PCI – sikker behandling av kortinformasjon

"Payment Card Industry Data Security Standard" kalles vanligvis bare PCI og er en sikkerhetsstandard for behandling av kortinformasjon som er utarbeidet av Visa og Mastercard. Også American Express, Diners Club og JCB er knyttet til samme standard, som gjelder for både fysiske kortkjøp og kjøp på nettet.

Hva er formålet med PCI?

Hvis du har en butikk eller nettbutikk der kunder betaler med kort, er du ansvarlig for at ikke uvedkommende skal få tilgang til kort- og kundeinformasjon som du administrerer. PCI er en standard som du – og alle andre som administrerer kortinformasjon – må følge for å sikre at dette ikke skjer.

PCI-sikkerhetsstandarden bygger på Visa-programmet Account Information Security, AIS, og Mastercard-programmet Site Data Protection, SDP. Standarden gjelder for alle som administrerer, samler inn, lagrer og overfører kortinformasjon. Fysiske dokumenter og elektroniske medier (for eksempel kvitteringer, transaksjonslogger og transaksjonsrapporter) som inneholder kortinformasjon, skal lagres på et sikkert sted som bare autoriserte personer har tilgang til.

PCI 3.2

PCI-sikkerhetsstandarden oppdateres regelmessig. Gjeldende versjon er 3.2.1, som ble lansert 1. januar 2019. Tidligere versjoner har brukt krypteringsprotokollen SSL, men fra versjon 3.2 brukes bare nyere versjoner av TLS-protokollen til kryptering av informasjon fra debet- og kredittkort. Les mer i Read more on SSL/early TLS migration.

Hva gjelder for nettbutikker?

Hvis du driver en nettbutikk som behandler kortinformasjon på egenhånd, må du sørge for at behandlingen oppfyller PCI-kravene. Det kan du gjøre med et selvevalueringsskjema som heter SAQ A EP. Hvis du bruker en såkalt hosted (lagret eller "hosted" hos betalingstjenesteleverandøren) betalingsløsning, gjelder ikke dette for deg.

En hosted løsning innebærer at når kortkunden skriver inn kortnummeret for å betale, skjer det på et nettsted som eies av en PCI-sertifisert betalingstjenesteleverandør. Lagring, transport eller behandling av kortinformasjon skjer bare hos den PCI-sertifiserte betalingstjenesteleverandøren, og ikke i din bedrift eller hos annen part/leverandør.

Hvis nettbutikken din ikke har en hosted løsning i dag, anbefaler vi at du bytter til dette for å slippe å gå gjennom hundrevis av sikkerhetskrav om beskyttelse av kortinformasjon. Kontakt betalingstjenesteleverandøren for å finne ut hvordan du bytter.

Du kan lese mer om forskjellige typer nettbutikkløsninger og hvilke krav som gjelder for den aktuelle løsningen, i Processing e-commerce payments Guide (pdf).

Kasseintegrert betalingsterminal

Har du en betalingsterminal som er integrert med kassasystemet? Her kan du se om ditt utstyr er godkjent i henhold til PCI. 55/5000. Last ned listen over godkjente integrerte kassasystem.

Mer informasjon

PCI kortsikkerhet Mastercard
PCI kortsikkerhet Visa
PCI standarden (PCI Security Council)

Hva må du gjøre?

Avhengig av hvor mange kortkjøp bedriften har per år og hva slags miljø kjøpene utføres i, må ulike tiltak iverksettes for PCI. PCI-kravene er imidlertid de samme for alle bedrifter. Forskjellen ligger i hvordan du beviser at du oppfyller standarden. 

Vil du ha hjelp på veien?

Vi tar ansvar for at sikkerhetskravene oppfylles i våre betalingsløsninger, uansett om du tar betalt i butikk eller på nettet. Kortinnløsningen vår er også sertifisert.

Hvis du har spørsmål om PCI, kan du gjerne ta kontakt med oss via support eller på telefon +47 220 36 045