PCI-sjekkliste

Du som tar betalt med kort, har ansvar for å beskytte kort- og transaksjonsinformasjon fra uvedkommende. Her har vi samlet noen av de viktigste PCI-kravene som bedriften må oppfylle for å sikre at informasjonen behandles riktig.

  • Unngå å lagre kortinformasjon eller annen sensitiv informasjon.
  • Sørg for at kortinformasjonen som er lagret, er kryptert.
  • Sørg for at den fullstendige kortinformasjonen i kortets magnetspor eller chip samt kortets sikkerhetskode (de tre siste sifrene som står trykt i signaturfeltet) ikke lagres etter at kortbetalingen er fullført*.
  • Sørg for at kortnummer alltid trunkeres, det vil si aldri trykkes i sin helhet på kvitteringer eller andre trykte medier*.
  • Slett kortinformasjon som ikke brukes.
  • Sørg for å utføre teknisk service på en slik måte at kortinformasjonen ikke faller i feil hender.
  • Beskytt tilgangen til kortinformasjon med brukeridentiteter og passord.
  • Sørg for at autorisasjoner som er gitt, ikke spres til uvedkommende.
  • Sørg for at bruk av autorisasjoner kan spores.
  • Sikre de interne rutinene for å unngå interne brudd eller eksterne innbrudd i systemet.
  • Installer og vedlikehold sikkerhetsprogramvare og beskytt systemet mot datavirus.
  • Test sikkerhetssystemet regelmessig.
  • Gi opplæring og instruksjoner til autoriserte medarbeidere som har tilgang til passordet til det tekniske utstyret.
  • Sørg for at fysiske og elektroniske grunnlag som inneholder kortinformasjon, oppbevares på en sikker måte (for eksempel innelåst), slik at bare autoriserte personer har tilgang til dem. Dette kan for eksempel være kvitteringer fra betalingsterminalen, transaksjonslogger, forespørsler om bilag fra brukersted, tilbakedebiteringsbrev, datamaskiner, nettverks- og kommunikasjonsmaskinvare.
  • Sikre at fysiske og elektroniske grunnlag med kortinformasjon makuleres på en sikker måte når de ikke trengs lenger.
  • Informer alt personell som håndterer regnskap og administrasjon, inkludert kassemedarbeidere, om hvilket ansvar de har for kortinformasjon og hvilke rutiner som gjelder.
  • Plasser det tekniske utstyret (betalingsterminalen) slik at uvedkommende ikke kan få tilgang til det og innholdet i det.
  • Kontroller det tekniske utstyret hver dag for å sikre at ingen har manipulert det.
  • Oppbevar passord slik at uvedkommende ikke kan få tilgang til dem.
  • Bytt passord med jevne mellomrom, og så snart du mistenker at uvedkommende har fått tilgang til et passord.
    • Sikre at innholdet ikke blir tilgjengelig for uvedkommende ved salg eller kassering av teknisk utstyr.

*Krav du skal stille til det tekniske utstyret

Har du spørsmål?

Vil du vite mer om PCI, eller leter du etter en betalingsløsning som gjør det enklere for deg å leve opp til PCI-kravene? Kontakt oss via kontaktskjemaet vårt eller på telefon +47 220 36 045