Investor's wiki
sv Svenska
Navigation
Home Glossary
InvesteringAktierObligationerKryptoPersonlig ekonomiGrundläggande analysTeknisk analysHandelBankverksamhetSkatter
Disclaimer Terms of Use Privacy Policy Cookie Policy
Navigation
Home Glossary
InvesteringAktierObligationerKryptoPersonlig ekonomiGrundläggande analysTeknisk analysHandelBankverksamhetSkatter
Disclaimer Terms of Use Privacy Policy Cookie Policy

PCI-överensstämmelse

PCI-överensstämmelse
Personlig ekonomiKreditkortKreditkort

Vad är PCI-kompatibilitet?

Efterlevnad av betalkortsindustrin (PCI) är mandat av kreditkortsföretag för att säkerställa säkerheten för kreditkortstransaktioner inom betalningsbranschen. Efterlevnad av betalkortsbranschen hänvisar till de tekniska och operativa standarder som företag följer för att säkra och skydda kreditkortsdata som tillhandahålls av kortinnehavare och som överförs genom kortbearbetningstransaktioner. PCI-standarder för efterlevnad utvecklas och hanteras av PCI Security Standards Council.

Förstå PCI-efterlevnad

Federal Trade Commission (FTC) har ansvaret för övervakningen av kreditkortshantering eftersom det faller under behovet av konsumentskydd och tillsyn. Även om det inte nödvändigtvis finns ett regulatoriskt mandat för PCI-efterlevnad, anses det vara obligatoriskt genom domstolspraxis.

I allmänhet är PCI-efterlevnad en kärnkomponent i alla kreditkortsföretags säkerhetsprotokoll. Det är i allmänhet mandat av kreditkortsföretag och diskuteras i nätverksavtal för kreditkort.

PCI Standards Council ansvarar för utvecklingen av standarderna för PCI-efterlevnad. Dessa standarder gäller för bearbetning av handlare och har även utökats för att beskriva krav för krypterade internettransaktioner. Andra nyckelenheter som också är förknippade med standardsättning inom kreditkortsindustrin inkluderar The Card Association Network och National Automated Clearing House (NACHA).

Krav för PCI-efterlevnad

PCI-efterlevnadsstandarder kräver att handlare och andra företag hanterar kreditkortsinformation på ett säkert sätt som hjälper till att minska sannolikheten för att kortinnehavare skulle få känslig finansiell kontoinformation stulen. Om handlare inte hanterar kreditkortsinformation enligt PCI-standarder, kan kortinformationen hackas och användas för en mängd bedrägliga handlingar. Dessutom kan känslig information om kortinnehavaren användas vid identitetsbedrägerier.

Att vara PCI-kompatibel innebär att konsekvent följa en uppsättning riktlinjer som anges av PCI Standards Council. PCI-efterlevnad styrs av PCI Standards Council, en organisation som bildades 2006 i syfte att hantera säkerheten för kreditkort.

De krav som utvecklats av rådet är kända som Payment Card Industry Data Security Standards (PCI DSS). PCI DSS har 12 nyckelkrav, 78 baskrav och över 400 testprocedurer. Riktlinjerna anses också vara bästa praxis för säkerhet. Dess 12 huvudkrav inkluderar följande:

  1. Implementera brandväggar för att skydda data

  2. Lämpligt lösenordsskydd

  3. Skydda kortinnehavarens data

  4. Kryptering av överförda korthållardata

  5. Använd antivirusprogram

  6. Uppdatera programvara och underhålla säkerhetssystem

  7. Begränsa åtkomsten till kortinnehavarens data

  8. Unika ID:n tilldelas de som har tillgång till data

  9. Begränsa fysisk åtkomst till data

  10. Skapa och övervaka åtkomstloggar

  11. Testa säkerhetssystemen regelbundet

  12. Skapa en policy som är dokumenterad och som kan följas

Den senaste versionen av PCI DSS släpptes i maj 2018 och kallas version 3.2.1. Sammantaget beskriver de sex målen och de tolv kraven en rad steg som kreditkortsprocessorer kontinuerligt måste följa. Företag ombeds först att utvärdera sina nätverk och system, som involverar informationsteknologisk infrastruktur, affärsprocesser och kreditkortshanteringsprocedurer.

Fördelar med PCI Compliance

Ständigt underhåll och bedömning av eventuella luckor i säkerheten är också mycket viktigt för att undvika stöld av känslig kortinnehavarinformation, såsom socialförsäkring och körkortsnummer, när så är möjligt.

Företag är skyldiga att tillhandahålla efterlevnadsrapporter regelbundet som en del av sina korthanteringsavtal. Övervakning, bedömningar och revisioner av betalkortsindustrins datasäkerhetsstandarder är alla en viktig del av ett företags säkerhetsavdelning.

Alla företag som behandlar kreditkortsinformation är skyldiga att upprätthålla PCI-efterlevnad enligt anvisningarna i deras korthanteringsavtal. PCI-efterlevnad är branschstandard och företag utan det kan resultera i betydande böter för avtalsbrott och försumlighet. Utan PCI-efterlevnad är företag också mycket sårbara för stöld, bedrägerier och dataintrång.

95 %

Andelen cybersäkerhetsintrång som orsakas av mänskliga fel.

Fördelarna med efterlevnad inkluderar den minskade risken för dataintrång, att skydda kortinnehavarens data och på så sätt undvika risker för identitetsstöld. Det är god praxis för företag att följa efterlevnaden eftersom det minskar eventuella böter relaterade till dataintrång, hjälper ett företags varumärkesrykte , håller kunderna nöjda och säkra på att de gör affärer med ett ansvarsfullt företag, vilket leder till varumärkeslojalitet.

Under första halvåret 2020 fanns det 36 miljarder poster som exponerades genom dataintrång. 86 procent av överträdelserna var ekonomiskt motiverade och med den globala informationssäkerhetsmarknaden som förväntas nå 170 miljarder dollar 2020 är den finansiella risken ännu högre. Att skydda kortinnehavarens data är inte bara bra för företagen utan är också det rätta att göra, för att säkerställa att människor inte skadas negativt eller lider någon ekonomisk förlust.

PCI-efterlevnad och dataintrång

PCI-efterlevnad hjälper till att undvika bedräglig aktivitet och minskar dataintrång. Verizon tillhandahåller en årlig utvärdering av betalningssäkerhet i sin "Verizon Payment Security Report". 2019 års rapport ägnar ett helt avsnitt åt PCI DSS, kallat "State of PCI DSS compliance, 2019: And 12 key requirements." Några PCI DSS-höjdpunkter från "Verizon 2019 Payment Security Report" inkluderar följande:

  • 36,7 % av organisationerna upprätthöll aktivt PCI DSS-program under 2018.

  • Asien-Stillahavsområdet överträffade Amerika, Europa, Mellanöstern och Afrika.

– Ur ett branschperspektiv ligger besöksnäringen något efter andra sektorer.

Vanliga frågor om PCI-efterlevnad

Vad betyder PCI-kompatibel?

PCI-kompatibel innebär att alla företag eller organisationer som accepterar, överför eller lagrar kortinnehavares privata data följer de olika säkerhetsåtgärderna som beskrivs av PCI Security Standard Council för att säkerställa att data förvaras säkert och privat.

Krävs PCI-efterlevnad enligt lag?

Det finns inget regulatoriskt mandat som kräver PCI-efterlevnad, men det anses vara obligatoriskt genom domstolspraxis.

Hur blir jag PCI-kompatibel?

För att bli PCI-kompatibel måste du först bestämma vilket självutvärderingsformulär du måste följa för att bli kompatibel. När du har avslutat frågeformuläret måste du fylla i och inneha bevis på att en sårbarhetsskanning har godkänts med en PCI SSC-godkänd skanningsleverantör. Skanning gäller endast vissa handlare. Du måste sedan fylla i intyget om överensstämmelse. Det sista steget är att skicka in all ovanstående information.

Vem måste vara PCI-kompatibel?

Alla företag eller organisationer som accepterar, överför eller lagrar kortinnehavares privata data.

Poängen

PCI-efterlevnad avser de tekniska och operativa standarder som anges av PCI Security Standards Council som organisationer behöver implementera och underhålla. Målet med att vara PCI-kompatibel är att skydda kortinnehavarens data och gäller för alla organisationer som accepterar, överför eller lagrar dessa data. Att vara PCI-kompatibel är en god affärspraxis eftersom det sätter säkerheten för konsumentdata först och även gynnar en organisation genom ett positivt varumärkesrykte.

Höjdpunkter

  • Företag som följer och uppnår Payment Card Industry Data Security Standards (PCI DSS) anses vara PCI-kompatibla.

  • Att vara PCI-kompatibel minskar dataintrång, skyddar kortinnehavarnas data, undviker böter och förbättrar varumärkets rykte.

  • PCI DSS har 12 nyckelkrav, 78 baskrav och 400 testprocedurer för att säkerställa att organisationer är PCI-kompatibla.

  • PCI Security Standards Council ansvarar för att utveckla PCI DSS.

  • PCI-efterlevnad krävs inte enligt lag men anses vara obligatoriskt genom domstolspraxis.