PCI-standarden

De internasjonale kortselskapene har satt opp noen sikkerhetsstandarder som gjelder i forbindelse med alle kortbetalinger. Du er som mottaker av betalingskort selv ansvarlig for at din forretning lever opp til sikkerhetskravene. Standarden omhandler regler for det miljø (terminal/betalingsløsning/systemer/nettverk) som din forretning og evt. deres service provider/processor behandler og oppbevarer kortdata i. Alle som håndterer kortdata skal overholde de 12 krav, som sikkerhetsstandarden PCI DSS består av. For at din forretning skal kunne overholde kravene, skal terminalene og/eller betalingsløsningen være sertifisert, PA DSS og PCI PTS (PIN Transaction Security) godkjent.

PCI-DSS 12 sikkerhetskrav

Payment Card Industry Data Security Standard (PCI DSS) beskriver de krav som skal oppfylles av forretning som sender, behandler eller oppbevarer kortdata. Standarden gjelder for Visa, Mastercard, American Express, Diners, Discover, og JCB.

1. Sikre at din virksomhet installerer og vedlikeholder en brannmur som beskytter deres kortdata.
2. Påse at det ikke benyttes standardinnstillinger til systempassord og andre sikkerhetsparametre.
3. Beskytt deres kortdata.
4. Krypter kortdata som sendes over åpne offentlige nettverk.
5. Benytt antivirus-programvare og oppdater den jevnlig.
6. Påse at dere løpende utvikler og vedlikeholder sikkerhet i systemer og applikasjoner.
7. Begrens adgangen til kortdata i forhold til forretningsbehovet slik at færrest mulig kan få adgang til dem.
8. Hver bruker av deres nettverk skal ha en unik ID.
9. Færrest mulig skal ha fysisk adgang til kortdata.
10. Overvåk all adgang til deres nettverk og kortdata.
11. Test av sikkerhetssystemer og prosesser skal foretas jevning.
12. Opprettholde en stram sikkerhetspolitikk

Les mer om kravene i PCI DSS.