Dokumentation från säljföretag
Alla som kommer i kontakt med kortdata ska uppfylla kraven i PCI DSS. Men det är olika krav på hur du som säljföretag ska dokumentera att ditt säljföretag uppfyller kraven. Oberoende av din kortomsättning ska ditt säljföretag på dokumentera att kraven i PCI DSS uppfylls. Nets kommer att kontakta dig om ditt säljföretag når nivå 1,2 eller 3 i enlighet med kortsällskapens regler.
Nivåer och regler för dokumentation
Nivå 1: Säljföretag med mer än 6 miljoner transaktioner årligen
En årlig revision ska genomföras av en QSA eller en Internal Security Assessor (ISA).
Du ska anlita en Approved Scanning Vendor (ASV) för att genomföra kvartalsvisa sårbarhetsscanningar.
Om ditt säljföretag inte har tillgång till kortdata ska det årligen fyllas i ett self-assessment questionnaire (SAQ) av antingen en QSA eller en ISA.
Nivå 2: Säljföretag med mellan 1 och 6 miljoner transaktioner årligen
Ett self-assessment questionnaire (SAQ) ska årligen fyllas i av en Internal Security Assessor (ISA) eller en Qualified Security Assessor (QSA).
Om ditt säljföretag har tillgång till kortdata ska du anlita en Approved Scanning Vendor (ASV) för att genomföra kvartalsvisa sårbarhetsscanningar.
Nivå 3: Säljföretag med Internethandel med 20.000-1 miljon transaktioner årligen
Du ska årligen fylla i ett self-assessment questionnaire (SAQ).
Om ditt säljföretag har tillgång till kortdata eller använder en API-lösning ska det också genomföras kvartalsvisa sårbarhetsscanningar av en Approved Scanning Vendor (ASV).
Nivå 4: Alla övriga säljföretag
Om ditt säljföretag behandlar kortdata ska du årligen fylla i ett self-assessment questionnaire (SAQ) och anlita en Approved Scanning Vendor (ASV) för att genomföra kvartalsvisa sårbarhetsscanningar.
Nets rekommenderar att ditt säljföretag anlitar en Approved Scanning Vendor (ASV) för att genomföra kvartalsvisa sårbarhetsscanningar och fyller i ett self-assessment questionaire (SAQ).
Det är viktigt att alla säljföretag som faller in under nivå 4 och som har tillgång till kortdata uppfyller kraven i PCI DSS. De flesta datainbrott sker hos små och mellanstora säljföretag som inte har tillräckligt stort fokus på datasäkerhet.
Lista över Qualified Security Assessors (QSA) - företag som är certifierade att genomföra revisioner av system i förhållande till kraven i PCI DSS.
Lista över Approved Scanning Vendors (ASV) - företag som är certifierade för att skanna IT-system.