Skip to main content
Logg inn
Betalingsløsninger
Support
Samarbeidspartner
Support Legal & compliance
Legal & compliance

Dokumentasjon - forretninger

Publisert: 27.11.2023
Oppdatert: 04.04.2024

Alle som har berøring med kortdata skal overholde PCI DSS kravene. Men det er forskjellige krav til hvordan du som forretning skal dokumentere at din forretning lever opp til sikkerhetsstandarden..

Avhengig av omsetningen, skal din forretning på ulike vis dokumentere at den lever opp til PCI DSS kravene. Du vil bli kontaktet av Nets hvis din forretning når nivå 1, 2 eller 3.

De forskjellige nivåer og regler for dokumentasjon

Nivå 1: Forretninger med mer enn 6 mill. transaksjoner årlig

Du skal foreta en årlig revisjon og lage en Report of Complicance (ROC), utført av en ekstern Qualified Security Assessor (QSA) eller en Internal Security Assessor (ISA), samt kvartalsmessige nettverksskanninger utført av en Approved Scanning Vendor (ASV). Hvis du ikke har adgang til kortdata, skal du fylle ut et PCI DSS-spørreskjema årlig. Det skal fylles ut av en ISA eller en QSA.

Nivå 2: Forretninger med mellom 1 og 6 mill. transaksjoner årlig

Du skal årlig fylle ut et PCI DSS-spørreskjema, og det skal fylles ut av ISA eller en ekstern QSA. Hvis du har adgang til kortdata, skal du også foreta nettverksskanning en gang i kvartalet av en ASV.

Nivå 3: Internetforretninger med 20.000 - 1 mill. transaktioner årlig

Du skal årlig fylle ut et PCI DSS-spørreskjema. Hvis du har adgang til kortdata, skal du også foreta en nettverksskanning en gang i kvartalet av en ASV.

Nivå 4: Alle øvrige forretninger

Hvis du har adgang til kortdata skal du årlig fylle ut et spørreskjema og gjennomføre en nettverksskanning. Nets anbefaler for alle at det hvert år gjennomføres en nettverksskanning og fylles ut et PCI DSS-spørreskjema.

Liste over Qualified Security Assessors (QSA) - virksomheter som er sertifisert til å utføre revisjoner av systemer som skal overholde PCI-DSS kravene.

Liste over Approved Scanning Vendors (ASV) - virksomheter som er godkjent til å skanne IT-systemer

PCI-spørreskjema (SAQ) til selvevaluering

Et self-assessment questionnaire (SAQ) er det spørreskjema du skal fylle ut. Det er 5 versjoner, og du skal fylle ut det som passer til ditt systemoppsett:

  • SAQ A - 13 spørsmål (internettforretninger med en hostet løsning)

  • SAQ B – 29 spørsmål (fysisk handel uten internettforbindelse)

  • SAQ C – 91 spørsmål (fysisk handel med internettforbindelse)

  • SAQ C-VT 60 spørsmål (forretning med internettbaserede virtuelle terminaler)

  • SAQ D – 298 spørsmål (alle forretninger som ikke er dekket av et av de andre spørreskjemaer. Primært forretninger med adgang til kortdata)

Les mer om spørreskjemaet til selvevaluering

Relatert innhold

PCI awareness temp