Allt du behöver veta om PCI-efterlevnad

Att acceptera betalningar online medför vissa risker. Det kommer alltid att finnas bedragare som försöker stjäla betalningsinformation från osäkra nätverk, vilket är anledningen till att PCI-efterlevnad är viktigare än någonsin.

Om du tar emot betalningar via din webbplats är det viktigt att du förstår PCI-efterlevnad och vad det innebär för din verksamhet. Om du inte tar det på allvar kan du utsätta dina kunder och din verksamhet för onödiga risker.

En 2017 Verizon Data Breach Incident Report visade att det inträffade nästan 42 068 dataintrång det året. Låt inte din verksamhet vara en av dem.

Du har förmodligen hört talas om PCI-efterlevnad tidigare, men du kanske inte vet vad det är och varför det är relevant. I det här inlägget vill vi bryta ner allt för dig.

Vad är PCI DSS?

PCI DSS står för Payment Card Industry Data Security Standard. Det är en uppsättning standarder som fastställts av PCI Security Standards Council (PCI SSC) gällande hur företag hanterar kreditkortsbetalningar.

PCI SSC grundades av de stora kreditkortsföretagen: Visa, MasterCard, American Express, Discover och JCB. Ursprungligen hade de alla unika säkerhetsstandarder, men de gick samman 2006 för att standardisera allt.

Målet med initiativet är att skydda känslig konsumentinformation, inklusive kreditkortsnummer. Detta är bra för konsumenten eftersom det minskar risken för att företag missbrukar deras personliga information eller att hackare och bedragare stjäl den. Det är också bra för betalningsbranschen eftersom det minskar sannolikheten för återkrav och obetalda skulder.

Även om PCI-efterlevnad inte är en lag, måste du följa standarderna om du vill arbeta med något av dessa företag (och det måste du i princip om du vill hantera kreditkort).

Vad räknas som känslig information? Primärt kontonummer, kortinnehavarens namn, utgångsdatum, servicekod, magnetremsdata, chip, CAV2, CVC2, CVV2, CID, PIN-koder, PIN-block och allt annat du använder för att behandla en transaktion.

PCI DSS fastställer 12 krav som du måste följa för att säkert och tryggt kunna acceptera, lagra, bearbeta och överföra kortinnehavardata. Om du misslyckas med att följa även ett enda, är du inte compliant. Varje krav adresserar en viktig komponent av informationssäkerhet.

1. Installera och underhåll en brandväggskonfiguration för att skydda kortinnehavardata.
2. Använd inte leverantörstillhandahållna standardinställningar för systemlösenord och andra säkerhetsparametrar.
3. Skydda lagrad kortinnehavardata.
4. Kryptera överföring av kortinnehavardata över öppna, publika nätverk.
5. Skydda alla system mot skadlig kod och uppdatera regelbundet antivirusprogram eller program.
6. Utveckla och underhåll säkra system och applikationer.
7. Begränsa åtkomsten till kortinnehavardata baserat på affärsbehov.
8. Identifiera och autentisera åtkomst till systemkomponenter.
9. Begränsa fysisk åtkomst till kortinnehavardata.
10. Spåra och övervaka all åtkomst till nätverksresurser och kortinnehavardata.
11. Testa regelbundet säkerhetssystem och processer.
12. Upprätthåll en policy som behandlar informationssäkerhet för all personal.

Om du gör någon form av finansiell transaktion är det ditt ansvar att vara PCI-kompatibel. Detta inkluderar att acceptera kreditkort via telefon.

Dessutom är det ditt jobb att se till att alla leverantörer som förser dig med programvara eller tjänster, eller något företag eller person du anlitar, också är PCI-kompatibla.

Om du till exempel använder Stripe för att bearbeta dina kreditkortsbetalningar kan du hållas ansvarig om deras tjänst visar sig vara icke-kompatibel. (Lyckligtvis är det ingen stor risk med Stripe, vilket är varför vi rekommenderar dem.)

Du förväntas vara PCI-kompatibel oavsett storleken på din verksamhet, även om du bara bearbetar en transaktion per år. Om inte kan du drabbas av allvarliga påföljder.

För den mest uppdaterade informationen är det alltid bäst att besöka PCI SSC:s webbplats. Deras standarder ändras regelbundet och ändras beroende på din verksamhet, så du vill hålla dig uppdaterad. Gör dig medveten om innehållet på deras handlar sida.

PCI-handlarnivåer

Typen av säkerhet du behöver beror på antalet betalningar du genomför årligen. Ju fler transaktioner du bearbetar, desto mer attraktiv är du för hackare och illvilliga parter, så PCI-kompatibilitet är uppdelad i fyra nivåer:

Nivå 1 är för handlare som bearbetar mer än sex miljoner transaktioner årligen. De måste lämna in kvartalsvisa nätverksskanningar av en godkänd skanningsleverantör och en årlig efterlevnadsrapport av en kvalificerad säkerhetsbedömare. De måste också genomgå penetrationstester.

Nivå 2 är för handlare som bearbetar en till sex miljoner årliga transaktioner. De måste lämna in en årlig självbedömningsenkät (SAQ), en bedömning på plats utförd av en kvalificerad säkerhetsbedömare (QSA), en kvartalsvis nätverksskanning och penetrationstestning.

Nivå 3 är för företag som bearbetar 20 000 till en miljon årliga transaktioner. Nivå 4 är för företag som bearbetar färre än 20 000 årliga transaktioner. Båda krävs för att genomföra en årlig självbedömningsenkät, kvartalsvis nätverksskanning och några andra krav. De flesta företag faller inom nivå fyra, den lägsta kategorin.

I vissa fall höjer PCI SSC vissa handlare till högre nivåer beroende på deras typ av verksamhet (vissa medför högre risk än andra) eller om de har drabbats av ett dataintrång tidigare.

Påföljder vid bristande efterlevnad

Om du inte följer PCI-standarderna riskerar du att drabbas av dataintrång. Om en illvillig person får tag på dina kunders betalningsinformation och skapar felaktiga debiteringar, tvingas kreditkortsföretagen att ådra sig illegitima kostnader, så de tar bristande efterlevnad mycket allvarligt.

Betalningsvarumärkena (Visa, MasterCard, American Express, Discover och JCB) kan bötfälla handlare, banker eller andra leverantörer av betalningshantering för bristande efterlevnad efter eget gottfinnande. Dessa böter ligger ofta mellan 5 000 och 10 000 USD per månad.

Du kan också bli skyldig att betala för kostnader för kortersättning (när kreditkortsanvändare behöver sina konton eller kort ändras eftersom de har komprometterats) och kostsamma forensiska revisioner av din verksamhet.

Ännu värre är att du kan hållas civilrättsligt ansvarig för monetära skador som dina kunder upplever på grund av vårdslös hantering. Det innebär att folk kan stämma dig för pengarna de förlorar om din bristande efterlevnad har komprometterat deras personliga information.

Dessutom har betalningsvarumärkena rätt att öka sina avgifter för din verksamhet. Om de beslutar att du är en för stor risk, kan de helt upphöra att göra affärer med dig. Kreditkortsmärkena är inte offentliga med sina metoder för att fastställa avgifter, men deras rättvisa kan vara ganska skadlig för småföretag. Det är därför det är så viktigt att du förstår vad PCI-efterlevnad innebär och om du är det.

Betalningsgateways

De flesta handlare bearbetar transaktioner via betalningsgatewayer. Du känner förmodligen igen namn som Stripe, PayPal, Authorize.net, etc. Gatewayer är front-end-plattformar som ansluter till kreditkortsföretagen.

Detta innebär att du inte behöver ha individuella avtal med kreditkortsföretagen. När du arbetar med en gateway tar de de indata du ger dem (kundernas betalningsinformation) och dirigerar den datan till lämplig bank. De tillhandahåller också ett antal verktyg för bedrägeriupptäckt som skyddar alla.

Här är lite goda nyheter: Om du använder en betalningsgateway är du med största sannolikhet redan PCI-kompatibel eftersom gatewayen säkerställer att du är det. Hela deras affärsmodell bygger på en god relation med kreditkortsmärkena, så de tar *ingen* risk. Till exempel förbjuder Stripe uttryckligen vissa företag att använda sin plattform eftersom dessa företag medför en hög risk.

Dessutom innebär användningen av en gateway att du kan utnyttja deras rykte. Om du till exempel skulle försöka upprätta ett avtal direkt med Mastercard skulle det vara dyrt eftersom Mastercard inte skulle ha mycket anledning att lita på dig.

Men om du använder en gateway som Stripe är du inte Mastarcards kund. Stripe är Mastarcards kund, och Mastercard litar på Stripe eftersom de har bearbetat miljontals framgångsrika transaktioner tillsammans. Det innebär att Stripe får en bättre kurs än du någonsin skulle kunna få.

Innebär användningen av en betalningsgateway att du kan ignorera PCI-efterlevnad? Absolut inte.

Det finns många sätt att bryta mot PCI-efterlevnad som inte har något att göra med gatewayen. Om du till exempel skrev ner dina kunders kreditkortsinformation på ett papper och tejpa fast det på väggen, skulle du bryta mot PCI-standarderna, men det finns inget sätt som gatewayen kunde skydda dig.

PCI-efterlevnadsstandarder ändras

Tyvärr är datatjuvar, hackare och illvilliga parter kreativa och sofistikerade. De anpassar sina metoder till ny säkerhetsteknik lika snabbt som vi kan skydda oss.

Så det sista du behöver veta om PCI-efterlevnad är detta: Standarder ändras hela tiden. Vad som är acceptabelt idag kanske inte fungerar imorgon. Om du hanterar din egen betalningshantering är det avgörande att du håller dig uppdaterad om ändringarna så att du inte gör dig sårbar.

Om du använder en betalningsprocessor (som Stripe, PayPal, Authorize.net, etc.), kommer processorn att hålla dig kompatibel (om det är en av deras funktioner), men det är ändå bra att förstå det föränderliga landskapet.