Vad är PCI DSS?

Hur uppfyller man kraven i PCI DSS? – Läs mer här!

Om du arbetar i betalkortsbranschen har du förmodligen hört talas om PCI DSS. PCI DSS står för Payment Card Industry Data Security Standard och är en informationssäkerhetsstandard som omfattar alla företag som bearbetar, lagrar eller överför kortuppgifter – oavsett storlek eller transaktionsvolym.

Vi har gjort en lista med några viktiga frågor och svar som du behöver känna till om efterlevnaden av PCI DSS. Läs mer här.

Vad är PCI DSS?

Payment Card Industry Data Security Standard (PCI DSS) är en internationell informationssäkerhetsstandard som syftar till att skydda kortbetalningar och minska kortbedrägerier. PCI DSS en gemensam standard som har tagits fram och underhålls av – Visa Inc, MasterCard, American Express, Discover och JCB.

Varför skapades PCI DSS?

PCI security standard är tekniska- och operationella krav som är beslutade av PCI Security Standard Council (PCI SSC) för att skydda kortdata. PCI-DSS syftar till att minimera hanteringen av kortdata och annan känslig information, tex, kortnummer (PAN), Chipdata, PIN, CVC, etc. För att reducera risken att kortdata kommer i orätta händer vilket kan leda till bedrägerier, negativ påverkan på vårt varumärke och våra kunders. 

Vilka omfattas av PCI DSS?

Alla företag som hanterar kortdata, dvs lagrar, bearbetar och förmedlar kortdata måste följa kraven i PCI DSS.

Varför är det så viktigt att följa kraven i PCI DSS?

Genom att följa kraven i PCI DSS har man har gjort sitt bästa för att hålla sina kunders data och uppgifter skyddade och säkra, och för att undvika att uppgifterna används i bedrägligt syfte.

Vilka blir konsekvenserna för företag som inte uppfyller kraven?

Om vi som kortutgivare inte följer standarden kan vi åläggas att betala böter.

Vilka krav ställs i PCI DSS?

PCI DSS omfattar sex huvudmål vilka är indelade i 12 kravområden. Dessa är sen nedbrutna i ca 250 detaljerade krav som måste uppfyllas för att bli PCI DSS compliant.


Etablera och underhålla ett säkert nätverk

1. Installera och uppdatera en brandvägg för att skydda kortuppgifter

2. Inte använda fabriksinställda lösenord och andra säkerhetsparametrar i systemen


Skydda kortuppgifter

3. Skydda lagrade kortuppgifter

4. Kryptera överföring av kortuppgifter över öppna offentliga nätverk


Upprätta ett program för att hantera sårbarheter

5. Använda och regelbundet uppdatera antivirusprogram

6. Utveckla och underhålla säkra system och applikationer


Implementera starka behörighetskontroller

7. Begränsa tillgången till kortuppgifterna till dem som strikt behöver dem

8. Tilldela varje person med datortillgång ett unikt användar-ID

9. Begränsa den fysiska åtkomsten till kortuppgifterna


Övervaka och testa nätverk regelbundet

10. Spåra och övervaka all åtkomst till nätverksresurser och kortuppgifter

11. Testa säkerhetssystem och processer regelbundet


Upprätta en informationssäkerhetspolicy

12. Upprätta en policy som hanterar informationssäkerhet för anställda och uppdragstagare