(2008-11-01) Visa och MasterCard har enats om en säkerhetsstandard, Payment Card Industry Data Security Standard (PCI DSS), som också American Express, Diners Club och JCB har anslutit sig till. PCI säkerhetsstandard beskriver hur kortnummer och annan transaktionsinformation ska hanteras och gäller såväl vid betalningar där kortet är fysiskt inblandat som vid post-, telefonorder och e-handel.
Varför PCI
Kortinformation som kommer i orätta händer genom stöld och efterföljande kortbedrägerier är ett problem inom kortvärlden. Denna standard har tagits fram i syfte att öka säkerheten kring all hantering av kortinformation och på så sätt minimera risken för stöld av kortinformation som kan användas i bedrägligt syfte.
Hur berör PCI dig?
Alla parter i betalningskedjan berörs av PCI regelverken, dvs. säljande företag,
servicebyråer, mjukvaruföretag, insamlare och andra aktörer som hanterar, lagrar eller transporterar kortinformation. Om ett företag gör något av ovanstående och inte
uppfyller kraven enligt PCI kan kortinformation komma att bli stulen via ett intrång.
Hostad lösning är vanligast och kräver endast mindre åtgärder
De allra flesta e-handelsföretag har en så kallad Hostad lösning (betalsida), redirect, mot t.ex. PayEx, Debitech, Certitrade, etc. Dessa företag behöver inte genomgå en omfattande PCIcertifiering, såvida de inte hanterar kortdata på annat sätt. Det enda som behövs göra för dessa e-handelsföretag är en mindre uppdatering av kopplingen mot den hostade lösningen.
API-lösning
För de e-handelsföretag som använder en serverlösning (API) krävs en större förändring. Dessa företag måste antingen byta till en hostad lösning alternativt uppfylla alla krav enligt PCI säkerhetsstandard och, om inlösande bank så anmodar, genomgå PCI-certifiering. Det är med största sannolikhet väsentligt billigare att byta till hostad lösning. Inlösande bank kommer dessutom bara acceptera det andra alternativet i
undantagsfall.
Vilka är konsekvenserna för de företag som inte uppfyller kraven?
Det är obligatoriskt att antingen använda en hostad lösning eller uppfylla kraven i PCI säkerhetsstandard. De svenska inlösande bankerna har en gemensam intresseorganisation, Pan Nordic Card Association, och har där gemensamt beslutat att något av ovanstående alternativ måste uppfyllas senast den 31:a december 2008 för att man inte skall riskera att nekas att fortsätta acceptera kort som betalningsmedel.
Vill du veta mer om PCI?
Läs vidare på www.pcisecuritystandard.com eller kontakta er inlösande bank.
