For enhver virksomhed, der håndterer kreditkort- eller andre betalingskorttransaktioner, er forståelse af PCI-overholdelse afgørende for at opretholde et sikkert miljø, der beskytter ikke kun Deres kunder, men hele Deres drift.

Kort sagt kræver PCI-overholdelse, at virksomheder beskytter kortholderdata ved at følge en tjekliste over tekniske og driftsmæssige sikkerhedsforanstaltninger. Uanset om Deres virksomhed allerede er etableret eller lige er startet, er det grundlæggende i PCI-overholdelse ikke så kompliceret, som De måske tror.

Denne letforståelige guide vil give en oversigt over PCI-overholdelse, hvem der er forpligtet til at overholde reglerne, og hvordan De sikrer Deres e-mailkommunikation, der indeholder kortholderdata.

Hvad er PCI-overholdelse?

PCI står for Payment Card Industry, og PCI DSS står for Payment Card Industry Data Security Standard.

PCI DSS er en samling af globale sikkerhedsstandarder, der er skabt for at sikre, at alle virksomheder, der modtager, behandler, lagrer eller overfører kreditkortoplysninger, holder disse oplysninger sikre.

Disse standarder administreres af PCI Security Standards Council – en gruppe grundlagt af American Express, Discover Financial Services, JCB International, MasterCard Worldwide og Visa Inc.

Selvom PCI-overholdelse ikke er en lov, er det et obligatorisk krav håndhævet af store kreditkortvirksomheder i deres kontrakter med forhandlere.

Hvorfor betyder PCI-overholdelse noget?

PCI-overholdelse er afgørende for at beskytte Deres virksomhed og Deres kunder mod databrud og svindel. Manglende overholdelse kan føre til alvorlige bøder, juridiske konsekvenser og tab af kundernes tillid.

At sikre, at De opfylder PCI DSS-kravene, hjælper med at beskytte følsomme data og forbedrer Deres omdømme som en betroet enhed.

Hvem skal være PCI-kompatibel?

Enhver virksomhed over hele verden, der håndterer betalingskorttransaktioner, skal være PCI-kompatibel. Dette inkluderer onlineforhandlere, fysiske butikker og enhver organisation, der behandler kreditkortbetalinger. Hvis Deres virksomhed accepterer, sender eller lagrer kortholderdata, skal De overholde PCI DSS-krav(nyt vindue).

Små virksomheder er selv forpligtet til at være PCI-kompatible – også selvom de bruger en betalingsformidler som Stripe. Selvom brugen af en PCI-kompatibel betalingsformidler kan hjælpe med at opfylde nogle af kravene, er virksomheder stadig ansvarlige for at sikre, at deres egne systemer og praksis overholder PCI DSS-standarderne.

Tjekliste for PCI-overholdelse

For at blive PCI-kompatibel skal virksomheder følge de 12 krav beskrevet af PCI DS(nyt vindue)S(nyt vindue).

  1. Installer og vedligehold en firewall for at beskytte kortholderdata.
  2. Brug ikke leverandørens standardindstillinger for systemadgangskoder og andre sikkerhedsparametre.
  3. Beskyt lagrede kortholderdata ved hjælp af kryptering og sikre lagringsmetoder.
  4. Kryptér transmission af kortholderdata over åbne, offentlige netværk.
  5. Beskyt alle systemer mod malware, og opdater regelmæssigt antivirussoftware eller -programmer.
  6. Udvikl og vedligehold sikre systemer og applikationer.
  7. Begræns adgang til kortholderdata baseret på et forretningsmæssigt behov for kendskab.
  8. Identificer og godkend adgang til systemkomponenter.
  9. Begræns fysisk adgang til kortholderdata.
  10. Spor og overvåg al adgang til netværksressourcer og kortholderdata.
  11. Test regelmæssigt sikkerhedssystemer og -processer.
  12. Oprethold en politik, der adresserer informationssikkerhed for alt personale. 

Det er dog vigtigt at bemærke, at hver af disse krav er opdelt yderligere i forskellige underkrav. Overholdelse af hver af dem er afgørende.

Selvom e-mail-sikkerhed ikke eksplicit er nævnt, kræver standarden kryptering af kortholderdata under transmission over offentlige netværk, hvilket inkluderer e-mail.

En sikker e-mail er afgørende for PCI-overholdelse

Et afgørende aspekt af PCI-overholdelse er at sikre, at e-mail-kommunikation, der indeholder kundens betalingskortdata, er korrekt krypteret og beskyttet. Manglende sikring af disse værdifulde oplysninger kan føre til databrud, hvilket ikke kun kan skade Deres virksomheds omdømme, men også føre til ødelæggende økonomiske tab.

Her er nogle trin, De kan tage for at sikre, at Deres e-mail-kommunikation er sikker:

Brug end-to-end kryptering

End-to-end kryptering sikrer, at data krypteres på afsenderens enhed og kun dekrypteres på modtagerens enhed. Proton Mail tilbyder for eksempel dette sikkerhedsniveau, hvilket sikrer, at selv Proton ikke kan få adgang til indholdet af Deres e-mails.

Brug multi-faktor-godkendelse

Multi-faktor-godkendelse, såsom to-faktor-godkendelse (2FA), tilføjer et ekstra lag af sikkerhed ud over blot adgangskoder og kan forbedre Deres forsvar mod uautoriseret adgang betydeligt. Med et Proton for Business-abonnement kan De gøre det obligatorisk for Deres organisation at bruge 2FA for at styrke og sikre sikkerheden.

Regelmæssige sikkerhedsrevisioner

Gennemfør regelmæssige sikkerhedsrevisioner for at sikre, at Deres e-mail-kommunikation og andre systemer overholder PCI DSS-kravene. Disse revisioner kan afsløre sårbarheder i forældede firewall-konfigurationer og utilstrækkelige adgangskontroller. Dette hjælper med at identificere og adressere potentielle sårbarheder, før de kan udnyttes.

Forbliv PCI-kompatibel med Proton

Når De bruger Proton, beskytter De Deres virksomhedsdata, så ingen, selv ikke Proton, kan få adgang til dem. Nøglerne til Deres mest værdifulde oplysninger forbliver i Deres besiddelse til enhver tid. Dette engagement i privatliv og sikkerhed gør Proton til en ideel løsning for virksomheder, der stræber efter at opnå og opretholde PCI-overholdelse.

Proton startede som et projekt ledet af forskere, der mødtes hos CERN (European Organization for Nuclear Research). Vores mål er at omforme internettet, så det er folk og organisationer, der har kontrollen over deres data.

Det er enkelt at skifte til Proton Mail med vores Easy Switch-funktion, som lader Dem overføre alle Deres organisations e-mails, kontakter og kalendere problemfrit fra andre tjenester uden behov for træning af Deres team. Vores supportteam står også klar døgnet rundt for at yde live-support, hvis De har brug for yderligere hjælp. Proton Mail, vores end-to-end kryptering e-mail, og Proton Drive, vores end-to-end krypteret sky-lagerplads, gør det enkelt at opfylde krav til databeskyttelse og privatliv.

Brug af Proton for Business giver yderligere fordele, herunder:

  • Proton Mail: Beskyt Deres erhvervskommunikation med end-to-end krypteret e-mail, der sikrer, at kun De og Deres tilsigtede modtagere kan læse Deres beskeder.
  • Proton VPN: Sikr Deres internetforbindelse og beskyt Deres onlineaktivitet med højhastigheds-VPN-adgang.
  • Proton Calendar: Administrer Deres tidsplan med en krypteret kalender, der holder Deres erhvervsbegivenheder private.
  • Proton Pass: Gem og administrer Deres adgangskoder sikkert med vores krypterede adgangskodeadministrator.
  • Proton Drive: Gem og del filer sikkert med end-to-end kryptering, hvilket sikrer, at Deres data forbliver private og beskyttede.

Opdag, hvordan Proton kan gøre overholdelse enkel for Deres organisation ved at tilmelde dig Proton for Business eller kontakte vores salgsteam for at få mere skræddersyede løsninger.

Når De flytter Deres virksomhed ind i Protons økosystem, beskytter De samtidig Dem selv og Deres kunders data, overholder reglerne og hjælper med at opbygge en fremtid, hvor privatliv er standarden.