forretning på forskellig vis dokumentere, at den lever op til PCI DSS-kravene. Nets kontakter dig, hvis din forretning kommer på niveau 1, 2 eller 3.

De forskellige niveauer og reglerne for dokumentation

Niveau 1: Forretninger med mere end 6 mio. transaktioner årligt

• Du skal årligt have foretaget en revision og lave en Report of Complicance (ROC), udført af en ekstern Qualified Security Assessor (QSA) eller en Internal Security Assessor (ISA)

• Du skal have kvartalsmæssige netværksscanninger udført af en Approved Scanning Vendor (ASV).

• Hvis du ikke har adgang til kortdata, skal du udfylde et PCI DSS-spørgeskema årligt, og det skal udfyldes af en ISA eller en QSA.

Niveau 2: Forretninger med mellem 1 og 6 mio. transaktioner om året

• Du skal årligt udfylde et PCI DSS-spørgeskema, og det skal udfyldes af en Internal Security Assessor (ISA) eller en ekstern Qualified Security Assessor (QSA).

• Hvis du har adgang til kortdata, skal du også have foretaget en netværksscanning en gang i kvartalet af en ASV.

Niveau 3: Internetforretninger med 20.000 - 1 mio. transaktioner årligt

• Du skal årligt udfylde et PCI DSS-spørgeskema.

• Hvis du har adgang til kortdata, skal du også have foretaget en netværksscanning en gang i kvartalet af en ASV.

Niveau 4: Alle øvrige forretninger

• Hvis du har adgang til kortdata, skal du årligt udfylde et spørgeskema og gennemføre en netværksscanning.

• Nets anbefaler alle at få foretaget en netværksscanning hvert år og udfylde et PCI DSS-spørgeskema.

Det er vigtigt, at niveau 4-forretninger, der har adgang til kortdata, opfylder kravene i PCI DSS. De fleste dataindbrud sker hos små og mellemstore forretninger, der ikke har tilstrækkeligt fokus på datasikkerhed.Liste over Qualified Security Assessors (QSA) - virksomheder der er certificeret til at udføre revisioner af systemer, der skal overholde PCI DSS-kravene.Liste over Approved Scanning Vendors (ASV) - virksomheder der er godkendt til at scanne IT-systemer