Till textinnehållet på sidan. Tryck Alt+S
Ung kvinna på jobbet

Sikre kortoplysninger

Visa og MasterCard har en fælles sikkerhedsstandard, Payment Card Industry - Data Security Standard, PCI-DSS, som også American Express, Diners Club og JCB har tilsluttet sig. PCI-standarden beskriver, hvordan kortnummer og andre transaktionsoplysninger skal håndteres og gælder såvel ved betalinger, hvor kortet er fysisk involveret, som ved post- og telefonordre samt e-handel.

Berører PCI-standarden jer?

Formålet med PCI er at sikre, at alle, som håndterer kortoplysninger, gør det på en måde, så uvedkommende ikke får adgang til oplysningerne. I har ansvaret for, at virksomhedens kort- og kundeinformation ikke havner i de forkerte hænder.

PCI-standarden bygger på Visa-programmet Account Information Security, AIS, og MasterCards program Site Data Protection, SDP. PCI er en standardiseret vurderings- og rapporteringsproces for alle, som håndterer, indsamler, lagrer og overfører kortoplysninger. Fysiske dokumenter og elektroniske medier (f.eks. kvitteringer, transaktionslogger og transaktionsrapporter), som indeholder kortoplysninger, skal opbevares et sikkert sted, som kun autoriserede personer har adgang til.

Det betyder, at jeres virksomhed skal:

• undgå at opbevare kortoplysninger eller anden følsom information
• sikre, at kortoplysninger, som gemmes, er krypterede
• sikre, at de fuldstændige kortoplysninger i kortets magnetspor eller chip samt kortets kontrolkode (de tre sidste cifre, som er trykt i signaturfeltet) ikke gemmes efter afsluttet kortbetaling*
• sikre, at kortnummeret altid trunkeres, det vil sige aldrig bliver trykt i sin helhed på kvitteringen eller andet trykt medie*
• slette kortoplysninger, som ikke bruges
• sikre, at der udføres teknisk service på en sådan måde, at kortoplysninger ikke havner i de forkerte hænder
• beskytte adgangen til kortoplysninger med brugernavn og adgangskode
• sikre, at tildelte adgange ikke overdrages til uautoriserede personer
• sikre, at brugen af adgange kan spores
• sikre de interne rutiner for at undgå insiderforbrydelser eller ekstern indtrængen i systemet
• installere og vedligeholde sikkerhedsprogrammer og beskytte systemet mod datavirus
• foretage regelmæssige tests af sikkerhedssystemet

*Krav I skal stille til det tekniske udstyr

Læs mere om PCI-sikkerhedsstandarden (pdf)

Læs tjeklisten og kontroller, at I overholder kravene

Hvordan påvirkes jeres virksomhed af PCI?

Afhængig af hvor mange korttransaktioner jeres virksomhed gennemfører pr. år og i hvilket miljø de gennemføres, er der forskellige foranstaltninger, som skal træffes for at leve op til PCI. Kravene om PCI er de samme for alle virksomheder, mens forskellen ligger i, hvordan man dokumenterer, at virksomheden lever op til dem.

  1. Har jeres viksomhed mellem 1 og 6 millioner korttransaktioner pr. år i fysisk handel eller mellem 20.000 og 1 million korttransaktioner pr. år indenfor internethandel?  
    Så findes der specifikke krav, som gælder for jeres virksomhed. Vi vil kontakte jer ved behov, og sammen vil vi søge for, at I lever op til PCI kravene.  
                          
  2. Har jeres viksomhed mindre end 1 million korttranaktioner pr. år i fysisk handel eller mindre end 20.000 korttransaktioner pr. år indenfor internethandel? 
    Så Læs mere her om, hvad I skal gøre for at leve op til PCI kravene.
     


 

Mere information

 

Kasseintegreret betalingsterminal

  • Anvender jeres virksomhed en betalingsterminal, som er integreret til jeres kassesystem? Så skal jeres udstyr være godkendt i overensstemmelse med PCI kravene. Se her hvilke integrerede kassesystemer, som er godkendt.
    Godkendte integrerede kassesystemer
 
Luk Udskriv