Skip to main content
Logga in
Betallösningar
Support
Partners
Support Legal & compliance
Legal & compliance

Dokumentation från säljföretag

Publicerad: 27.11.2023
Uppdaterad: 04.04.2024

Alla som kommer i kontakt med kortdata ska uppfylla kraven i PCI DSS. Men det är olika krav på hur du som säljföretag ska dokumentera att ditt säljföretag uppfyller kraven. Oberoende av din kortomsättning ska ditt säljföretag på dokumentera att kraven i PCI DSS uppfylls. Nets kommer att kontakta dig om ditt säljföretag når nivå 1,2 eller 3 i enlighet med kortsällskapens regler.

Nivåer och regler för dokumentation

Nivå 1: Säljföretag med mer än 6 miljoner transaktioner årligen

  • En årlig revision ska genomföras av en QSA eller en Internal Security Assessor (ISA).

  • Du ska anlita en Approved Scanning Vendor (ASV) för att genomföra kvartalsvisa sårbarhetsscanningar.

  • Om ditt säljföretag inte har tillgång till kortdata ska det årligen fyllas i ett self-assessment questionnaire (SAQ) av antingen en QSA eller en ISA.

Nivå 2: Säljföretag med mellan 1 och 6 miljoner transaktioner årligen

  • Ett self-assessment questionnaire (SAQ) ska årligen fyllas i av en Internal Security Assessor (ISA) eller en Qualified Security Assessor (QSA).

  • Om ditt säljföretag har tillgång till kortdata ska du anlita en Approved Scanning Vendor (ASV) för att genomföra kvartalsvisa sårbarhetsscanningar.

Nivå 3: Säljföretag med Internethandel med 20.000-1 miljon transaktioner årligen

  • Du ska årligen fylla i ett self-assessment questionnaire (SAQ).

  • Om ditt säljföretag har tillgång till kortdata eller använder en API-lösning ska det också genomföras kvartalsvisa sårbarhetsscanningar av en Approved Scanning Vendor (ASV).

Nivå 4: Alla övriga säljföretag

  • Om ditt säljföretag behandlar kortdata ska du årligen fylla i ett self-assessment questionnaire (SAQ) och anlita en Approved Scanning Vendor (ASV) för att genomföra kvartalsvisa sårbarhetsscanningar.

  • Nets rekommenderar att ditt säljföretag anlitar en Approved Scanning Vendor (ASV) för att genomföra kvartalsvisa sårbarhetsscanningar och fyller i ett self-assessment questionaire (SAQ).

Det är viktigt att alla säljföretag som faller in under nivå 4 och som har tillgång till kortdata uppfyller kraven i PCI DSS. De flesta datainbrott sker hos små och mellanstora säljföretag som inte har tillräckligt stort fokus på datasäkerhet.

Lista över Qualified Security Assessors (QSA) - företag som är certifierade att genomföra revisioner av system i förhållande till kraven i PCI DSS.

Lista över Approved Scanning Vendors (ASV) - företag som är certifierade för att skanna IT-system.

Related content

PCI awareness temp