Regulation
PCI DSS
Payment Card Industry Data Security Standard, de ordningsmandaterede rammer for håndtering af kortholderdata.
Payment Card Industry Data Security Standard (PCI DSS) er en globalt obligatorisk ramme etableret af de store kortordninger – Visa, Mastercard, American Express, Discover og JCB – for at sikre kortholderdata. Den gælder for enhver enhed, der opbevarer, behandler eller overfører primære kontonumre (PAN), hvilket kræver overholdelse af tolv centrale tekniske og operationelle krav, der omfatter netværkssikkerhed, adgangskontroller og kryptering. Overholdelsesniveauer bestemmes af det årlige transaktionsvolumen, lige fra niveau 4 for små forhandlere til niveau 1 for dem, der behandler over 6 millioner transaktioner. De fleste forhandlere sigter mod at reducere deres overholdelsesbyrde gennem teknikker til at reducere omfanget, såsom brug af hostede betalingssider eller iframe-integrationer leveret af en indløser eller PSP. Dette sikrer, at følsomme data forbliver uden for forhandlerens infrastruktur, hvilket typisk giver dem mulighed for at validere sikkerhed via et forenklet selvvurderingsspørgeskema (SAQ) snarere end en fuld Quality Security Assessor (QSA) revision.
Ofte stillede
Hvad er konsekvenserne af manglende overholdelse af PCI DSS?
Manglende overholdelse kan resultere i betydelige månedlige bøder fra kortordningerne, ofte videregivet gennem indløseren. I tilfælde af et databrødd kan ikke-kompatible enheder opleve øgede transaktionsgebyrer, juridisk ansvar og potentiel tilbagekaldelse af deres forhandlerkonto (MID).
Hvordan ændrer version 4.0 overholdelseslandskabet for forhandlere?
PCI DSS v4.0 introducerer strengere krav til multi-faktor autentificering (MFA) og hyppigere test af sikkerhedskontroller. Det skifter også mod en risikobaseret tilgang, hvilket giver organisationer større fleksibilitet i, hvordan de demonstrerer, at de har opfyldt specifikke sikkerhedsmål gennem en tilpasset valideringstilgang.
Relaterede termer
Klar til fart?
Fortæl os om din virksomhed. Vi matcher dig med de rigtige ’acquiring’-partnere og den rigtige rute, typisk inden for en uge.
