PCI – slik påvirkes du

Avhengig av hvor mange kortkjøp bedriften har per år og hva slags miljø kjøpene utføres i, må ulike tiltak iverksettes for PCI. PCI-kravene er imidlertid de samme for alle bedrifter. Forskjellen ligger i hvordan du beviser at du oppfyller standarden.

For større bedrifter

Hvis du har en butikk med minst 1 million kortkjøp per år eller en nettbutikk med 20 000–1 million kortkjøp per år, gjelder spesifikke PCI-krav for din bedrift. Om nødvendig tar vi kontakt med deg, slik at vi sammen kan sørge for at du oppfyller PCI-kravene.
I tabellen kan du se hvor ofte forskjellige revisjonstyper skal utføres for forskjellige bedrifter.

Nivå Kriterier Revisjon på stedet (On-site Audit) Egenrevisjon (Self Assessment) Ekstern nettverksskanning
 1 Bedrifter med mer enn 6 millioner kortkjøp fra Visa eller fra Mastercard per år Årlig Ingen krav Kvartalsvis
 2 Bedrifter med mellom 1–6 millioner kortkjøp fra Visa eller fra Mastercard per år Årlig Ingen krav Kvartalsvis
 3 Bedrifter som har nettbutikk med mellom 20 000 og 1 millioner kortkjøp fra Visa eller Mastercard per år Ingen krav Årlig Kvartalsvis
 4 Andre bedrifter Ingen krav Anbefales årlig Anbefales årlig

Bedrifter innenfor visse bransjer på nivå 4 må gjennomgå en sertifisering og blir i så fall kontaktet av oss.

Hva betyr revisjonsmetodene?

  • Revisjon på stedet – bedriften engasjerer en revisor som er godkjent* av Mastercard og Visa. Revisoren reviderer sikkerhetsrutiner samt behandling og lagring av transaksjonsinformasjon, på stedet.
  • Egenrevisjon – består av et skjema som bedriften fyller ut.
  • Ekstern nettverksskanning – verktøy fra godkjent leverandør (Approved Scanning Vendor) skanner eksterne IP-adresser for å oppdage eventuelle sikkerhetsmangler i datanettverk.

* Du finner en liste over revisorer som er godkjent av Visa og Mastercard, og informasjon om hvilke land de opererer i, på www.pcisecuritystandards.org.

For mindre bedrifter

Hvis du har en butikk med mindre enn 1 million kortkjøp per år eller en nettbutikk med mindre enn 20 000 kortkjøp per år, må du selv ha oversikt over visse forhold rundt PCI.

For å hjelpe deg med å oppfylle PCI-kravene samarbeider vi med SecureTrust, som er godkjent QSA (Qualified Security Assessor). Vi har en rammeavtale med SecureTrust som tilbyr gunstige priser og PCI verktyget SecureTrust PCI Manager, som er et nettbasert verktøy som inneholder alt du trenger for å bli validert i henhold til PCI.

Slik gjør du:

  1. Gå til pci.securetrust.com/swedbank
  2. Klikk på "Get started!"
  3. Du betaler med kort i portalen og kan sette i gang PCI-prosessen umiddelbart.

Dette er inkludert i PCI-tilbudet:

  • PCI-spørreskjema – du begynner med å fylle ut spørreskjemaet i TrustKeeper.
  • Sårbarhetsskanning (hvis du har valgt dette) – i portalen bestiller du tid for månedlige sårbarhetsskanninger av de eksterne IP-adressene dine.
  • Rapporter – portalen presenterer rapporter for PCI-spørreskjemaet og sårbarhetsskanningen med eventuelle tiltak.
  • Tiltaksstøtte – i tilfeller der du må iverksette tiltak for å bli godkjent i henhold til PCI, får du forslag til tiltak.
  • Support – du får tilgang til Trustwaves engelskspråklige support på telefon 077-575 77 00 eller eventuelt på e-post support@securetrust.com alle dager i uken, døgnet rundt. I TrustKeeper finner du også svar på vanlige spørsmål (FAQ).

Når du har blitt godkjent i henhold til PCI, får du sertifiseringen "Attestation of Compliance" via TrustKeeper. Du får også tilgang til PCI-sertifikater som du for eksempel kan legge på nettstedet ditt.