PCI – slik påvirkes du

Avhengig av hvor mange kortkjøp bedriften har per år og hva slags miljø kjøpene utføres i, må ulike tiltak iverksettes for PCI. PCI-kravene er imidlertid de samme for alle bedrifter. Forskjellen ligger i hvordan du beviser at du oppfyller standarden.

For større bedrifter

Hvis du har en butikk med minst 1 million kortkjøp per år eller en nettbutikk med 20 000–1 million kortkjøp per år, gjelder spesifikke PCI-krav for din bedrift. Om nødvendig tar vi kontakt med deg, slik at vi sammen kan sørge for at du oppfyller PCI-kravene.
I tabellen kan du se hvor ofte forskjellige revisjonstyper skal utføres for forskjellige bedrifter.

Nivå Kriterier Revisjon på stedet (On-site Audit) Egenrevisjon (Self Assessment) Ekstern nettverksskanning
 1 Bedrifter med mer enn 6 millioner kortkjøp fra Visa eller fra Mastercard per år Årlig Ingen krav Kvartalsvis
 2 Bedrifter med mellom 1–6 millioner kortkjøp fra Visa eller fra Mastercard per år Årlig1 Ingen krav Kvartalsvis
 3 Bedrifter som har nettbutikk med mellom 20 000 og 1 millioner kortkjøp fra Visa eller Mastercard per år Ingen krav Årlig Kvartalsvis
 4 Andre bedrifter Ingen krav Anbefales årlig Anbefales årlig

1Bedrifter som tilhører nivå 2, som tar imot transaksjoner online (kriterier finnes i skjema
SAQ A / SAQ A-EP) eller via betalingsterminal som matcher kriteriene i SAQ D, gjennomfører en årlig granskning på lokasjon med godkjent revisor (QSA/ISA). Bedrifter som tilhører nivå 2, hvor miljøene matcher kriteriene i  B-IP, C-VT,, C eller P2PE kan ha mulighet til å gjennomføre en årlig granskning selv.

Bedrifter innenfor visse bransjer på nivå 4 må gjennomgå en sertifisering og blir i så fall kontaktet av oss.

Hva betyr revisjonsmetodene?

  • Revisjon på stedet – bedriften engasjerer en revisor som er godkjent* av Mastercard og Visa. Revisoren reviderer sikkerhetsrutiner samt behandling og lagring av transaksjonsinformasjon, på stedet.
  • Egenrevisjon – består av et skjema som bedriften fyller ut.
  • Ekstern nettverksskanning – verktøy fra godkjent leverandør (Approved Scanning Vendor) skanner eksterne IP-adresser for å oppdage eventuelle sikkerhetsmangler i datanettverk.

* Du finner en liste over revisorer som er godkjent av Visa og Mastercard, og informasjon om hvilke land de opererer i, på www.pcisecuritystandards.org.

Skjerpede krav i 2024

PCI DSS v4.0 ble lansert i mars 2022 og vil være obligatorisk fra 2024 og utover. Den oppdaterte standarden inneholder en rekke skjerpede krav og presiseringer. Blant de viktigste er kravet om at alle e-handels kunder må utføre ekstern skanning for å bevise compliance. Skanningen må utføres av en ASV (Approved Scanning Vendor).

Flere forslag til deg

PCI-sjekkliste

Vi har samlet noen av de viktigste PCI-kravene som bedriften din må oppfylle for å sikre at informasjonen behandles riktig.

Se PCI-sjekklisten her

Begrens risikoen for svindel i butikken

Hva kan du gjøre for ikke å bli utsatt for svindel i butikken din? Vi har samlet noe av det du bør tenke på for å minimere risikoen.

Les mer om risikobegrensning

Begrens risikoen for svindel i nettbutikken

Hva kan du gjøre for å begrense risikoen for falske ordrer og annen svindel i nettbutikken din? Vi har samlet noen av de viktigste tipsene.

Les mer om risikobegrensning