For enhver bedrift som håndterer kredittkort eller andre betalingskorttransaksjoner, er det avgjørende å forstå PCI-samsvar for å opprettholde et sikkert miljø som beskytter ikke bare kundene dine, men hele virksomheten din.

Kort fortalt krever PCI-samsvar at bedrifter beskytter kortholderdata ved å følge en sjekkliste over tekniske og operasjonelle sikkerhetstiltak. Enten bedriften din allerede er etablert eller bare skal komme i gang, er det grunnleggende i PCI-samsvar ikke så komplisert som du kanskje tror.

Denne lettfattelige guiden vil gi en oversikt over PCI-samsvar, hvem som er pålagt å følge det, og hvordan du sikrer e-postkommunikasjon som inneholder kortinnehaverdata.

Hva er PCI-samsvar?

PCI står for Payment Card Industry, og PCI DSS står for Payment Card Industry Data Security Standard.

PCI DSS er en samling globale sikkerhetsstandarder opprettet for å sikre at alle selskaper som aksepterer, behandler, lagrer eller overfører kredittkortinformasjon, holder denne informasjonen sikker.

Disse standardene administreres av PCI Security Standards Council – en gruppe grunnlagt av American Express, Discover Financial Services, JCB International, MasterCard Worldwide og Visa Inc.

Selv om PCI-samsvar ikke er en lov, er det et obligatorisk krav håndhevet av store kredittkortselskaper i deres kontrakter med forhandlere.

Hvorfor er PCI-samsvar viktig?

PCI-samsvar er avgjørende for å beskytte bedriften din og kundene dine mot databrudd og svindel. Manglende overholdelse kan føre til alvorlige straffer, juridiske etterspill og tap av kundetillit.

Å sikre at du oppfyller kravene i PCI DSS bidrar til å beskytte sensitive data og forbedrer ryktet ditt som en klarert enhet.

Hvem må være PCI-kompatibel?

Enhver bedrift over hele verden som håndterer betalingskorttransaksjoner må være PCI-kompatibel. Dette inkluderer nettforhandlere, fysiske butikker og enhver organisasjon som behandler kredittkortbetalinger. Hvis bedriften din aksepterer, overfører eller lagrer kortinnehaverdata, må du overholde PCI DSS-kravene(nytt vindu).

Små bedrifter er pålagt å være PCI-kompatible selv – selv om de bruker en betalingsbehandler som Stripe. Selv om bruk av en PCI-kompatibel betalingsbehandler kan bidra til å oppfylle noen av kravene, er bedrifter fortsatt ansvarlige for å sikre at deres egne systemer og praksis samsvarer med PCI DSS-standardene.

Sjekkliste for PCI-samsvar

For å bli PCI-kompatibel må bedrifter følge de 12 kravene skissert av PCI DS(nytt vindu)S(nytt vindu).

  1. Installer og vedlikehold en brannmur for å beskytte kortinnehaverdata.
  2. Ikke bruk leverandørens standardinnstillinger for systempassord og andre sikkerhetsparametere.
  3. Beskytt lagrede kortinnehaverdata med kryptering og sikre lagringsmetoder.
  4. Krypter overføring av kortinnehaverdata over åpne, offentlige nettverk.
  5. Beskytt alle systemer mot skadelig programvare og oppdater antivirusprogramvare eller programmer regelmessig.
  6. Utvikle og vedlikehold sikre systemer og applikasjoner.
  7. Begrens tilgang til kortinnehaverdata basert på forretningsmessig behov.
  8. Identifiser og autentiser tilgang til systemkomponenter.
  9. Begrens fysisk tilgang til kortinnehaverdata.
  10. Spor og overvåk all tilgang til nettverksressurser og kortinnehaverdata.
  11. Test sikkerhetssystemer og prosesser regelmessig.
  12. Oppretthold en retningslinje som adresserer informasjonssikkerhet for alt personell. 

Det er imidlertid viktig å merke seg at hvert av disse kravene er brutt ned ytterligere i ulike underkrav. Samsvar med hvert av dem er avgjørende.

Selv om e-postsikkerhet ikke er eksplisitt nevnt, krever standarden kryptering av kortinnehaverdata under overføring over offentlige nettverk, noe som inkluderer e-post.

En sikker e-post er avgjørende for PCI-samsvar

Et kritisk aspekt ved PCI-samsvar er å sikre at e-postkommunikasjon som inneholder kundenes kredittkortdata, er tilstrekkelig kryptert og beskyttet. Manglende sikring av denne verdifulle informasjonen kan føre til databrudd, som ikke bare kan skade virksomhetens omdømme, men også føre til ødeleggende økonomiske tap.

Her er noen grep du kan ta for å sikre at e-postkommunikasjonen din er sikker:

Bruk ende-til-ende-kryptering

Ende-til-ende-kryptering sikrer at data krypteres på avsenderens enhet og kun dekrypteres på mottakerens enhet. Proton Mail, for eksempel, gir dette sikkerhetsnivået og sikrer at selv ikke Proton har tilgang til innholdet i e-postene dine.

Bruk multifaktorautentisering

Multifaktorautentisering, som tofaktorautentisering (2FA), legger til et ekstra sikkerhetslag utover bare passord og kan forbedre forsvaret ditt betydelig mot uautorisert tilgang. Med et Proton for Business-abonnement kan du gjøre det obligatorisk for organisasjonen din å bruke 2FA for å styrke og sikre sikkerheten.

Regelmessige sikkerhetsrevisjoner

Utfør regelmessige sikkerhetsrevisjoner for å sikre at e-postkommunikasjonen din og andre systemer samsvarer med PCI DSS-kravene. Disse revisjonene kan avdekke sårbarheter i utdaterte brannmurkonfigurasjoner og feilaktige tilgangskontroller. Dette hjelper med å identifisere og adressere potensielle sårbarheter før de kan utnyttes.

Forbli PCI-samsvarende med Proton

Når du bruker Proton, beskytter du bedriftsdataene dine slik at ingen, ikke en gang Proton, har tilgang til dem. Nøklene til din mest verdifulle informasjon forblir i din besittelse til enhver tid. Dette engasjementet for personvern og sikkerhet gjør Proton til en ideell løsning for bedrifter som streber etter å oppnå og opprettholde PCI-samsvar.

Proton startet som et prosjekt ledet av forskere som møttes ved CERN (den europeiske organisasjonen for kjernefysisk forskning). Målet vårt er å omforme internett for å gi mennesker og organisasjoner kontroll over egne data.

Det er enkelt å bytte til Proton Mail med Easy Switch-funksjonen vår, som lar deg sømløst overføre alle organisasjonens e-poster, kontakter og kalendere fra andre tjenester uten behov for opplæring av teamet ditt. Support-teamet vårt er også tilgjengelig 24/7 for å gi live-støtte hvis du trenger ekstra hjelp. Proton Mail, vår ende-til-ende-krypterte e-post, og Proton Drive, vår ende-til-ende-krypterte skylagringstjeneste, gjør det enkelt å oppfylle krav til databeskyttelse og personvern.

Bruk av Proton for Business gir ytterligere fordeler, inkludert:

  • Proton Mail: Beskytt bedriftskommunikasjonen din med ende-til-ende-kryptert e-post, som sikrer at bare du og dine tiltenkte mottakere kan lese meldingene dine.
  • Proton VPN: Sikre internettilkoblingen din og beskytt din nettaktivitet med høyhastighets-VPN-tilgang.
  • Proton Calendar: Administrer timeplanen din med en kryptert kalender som holder bedriftens hendelser private.
  • Proton Pass: Lagre og administrer passordene dine på en sikker måte med vår krypterte passordapp.
  • Proton Drive: Lagre og del filer trygt med ende-til-ende-kryptering, noe som sikrer at dataene dine forblir private og beskyttet.

Oppdag hvordan Proton kan gjøre samsvar enkelt for organisasjonen din ved å registrere deg for Proton for Business eller ta kontakt med salgsteamet vårt for mer skreddersydde løsninger.

Når du flytter virksomheten din inn i Protons økosystem, beskytter du samtidig deg selv og kundenes data, forblir samsvarende og hjelper til med å bygge en fremtid der personvern er standarden.