Vad är PCI DSS?
Payment Card Industry Data Security Standard (PCI DSS) är en informationssäkerhet som tillhandahåller en baslinje av tekniska och operativa krav utformade för att skydda kontodata. PCI DSS gäller för alla enheter som är inblandade i betalningskortshantering – inklusive handlare, processorer, inlösare, emittenter och tjänsteleverantörer.
PCI DSS gäller även för alla andra enheter som lagrar, bearbetar eller överför korthållardata (CHD) och/eller känslig autentiseringsdata (SAD).
Vem skapade PCI DSS?
PCI Council är en branschgrupp som består av intressenter från kortindustrin. Rådet definierade ursprungligen kraven för PCI DSS, men rådet är inte en standardutvecklingsorganisation (SDO) och skapar inga standarder.
PCI DSS administreras av PCI SSC, ett styrande organ som övervakar implementeringen av standarden. Rådets primära roll är att utveckla och underhålla PCI DSS-standarderna. Rådet samarbetar med det amerikanska finansdepartementet och betalkortsnätverken, inklusive Visa, MasterCard och American Express, för att utveckla standarden.
Påverkar PCI DSS autentiseringsprocessen?
Ja. Standarden påverkar hela kortinnehavaren och autentiseringsekosystemet genom att fokusera på stegen mellan köparen och förvärvaren – handlaren och kunden.
Vilka krav ställer PCI DSS?
PCI DSS inkluderar både tekniska krav (t.ex. kryptering, åtkomstkontroller) och procedurkrav för incidentrespons och hantering. De tekniska kraven inkluderar krav på hårdvara, mjukvara och säkerhetsoperationer. Procedurkraven inkluderar krav på affärspartners, incidentrespons och rapportering.
Vad händer om du inte följer kraven?
Säljare som inte följer PCI DSS kan få böter och straff, inklusive stängning, diskvalificering som handlare och/eller uteslutning från att behandla kreditkort. Risken för bristande efterlevnad ökar också sannolikheten för negativ kortinnehavarupplevelse, återkrav, ekonomisk förlust och ansvar.
Kräver PCI DSS kryptering?
Ja. Kryptering är processen att konvertera information till ett oförståeligt format genom användning av ett chiffer. Det är en effektiv metod för att skydda data eftersom den gör data oläsbar utan rätt ”nyckel”.
Vilken krypteringsmetod ska användas?
Rekommendationerna varierar, men PCI Council rekommenderar protokollet Transport Layer Encryption (TLE), som är en form av Transport Layer Security (TLS). Andra standardorganisationer, såsom Internet Engineering Task Force (IETF), utvecklar för närvarande en ersättningsstandard för TLS eftersom den för närvarande är begränsad i sin användning av nyckellängd.
Kräver PCI DSS tvåfaktorsautentisering?
Ja. Standarden rekommenderar tvåfaktorsautentisering för administrativ åtkomst till kortinnehavarens data, men anger inte metoden. Säljare rekommenderas att använda den säkraste metoden som finns tillgänglig, såsom hårdvarutokens, virtuella konton eller andra 2FA-lösningar.
