Logga in 

En guide i PCI-efterlevnad

Payment Card Industry Data Security Standards (PCI DSS) sätter minimistandarden för datasäkerhet. Här har du en detaljerad guide i hur du efterlever gällande regelverk och vad Stripe kan göra för att hjälpa dig.

Payments
Payments

Ta emot betalningar online, i fysisk miljö och globalt med en betalningslösning som är skapad för alla typer av företag – från växande startup-företag till globala storföretag.

Läs mer 
  1. Introduktion
  2. Så hjälper Stripe organisationer med PCI-efterlevnad
  3. Steg för steg-guide till efterlevnad av PCI DSS
    1. 1. Ta reda på vad som gäller för ditt företag
    2. 2. Ta reda på din integrationstyp och dokumentationskrav
    3. 3. Slutför din utvärdering och skicka in din SAQ-dokumentation
    4. 4. Övervaka och upprätthåll efterlevnad
  4. Så hjälper Stripe organisationer att upprätthålla PCI-efterlevnad
    1. Stöd för mindre företag
    2. Anpassad Dashboard-upplevelse
    3. Stöd när ditt företag växer
    4. Fler än en tjänsteleverantör
  5. Läs mer om Stripe 

Sedan 2005 har mer än 10 miljarder konsumentuppgifter exponerats vid drygt 9 000 dataintrång i USA. Det här är de senaste siffrorna från Privacy Rights Clearinghouse, som sedan 2005 rapporterar om dataintrång och säkerhetsöverträdelser som påverkar konsumenter. För att förbättra säkerheten för konsumentdata och förtroendet för betalningsekosystemet skapades en minimistandard för datasäkerhet. Visa, Mastercard, American Express, Discover och JCB bildade 2006 Payment Card Industry Security Standards Council (PCI SSC) för att administrera och hantera säkerhetsstandarder för företag som hanterar kreditkortsuppgifter.

Payment Card Industry Data Security Standard (PCI DSS) är den globala säkerhetsstandarden för alla enheter som lagrar, bearbetar eller överför kortinnehavares uppgifter och/eller känsliga autentiseringsuppgifter. PCI DSS sätter en grundläggande standard avsedd att skydda konsumenter och bidrar till att minska antalet bedrägerier och dataintrång i hela betalningsekosystemet. Standarden gäller för alla organisationer som tar emot eller behandlar betalkort, och om de inte uppfyller den blir de föremål för betydande påföljder, böter och kostnader.

Efterlevnad av PCI DSS omfattar tre huvudkomponenter:

  1. Hantering av kundens kreditkortsuppgifter, dvs. att känslig kortinformation samlas in och överförs på ett säkert sätt
  2. Säker datalagring, uppdelat i 12 säkerhetsdomäner i PCI-standarden, däribland kryptering, kontinuerlig övervakning och säkerhetstestning av åtkomst till kortuppgifter
  3. Årlig granskning av de obligatoriska säkerhetskontrollerna för att se till att de fungerar som de ska. Detta kan inkludera enkäter, frågeformulär, externa tjänster för sårbarhetsidentifiering och revisioner av tredje part (se steg-för-steg-guiden nedan för en tabell över de fyra kravnivåerna)

Alla företag som tar emot kreditkortsbetalningar måste följa PCI DSS, oavsett volym, geografisk region eller integrationsmetod. Genom att följa detta ramverk kan företag:

  • Bygga upp kundernas förtroende genom att se till att deras kortuppgifter är säkra
  • Skydda sig mot bedrägerier och dataintrång
  • Undvika böter för överträdelser när det kommer till PCI-efterlevnad

Friskrivning: Denna artikel bör endast användas i vägledningssyfte och bör inte ses som definitiva råd. Vi rekommenderar att du kontaktar ett QSA-företag (Qualified Security Assessor) för Payment Card Industry Data Security Standard (PCI DSS) om du behöver mer hjälp.

Så hjälper Stripe organisationer med PCI-efterlevnad

Om din affärsmodell kräver att du hanterar kortuppgifter kan du behöva uppfylla var och en av de 300+ säkerhetskontrollerna i PCI DSS. Det finns mer än 1 800 sidor officiell dokumentation om PCI DSS, publicerad av PCI Security Standards Council, och mer än 300 sidor bara för att förstå vilka formulär som ska användas för att styrka sin efterlevnad.

Stripe kan bidra till att avsevärt minska arbetet med PCI-efterlevnad för företag genom att tillhandahålla en rad olika tokeniserade integrationsmetoder (t.ex. Checkout, Elements, mobila SDK:er och Terminal SDK:er), som gör att man slipper hantera känsliga kreditkortsuppgifter direkt.

  • Stripe Checkout och Stripe Elements använder ett värdbaserat betalningsfält för hantering av alla betalkortsuppgifter, vilket innebär att kortinnehavare anger all känslig betalningsinformation i ett betalningsfält som kommer direkt från våra PCI DSS-validerade servrar.
  • Stripes mobila SDK:er och Terminal SDK:er gör det också möjligt för kortinnehavaren att skicka känslig betalningsinformation direkt till våra PCI DSS-validerade servrar.

Stripe agerar PCI-representant för alla sina kunder oavsett integrationstyp, och kan hjälpa till på olika sätt.

  • Vår Stripe PCI-guide analyserar din integrationsmetod och ger dig råd om hur du kan förenkla ditt efterlevnadsarbete.
  • Vi meddelar dig i förväg om en växande transaktionsvolym kräver förändringar i hur du styrker din efterlevnad.
  • Större företag eller storföretag kanske behöver arbeta med ett QSA-företag (Qualified Security Assessor) eftersom de lagrar kreditkortsuppgifter eller har ett mer komplext betalningsflöde, och det finns mer än 400 sådana QSA-företag runt om i världen. Vi kan hjälpa dig att komma i kontakt med flera revisorer som känner till Stripes olika integrationsmetoder.

Steg för steg-guide till efterlevnad av PCI DSS

1. Ta reda på vad som gäller för ditt företag

Det första steget mot PCI-efterlevnad är att veta vilka krav som gäller för din organisation. Det finns fyra olika nivåer för efterlevnad och de baseras vanligtvis på antalet kreditkortstransaktioner ditt företag hanterar under en 12-månadersperiod.

De olika nivåerna har olika krav på företag, bland annat gällande regelbundna sårbarhetsskanningar av en Approved Scanning Vendor (ASV). Det finns också ytterligare krav för tjänsteleverantörer, som är företagsstrukturer som är direkt involverade i behandling, lagring eller överföring av kortinnehavares uppgifter (cardholder data, CHD) och/eller känsliga autentiseringsuppgifter (sensitive authentication data, SAD) för en annan enhets räkning (t.ex. betalningsgateways, betaltjänstleverantörer och oberoende försäljningsorganisationer).

Efterlevnadsnivå
Gäller för
Krav
Nivå 1
  • Organisationer som årligen hanterar över 6 miljoner Visa- eller Mastercard-transaktioner, eller över 2,5 miljoner American Express-transaktioner
  • Har upplevt ett informationsläckage
  • Identifierad som "Nivå 1" av ett kortbetalningsnätverk (Visa, Mastercard osv.)
  • Efterlevnadsintyg (AOC) eller årlig rapport om efterlevnad (ROC) av en Qualified Security Assessor (QSA)
  • Kvartalsvisa nätverksskanningar genomförda av en Approved Scanning Vendor (ASV)
Nivå 2
  • Organisationer som hanterar mellan 1 till 6 miljoner transaktioner årligen
  • Självutvärderingsformulär (SAQ) eller efterlevnadsintyg (AOC) eller rapport om efterlevnad (ROC)
  • SAQ A-, SAQ A-EP- och SAQ D-dokumentation måste vara undertecknad av en PCI Qualified Security Assessor (QSA) eller en PCI-Certified Internal Security Assessor (ISA).1
  • Kvartalsvisa nätverksskanningar genomförda av en Approved Scanning Vendor (ASV)
Nivå 3
  • Organisationer som hanterar mellan 20 000 till 1 miljoner onlinetransaktioner årligen
  • Organisationer som hanterar färre än 1 miljon totala transaktioner årligen
  • Nivå 3- och nivå 4-användare är automatiskt registrerade i vårt riskhanteringsprogram, som erbjuder en anpassad och förenklad upplevelse baserat på olika faktorer, bland annat integrationstyp. I detta kan ingå att fylla i ett eller flera PCI DSS självutvärderingsformulär (SAQ:er).
  • Nivå 3-användare måste också göra kvartalsvisa nätverksskanningar som genomförs av en Approved Scanning Vendor (ASV).
Nivå 4
  • Organisationer som hanterar färre än 20 000 onlinetransaktioner årligen
  • Organisationer som hanterar upp till 1 miljon totala transaktioner årligen
  • Nivå 4-användare måste också göra kvartalsvisa nätverksskanningar som genomförs av en Approved Scanning Vendor (ASV)
1 Nivå 2-handlare fyller i SAQ A, SAQ A-EP eller SAQ D måste anlita en QSA för validering av efterlevnad

2. Ta reda på din integrationstyp och dokumentationskrav

När du har fastställt din PCI-nivå är nästa steg att bestämma vilka PCI-dokument du behöver fylla i för att styrka din efterlevnad baserat på vilken typ av integration du använder med Stripe, om du är en tjänsteleverantör etc.

Användare på nivå 1

Företag på nivå 1 kan inte använda ett självutvärderingsformulär (Self-Assessment Questionnaire, SAQ) för att bevisa PCI-efterlevnad. De måste årligen fylla i en efterlevnadsrapport (Report on Compliance, ROC) som undertecknats av ett QSA-företag för att styrka deras PCI-efterlevnad.

Användare på nivå 2–4

På nivå 2–4 finns det olika självutvärderingsformulär (SAQ) beroende på vilken betalningsintegration man har. Om du är osäker på vilken typ av självutvärderingsformulär (SAQ) som är rätt för dig kommer Stripes PCI-guide automatiskt att avgöra vilken typ av dokumentation som är lämplig för ditt företag.

Integration
Krav
Rekommendation
Checkout eller Elements
SAQ A
All inmatning av inhämtade kortuppgifter baseras på Checkout och Stripe.js och Elements inom en iframe som ligger på Stripes domän (och inte på din). På så sätt passerar dina kunders kortuppgifter aldrig dina servrar.
Connect
SAQ A Om du enbart inhämtar kortuppgifter via en Connect-plattform (exempelvis Squarespace) kan vi fastställa huruvida plattformen tillhandahåller nödvändig PCI-dokumentation.
Mobil SDK
SAQ A

Stripes utveckling och ändringskontroll för mobilt SDK uppfyller PCI DSS-kraven (krav 6.3–6.5) och implementeras via våra PCI-validerade system. När du enbart använder gränssnittskomponenter från våra officiella SDK:er för iOS eller Android, eller bygger ett betalningsformulär med Elements i en WebView, skickas kortnummer direkt från dina kunder till Stripe. Därmed minskar dina arbetsinsatser för att uppfylla PCI-kraven.

Om du gör på något annat sätt, exempelvis skriver din egen kod för att hantera kortuppgifter, kan du behöva uppfylla ytterligare PCI DSS-krav (6.3–6.5) och är inte behörig för en SAQ A. Prata med en PCI QSA för att ta reda på hur du på bästa sätt validerar att du uppfyller kraven enligt gällande vägledning från PCI Security Standards Council.

Om din ansökan kräver att dina kunder anger sina uppgifter på sina egna enheter då uppfyller du kraven för SAQ A. Om din ansökan tar emot kortuppgifter för flera kunder på din enhet (exempelvis en betalapp) ska du rådgöra med en PCI QSA för att ta reda på hur du på bästa sätt validerar att du uppfyller PCI-kraven.

Stripe.js v2
SAQ A-EP

Om du använder Stripe.js v2 för att skicka kortuppgifter som angetts i ett formulär på din webbplats, som finns på en egen server, måste du fylla i SAQ A-EP varje år för att visa att ditt företag uppfyller PCI-kraven.

Både Checkout och Elements erbjuder dig samma flexibilitet och anpassningsbarhet som ett formulär på en egen server, samtidigt som du uppfyller PCI-kraven för SAQ A.

Terminal
SAQ C

Om du enbart inhämtar kortuppgifter via Stripe Terminal kan du validera med hjälp av SAQ C.

Om du integrerar med Stripe med hjälp av andra metoder som anges i denna tabell måste du visa att du uppfyller kraven för var och en av dem i enlighet med beskrivningen.
Dashboard
SAQ C-VT

Manuella kortbetalningar via Dashboard är endast möjliga under särskilda omständigheter – och inte vid rutinmässig behandling av betalningar. Tillhandahåll ett lämpligt betalningsformulär eller en mobilapp där dina kunder kan ange sina kortuppgifter.

Vi kan inte verifiera att manuellt inmatade kortuppgifter är skyddade utanför Stripe. Därför måste du skydda kortuppgifter i enlighet med kraven för PCI-efterlevnad och fylla i SAQ C-VT varje år för att visa att ditt företag uppfyller PCI-kraven.

Direct API
SAQ D

När du skickar kortuppgifter direkt till Stripes API hanterar din integration dessa data direkt och du måste årligen visa att du uppfyller PCI-kraven med hjälp av SAQ D – den mest krävande av alla SAQ:er. Du kan minska arbetsbelastningen genom:

Dessutom är Radar, vårt verktyg för förebyggande av bedrägerier som inkluderar riskbedömning och regler, endast tillgängligt när man använder någon av våra metoder för tokenisering på klientsidan.

Tjänsteleverantörer

Om du är direkt involverad i behandlingen, lagringen eller överföringen av kortinnehavares uppgifter (cardholder data, CHD) och/eller känsliga autentiseringsuppgifter (sensitive authentication data, SAD) på uppdrag av en annan enhet (t.ex. betalningsgateways, betaltjänstleverantörer och oberoende försäljningsorganisationer) kan du klassificeras som en tjänsteleverantör. Detta innebär att du kommer att ha ytterligare krav som du måste verifiera att du uppfyller.

3. Slutför din utvärdering och skicka in din SAQ-dokumentation

När du har identifierat vilken utvärdering du behöver genomföra är nästa steg att slutföra den, fylla i relevant dokumentation om självutvärderingsformulär (SAQ) eller efterlevnadsrapport (ROC) och skicka detta till Stripe för granskning.

Användare med stora volymer bör anlita ett QSA-företag som är registrerat i regioner där företaget bedriver verksamhet. Ett QSA-företag hjälper dig att granska dina system mot PCI-kraven och ger råd om åtgärder vid eventuella brister. De tar även fram och skriver under lämplig dokumentation som du sedan kan dela med Stripe varje år.

Användare på nivå 3 och 4 kommer sannolikt att behöva fylla i ett självutvärderingsformulär för PCI DSS som är lämpligt för deras bransch. Fler resurser för handlare finns tillgängliga via PCI Security Standards Council. Stripe är också här för att hjälpa dig. Vår anpassade guide finns på din PCI Dashboard och kommer att ställa en rad frågor till dig för att kunna ta fram nödvändig dokumentation. Du kan använda Stripe PCI Dashboard för att ladda upp valfri SAQ- eller ROC-dokumentation som du själv har fyllt i.

4. Övervaka och upprätthåll efterlevnad

Det är viktigt att notera att PCI-efterlevnad inte är en engångshändelse. Det är en årlig process för att säkerställa att ditt företag förblir kompatibelt även när dataflöden och kundkanaler förändras.

PCI DSS sätter viktiga standarder för hantering och lagring av kortinnehavares uppgifter, men det ger inte tillräckligt skydd för alla betalningsmiljöer på egen hand. Att istället gå över till en säkrare kortbetalningsmetod som använder tokeniserade data (som t.ex. Stripe Checkout, Elements och mobila SDK:er) är ett mycket effektivare sätt att skydda din organisation. Detta tillvägagångssätt ger agila företag ett sätt att mildra konsekvenserna från ett potentiellt dataintrång och undvika den tidskrävande och kostsamma gamla metoden för PCI-validering.

I takt med att ett företag växer kommer även dess affärslogik och processer att växa, vilket innebär att efterlevnadskraven också kommer att utvecklas. Ett onlineföretag kan till exempel bestämma sig för att öppna fysiska butiker, gå in på nya marknader eller starta ett kundsupportcenter. Om något nytt rör betalkortsuppgifter är det en bra idé att proaktivt kontrollera om detta har någon inverkan på den valda metoden för PCI-validering, och verifiera sin PCI-efterlevnad på nytt vid behov.

För mer information om PCI-efterlevnad kan du besöka webbplatsen för PCI Security Standards Council. Om du bara läser den här guiden och några andra PCI-dokument rekommenderar vi att du börjar med dessa:

Så hjälper Stripe organisationer att upprätthålla PCI-efterlevnad

Stripe är en tjänsteleverantör på nivå 1 för PCI och certifieras årligen av ett oberoende QSA-företag (Qualified Security Assessor) för att säkerställa efterlevnad av alla PCI DSS-krav. Det innebär att alla våra produkter är säkra som standard, vilket minskar dina efterlevnadskrav.

Stripe agerar PCI-representant för alla sina kunder oavsett integrationstyp, och kan hjälpa till på olika sätt.

Stöd för mindre företag

Stripe förenklar PCI-arbetet avsevärt för mindre företag genom att erbjuda anpassat stöd, inklusive förifyllda självutvärderingsformulär (SAQ) och guidade flöden för vissa användare som använder säkrare integrationsmetoder som Checkout, Elements, mobila SDK:er och Terminal SDK:er.

Anpassad Dashboard-upplevelse

När du blir kund hos Stripe analyserar vi din transaktionshistorik och ger dig råd om hur du kan minska efterlevnadsarbetet genom en anpassad Dashboard-upplevelse.

Stöd när ditt företag växer

När din årliga transaktionsvolym ökar kan det hända att du hamnar på en annan PCI-nivå inom ett år. Stripe stöttar dig genom dessa övergångar genom att varna dig om nya krav när du närmar dig förnyelsedatumet för PCI.

Fler än en tjänsteleverantör

Om ditt företag använder mer än en betalleverantör kan din process för PCI-efterlevnad bli förvirrande. Stripe gör det enkelt genom stödja inlämning av intyg om överensstämmelse (Attestation of Compliance, AOC) från dina leverantörer för att underlätta ditt efterlevnadsarbete.

Är du redo att sätta i gång?

Skapa ett konto och börja ta emot betalningar – inga avtal eller bankuppgifter behövs – eller kontakta oss för att ta fram ett specialanpassat paket för ditt företag.
Payments

Payments

Ta emot betalningar online, i fysisk miljö och globalt med en betalningslösning som är skapad för alla typer av företag.

Dokumentation om Payments

Hitta en guide för hur du integrerar Stripes betalnings-API:er.