PCI – slik påvirkes du

For større bedrifter

Hvis du har en butikk med minst 1 million kortkjøp per år eller en nettbutikk med 20 000–1 million kortkjøp per år, gjelder spesifikke PCI-krav for din bedrift. Om nødvendig tar vi kontakt med deg, slik at vi sammen kan sørge for at du oppfyller PCI-kravene.
I tabellen kan du se hvor ofte forskjellige revisjonstyper skal utføres for forskjellige bedrifter.

¹Bedrifter som tilhører nivå 2, som tar imot transaksjoner online (kriterier finnes i skjema
SAQ A / SAQ A-EP) eller via betalingsterminal som matcher kriteriene i SAQ D, gjennomfører en årlig granskning på lokasjon med godkjent revisor (QSA/ISA). Bedrifter som tilhører nivå 2, hvor miljøene matcher kriteriene i  B-IP, C-VT,, C eller P2PE kan ha mulighet til å gjennomføre en årlig granskning selv.

Bedrifter innenfor visse bransjer på nivå 4 må gjennomgå en sertifisering og blir i så fall kontaktet av oss.

Hva betyr revisjonsmetodene?

• Revisjon på stedet – bedriften engasjerer en revisor som er godkjent* av Mastercard og Visa. Revisoren reviderer sikkerhetsrutiner samt behandling og lagring av transaksjonsinformasjon, på stedet.
• Egenrevisjon – består av et skjema som bedriften fyller ut.
• Ekstern nettverksskanning – verktøy fra godkjent leverandør (Approved Scanning Vendor) skanner eksterne IP-adresser for å oppdage eventuelle sikkerhetsmangler i datanettverk.

* Du finner en liste over revisorer som er godkjent av Visa og Mastercard, og informasjon om hvilke land de opererer i, på www.pcisecuritystandards.org.

Skjerpede krav i 2024

PCI DSS v4.0 ble lansert i mars 2022 og vil være obligatorisk fra 2024 og utover. Den oppdaterte standarden inneholder en rekke skjerpede krav og presiseringer. Blant de viktigste er kravet om at alle e-handels kunder må utføre ekstern skanning for å bevise compliance. Skanningen må utføres av en ASV (Approved Scanning Vendor).