Hva betyr egentlig PCI-sertifisering? Hva betyr det for deg som driver en bedrift, og hvordan blir et selskap PCI-sertifisert? Vi oppklarer eventuelle uklarheter og spørsmål om emnet og forteller hva du kan gjøre for å behandle kort- og kundeopplysninger på en sikrere måte.
Hva innebærer en PCI-sertifisering?
PCI DSS, som ofte bare kalles PCI, står for "Payment Card Industry Data Security Standard".
Det kan oppsummeres som en rekke krav og metoder som beskriver hvordan du forventes å behandle kundenes kunde- og kortopplysninger når du tar betalt med kort. Ganske enkelt for å gjøre det så sikkert som mulig og redusere risikoen for svindel.
Det handler altså om deg som driver en nettbutikk eller fysisk butikk og behandler betalingskort, og ditt ansvar for at uvedkommende ikke skal få tilgang til kundenes betalingsopplysninger.
Noen eksempler på krav som stilles, er at du skal gjøre følgende:
- Utføre regelmessige tester
- Sikre at kortopplysningene som lagres, er kryptert
- Ha rutiner for hvordan autoriserte personer behandler og har tilgang til opplysningene
For å gjøre det enda enklere for deg å vite hva du må å gjøre for å nå riktig nivå for PCI DSS har vi utarbeidet en sjekkliste. Med denne kan du undersøke hvilke punkter bedriften din allerede følger eller bør følge.
Hva skjer hvis du ikke er sertifisert?
Å ikke opprettholde en såkalt god PCI-standard, kan bli kostbart. Hvis du for eksempel blir utsatt for et datainnbrudd og ikke oppfyller kravene som stilles til behandling av kort- og kundeopplysninger, risikerer du både bøter og at bedriften din ikke lenger får tilby kortkjøp.
Sertifiseringen fungerer dermed som en garanti for at du har gjort alt du kan for å redusere risikoen for at uvedkommende skal få tilgang til opplysninger om kundene dine og kortene deres. Så i tillegg til at det er en beskyttelse for kundene dine, styrker det bedriftens troverdighet.
Slik blir du PCI-sertifisert
Kravene som stilles ved en PCI-sertifisering, er de samme, uavhengig av bedriftens størrelse, inntekter, produkter eller tjenester. Forskjellen ligger i hvordan du kan sertifisere at du oppfyller kravene som stilles til sertifisering. For å vite hvilke krav som stilles til bedriften din, kan du se tabellen vår for kontroller og rapportering.
Det er viktig at du ser på disse kravene og metodene som regelmessige rutiner, og ikke bare noe bedriften din utfører og haker av på en oppgaveliste. Det å beskytte kort- og kundeopplysninger er en oppgave som pågår kontinuerlig, og derfor er det viktig at du sørger for å ha tydelige rutiner for hvordan bedriften din jobber med PCI.
Når bedriften din er godkjent, får du tilgang til både en attest og et sertifikat som viser at bedriften oppfyller kravene til PCI DSS.
Hvordan kan vi hjelpe deg med å bli sertifisert?
Hva du må gjøre for å bli sertifisert, kan variere, avhengig av hvordan virksomheten din ser ut. Vi hjelper deg gjerne med å få det riktig. For eksempel ved å komme i kontakt med en regnskapsfører, også kalt kvalifisert sikkerhetsvurderer (QSA), som kan gjennomgå måten du behandler kort- og kundeopplysninger på og hjelpe deg i gang med gode rutiner.
Vil du vite mer?
Vi hjelper deg gjerne hvis du har spørsmål om PCI og ønsker å komme i gang med sikker kortbetaling. Kontakt oss via kontaktskjemaet nedenfor, eller ring oss på +47 220 36 045.
