Hvis du er ved at søsætte en webshop, er du sikkert stødt på begreber som PCI, PCI-standard eller PCI-certificering.

Men hvad er PCI for en størrelse? Hvad betyder det, og hvem står bag?

Normalvis vil en forretning ikke beskæftige sig direkte med PCI, da PCI vedrører forretningens betalingsgateway – altså, det firma der håndterer kortoplysningerne for forretningen.

Men enkelte forretninger kan være interesseret i at styre hele processen selv, og så er det nyttigt med lidt baggrundsviden om PCI.

 

Illustration-af-mand-der-viser-pc-med-jernkaeder-om

Det er vigtigt at sikre sine data ordentligt

Hvad er PCI?

PCI står for ‘Payment Card Industry’ (betalingskortindustrien), og når der henvises til PCI, drejer det sig oftest om den standard, der hedder ‘Payment Card Industry Data Security Standard’ (forkortet PCI DSS).

Det er en sikkerhedsstandard, der blev udviklet i 2004 i et samarbejde mellem kortudstederne Visa, MasterCard, American Express, Discover og JCB.

Formålet med standarden er at beskytte kortholderne ved at kræve fælles internationale standarder for, hvordan kortdata opbevares, håndteres og transmitteres.

De fem kortudstedere oprettede i 2006 ‘The Payment Card Industry Security Standards Council’ (PCI SSC), som ejer og vedligeholder af PCI-standarden.

Det er dog stadig Visa Europe, der står for håndhævelse af standarden på det europæiske marked.

Selve PCI DSS består af 12 relativt simple sikkerhedspunkter, der skal overholdes.

Tager man et nærmere kig på dem, står det hurtigt klart, at det drejer sig om mange flere. 211 for at være helt præcis – klik her for at se alle sikkerhedskravene.

Disse sikkerhedspunkter skal overholdes, før du må håndtere kortdata. Enkelt og ligetil.

… og så alligevel ikke.

Flere niveauer

En PCI-certificering er nemlig ikke bare en PCI-certificering. En forretning certificeres på 4 forskellige niveauer alt efter den årlige transaktionsmængde.

Niveau 1 gælder for forretninger med flere end 6 millioner transaktioner årligt og stiller følgelig de højeste sikkerhedskrav.

Tabel

Kilde: Visa – http://usa.visa.com/merchants/risk_management/cisp_merchants.html

Uanset niveau skal en ekstern virksomhed godkende forretningen.

Det sker enten ved årlige eller kvartalsvise sikkerhedsscanninger af en ‘qualified security assessor’ eller en ‘approved scanning vendor’ (henholdsvis QSA og ASV i dette forkortelsesvanvid), der er certificeret til at godkende forretninger af PCI SSC.

Inden for de fire niveauer er der dog også forskellige certificeringsgrader baseret på, hvad virksomheden bruger kortdataene til, og hvordan den opbevarer, håndterer og transmitterer dem. Og alt efter hvilken kasse forretningen ryger i, er der forskellige krav.

Så længe vi snakker om nethandel, er det dog min forståelse, at man som minimum skal gennemgå de kvartalsvise sikkerhedsscanninger af en ekstern, PCI-godkendt virksomhed og den årlige selvevaluering. Tager jeg fejl, må du endelig smide en kommentar.

PCI er et komplekst univers med tekniske begreber og indviklede procedurer, og jeg indrømmer blankt, at min viden stopper cirka her.

Hvis du vil læse mere, er der masser af information på www.pcisecuritystandards.org og www.pcicomplianceguide.org.

Hvorfor er PCI vigtigt?

PCI er vigtigt, fordi sikkerhed er vigtigt.

Som sagt er PCI-standarden sat i verden for at beskytte kortholdere og minimere risikoen for kreditkortssvindel.

Når alle, der håndterer kortoplysninger, skal overholde et minimum af sikkerhedskrav, så er det forbrugerens garanti for, at sikkerheden er i orden, når de handler med betalingskort.

Nethandel ville næppe fortsætte sin eksplosive vækst uden den høje sikkerhed, som forbrugeren har. Blandt andet takket være PCI.

Man kan argumentere for, at PCI også beskytter forretningerne. Når PCI kræver et minimum af sikkerhedsforanstaltninger hos forretningerne, mindskes risikoen for sikkerhedsbrud. Og sikkerhedsbrud er en dyr fornøjelse for forretningen: Der vanker klækkelige bøder fra kortudstederne, hvis en forretnings sikkerhed kompromitteres.

Faktisk koster det kassen, hvis der bare er mistanke om sikkerhedsbrister ved en forretning.

Du kan nok også selv forestille dig, hvordan det ville gå med din forretnings image, hvis det rygtes, at sikkerheden ikke er i orden.

Dermed udgør PCI et ekstra sikkerhedslag, der beskytter forretningen ved at kræve, at forretningen beskytter sig selv.

Du må aldrig tage let på PCI eller sikkerhed generelt. Det kan blive dyrt for dig.

Kan min forretning blive PCI-certificeret?

Formentlig. Du skal dog være opmærksom på det enorme arbejde og de heftige udgifter, der er forbundet med det.

Hvor dyrt det bliver, afhænger af din årlige transaktionsmængde, dit eksisterende IT-miljø og din forretningstype (bl.a. hvordan du håndterer kortdata).

Jeg kan ikke sige et specifikt beløb, da det beror på individuelle faktorer.

Skim de 211 sikkerhedspunkter ovenfor, så får du en ide om de tekniske krav.

Og hvad gør du så, hvis du ikke vil PCI-certificeres? Så finder du en betalings-gateway, der er.

Fordelen ved at bruge en leverandør er (udover at du sparer omkostningerne og arbejdet), at ansvaret flyttes over på leverandøren. Ved at bruge en PCI-certificeret betalingsgateway slipper du helt for at forholde dig til PCI.

Hvordan finder jeg en PCI-certificeret betalingsgateway?

Da PCI er et internationalt krav, skulle alle danske virksomheder, der håndterer kortdata, gerne være PCI-certificerede.

Men der er jo brodne kar derude, så du skal altid kontrollere dem.

Det nemmeste at gøre er at kontakte indløserne og spørge, hvilke betalings-gateways de samarbejder med. Indløserne reagerer nemlig prompte, hvis en gateway har problemer med PCI-certificeringen, så hos dem får du et kvalificeret bud på en god(kendt) leverandør.

Jeg håber, du er blevet lidt klogere på PCI nu, uanset om du vil bruge en betalings-gateway eller selv tage turen gennem PCI-møllen.

Afslutningsvis vil jeg nævne, at PCI DSS er et minimumskrav til IT-sikkerhed. Altså både kan og bør forretninger implementere foranstaltninger, der går ud over PCI-kravene.