Börja nu  Kontakta säljteamet 
Börja nu  Kontakta säljteamet 

Krav och process för PCI-intyg: En praktisk guide för företag

Payments
Payments

Ta emot betalningar online, i fysisk miljö och globalt med en betalningslösning som är skapad för alla typer av företag – från växande startup-företag till globala storföretag.

Läs mer 
  1. Introduktion
  2. Vad är PCI-intyg?
  3. Hur fungerar PCI-intygsprocessen?
  4. Vilka är PCI DSS-kraven för intygande?
  5. Vilka typer av PCI-intyg finns det?
    1. SAQ
    2. QSA-revision
  6. Hur fyller man i formuläret för PCI-intyg om efterlevnad?
  7. Vilka är de främsta fördelarna med PCI-intyg?
  8. Vilka utmaningar står företag inför när det gäller PCI-intyg?
  9. Så kan Stripe Payments hjälpa till
  10. Börja med Stripe 

Alla företag som tar emot kortbetalningar måste bevisa att de kan hantera kundernas data på ett säkert sätt. PCI-intyg (Payment Card Industry) är den formella processen som visar att ditt betalningssystem uppfyller branschens säkerhetsstandarder. Vanligtvis granskar banker och betalningspartner detta innan de godkänner att du hanterar transaktioner i stor skala upp.

Eftersom den genomsnittliga globala kostnaden för ett dataintrång uppgick till 4,4 miljoner USD 2025 är det ett viktigt ekonomiskt skydd att uppvisa överensstämmelse för att skydda sig mot den ökande kostnaden för dataintrång. Nedan förklarar vi vad ett intyg om efterlevnad (AOC) är, hur det fungerar, kraven bakom det och dess fördelar – och utmaningar – för företag.

Vad innehåller den här artikeln?

  • Vad är PCI-intyg?
  • Hur fungerar PCI-intygsprocessen?
  • Vilka är PCI DSS-kraven för intygande?
  • Vilka typer av PCI-intyg finns det?
  • Hur fyller man i formuläret för PCI-intyg om överensstämmelse?
  • Vilka är de främsta fördelarna med PCI-intyg?
  • Vilka utmaningar står företag inför när det gäller PCI-intyg?
  • Så kan Stripe Payments hjälpa till

Vad är PCI-intyg?

PCI-intyg är den formella försäkran om att ditt företag följer Payment Card Industry Data Security Standard (PCI DSS). Det kommer i form av ett intyg om efterlevnad: ett kort dokument som bekräftar att du har genomfört de nödvändiga säkerhetskontrollerna för att skydda kortinnehavarnas uppgifter.

AOC undertecknas antingen av en oberoende kvalificerad säkerhetsrevisor (QSA) eller av en auktoriserad chef efter att du har fyllt i ett frågeformulär för självbedömning (SAQ). Det sammanfattar hur din PCI-bedömning genomfördes, vad som granskades och om du uppfyllde kraven. Större företag genomgår vanligtvis QSA-revisioner, medan mindre företag förlitar sig på SAQ.

Ett intyg är giltigt i 12 månader, varefter det måste förnyas. Till skillnad från den detaljerade rapporten om efterlevnad (ROC), som förblir intern, är AOC det dokument du delar med banker, partners eller kunder som bevis på att dina betalningar uppfyller branschens standarder.

Hur fungerar PCI-intygsprocessen?

PCI-intyg är ett steg i en längre cykel: omfattning, säkerhet, bedömning, intygande och underhåll. Varje fas säkerställer att kortinnehavares data identifieras, skyddas, testas och kontinuerligt övervakas.

Här följer en stegvis genomgång av hur intygsprocessen funkar:

  • Definiera omfattning och nivå: Kartlägg var kortens data finns i dina system och bestäm din handlarnivå baserat på transaktionsvolym. Detta avgör hur rigorös din bedömning måste vara.

  • Inför kontroller: Implementera PCI DSS-kraven, som omfattar brandväggar, kryptering, åtkomstbegränsningar, övervakning och utbildning. Det här steget är vanligtvis det mest krävande, eftersom det kan innebära systemuppgraderingar, konfigurationsändringar och nya policyer.

  • Bedöm efterlevnad: Mindre handlare (nivåerna 2–4) slutför SAQ:er som är anpassade efter deras upplägg. Stora handlare (nivå 1) genomgår en revision på plats av en QSA, vilket resulterar i en detaljerad ROC. Oavsett vad du omfattas av måste du också göra sårbarhetsskanningar eller penetrationstester, särskilt för onlinemiljöer.

  • Åtgärda luckor: Det kan hända att ditt företag inte klarar första försöket. Vanliga orsaker till detta är att korrigeringar saknas, att lösenordsregler är svaga eller att nätverk inte är segmenterade. Kompenserande kontroller är tillåtna, men de måste dokumenteras och motiveras.

  • Slutför AOC: När problemen är lösta fyller du i det officiella AOC med information om företaget, bedömningsomfattning, sammanfattning av efterlevnad och underskrifter från en chef (och en QSA, om en sådan är inblandad). Detta blir ditt bevis på efterlevnad för banker och partner.

  • Upprätthåll efterlevnad året runt: Kvartalsvisa skanningar, systemövervakning och personalutbildning ser till att du följer standarden till nästa årliga förnyelse.

Vilka är PCI DSS-kraven för intygande?

För att underteckna ett intyg om efterlevnad måste ett företag visa att det uppfyller de 12 PCI DSS-kraven. De omfattar allt från nätverkssäkerhet till utbildning av anställda. Även om de 12 kraven är breda delas de upp i många delkrav – totalt mer än 300. På hög nivå motsvarar de sunt förnuft för att skydda kortinnehavares uppgifter.

Det här är de 12 kraven:

  • Brandväggar: Upprätthåll starka nätverksförsvar för att hålla obehörig trafik borta från kortinnehavarens data.

  • Inga standardinställningar: Ändra lösenord och inställningar som tillhandahålls av leverantören.

  • Datalagring: Lagra endast kortinnehavarens uppgifter om det är absolut nödvändigt och gör dem oläsliga genom kryptering eller tokenisering. Lagra aldrig känsliga uppgifter som CVV-koder.

  • Kryptering under överföring: Skydda kortens data när de rör sig över öppna nätverk med hjälp av stark kryptografi, till exempel Transport Layer Security (TLS).

  • Skydd mot skadlig kod: Håll antivirusprogram och antimalwareprogram aktiva och uppdaterade i alla system.

  • Säkerhetsuppdateringar: Tillämpa säkerhetsuppdateringar snabbt och följ säkra utvecklingsrutiner för anpassad kod.

  • Åtkomstkontroll: Begränsa dataåtkomsten strikt till personer som behöver det för sina jobb.

  • Användarautentisering: Ge varje användare ett unikt id, tillämpa starka lösenord och kräv flerfaktorsautentisering i tillämpliga fall.

  • Fysiska skyddsåtgärder: Begränsa fysisk åtkomst till servrar, terminaler och lagringsutrymmen där kortens data lagras.

  • Loggning och övervakning: Spåra och granska aktivitet på system som kommer i kontakt med kortuppgifter.

  • Testning: Kör regelbundna skanningar, penetrationstester och systemkontroller för att bekräfta att försvaret fungerar.

  • Policy och utbildning: Dokumentera säkerhetspolicyer, håll dem aktuella och utbilda anställda i att följa dem.

Det är inte alla krav som gäller i alla miljöer. Företag som aldrig lagrar kortdata kan till exempel markera lagringskontroller som ”ej tillämpligt”. Men organisationer måste vanligtvis ta itu med alla 12 på något sätt. PCI DSS v4.0.1, den senaste versionen, betonar flexibilitet samtidigt som dessa grunder förblir intakta.

Vilka typer av PCI-intyg finns det?

Hur du validerar PCI-efterlevnad beror på din transaktionsvolym och roll i betalningskedjan. Det finns två huvudvägar: SAQ- och QSA-revision. PCI-regler avgör vilken som gäller för ditt företag.

SAQ

Små och medelstora företag, som klassificeras som handlare på nivå 2 till nivå 4 enligt PCI-standarder, slutför SAQ:er. Din handlarnivå beror främst på hur många korttransaktioner du behandlar varje år: nivå 1 är för de största företagen, medan nivåerna 2–4 gäller för företag som hanterar färre transaktioner. SAQ är en standardiserad uppsättning ja-eller-nej-frågor som täcker PCI-kraven, med versioner som är specifika för olika betalningskonfigurationer (t.ex. SAQ A för helt outsourcad e-handel, SAQ D för företag som lagrar kortdata). Du väljer rätt SAQ baserat på hur du hanterar kortinnehavares data. När det är klart undertecknar en chef formuläret för intygande av efterlevnad för att intyga att svaren är korrekta.

QSA-revision

Handlare på nivå 1 och stora tjänsteleverantörer är föremål för QSA-ledda revisioner. Revisorn granskar system, policyer och kontroller i detalj och tar sedan fram en ROC och ett AOC. AOC i detta fall inkluderar QSA:s underskrift för att bekräfta att en oberoende granskning har utförts.

Tjänsteleverantörer har sina egna nivåer och har ofta strängare krav än handlare. I samtliga fall är slutprodukten densamma: ett AOC som dokumenterar hur bedömningen gjordes och vem som verifierade den.

Hur fyller man i formuläret för PCI-intyg om efterlevnad?

När det är dags att börja med intyget om efterlevnad är grovjobbet redan klart. Formuläret är ett protokoll över din bedömning, inte själva bedömningen. Det är viktigt att det är korrekt och tydligt, eftersom det här är dokumentet som du kommer att dela med banker eller partner. Så här fyller du i det:

  • Börja med rätt formulär: PCI Security Standards Council publicerar olika AOC-mallar för handlare och tjänsteleverantörer och för SQA-baserade bedömningar och QSA-ledda revisioner. Om du använder fel mall kan det orsaka förseningar.

  • Fyll i företagsuppgifter: Ange företagsinformation, kontaktuppgifter och datum för din bedömning. Detta knyter intyget till din organisation.

  • Beskriv miljön för kortinnehavardata: Anteckna vilka betalningskanaler du använder, vilka system och platser som omfattas och vilka tredjepartsleverantörer som är inblandade. Var specifik. I det här avsnittet definieras gränserna för din efterlevnad.

  • Sammanfatta efterlevnad: Formuläret listar de 12 PCI DSS-kravområdena. Markera var och en som ”på plats”, ”inte på plats” eller ”ej tillämpligt”. Helst är allt på plats när du skriver under.

  • Underteckna och skicka in: En chef undertecknar alltid AOC:n och en QSA lägger till sin underskrift för revisioner på nivå 1. Om några krav inte uppfylls ska du inkludera en dokumenterad handlingsplan för avhjälpande åtgärder.

När AOC:n är klar granskar du det noggrant, skickar in det till din inlösare och sparar en kopia.

Vilka är de främsta fördelarna med PCI-intyg?

PCI-intyg bekräftar att ditt företag har uppfyllt den säkerhetsstandard som kortbetalningsnätverken förväntar sig. Bekräftelsen ger fördelar som starkare skydd mot intrång, större förtroende från kunderna och färre hinder när du arbetar med partner.

Här är en närmare titt på hur PCI-intyg kan gynna ditt företag:

  • Kundernas förtroende: Genom att slutföra intyget visar du att du tar dataskydd på stort allvar, vilket försäkrar kunder och partner som förlitar sig på att du skyddar kortinformationen.

  • Lägre risk: Genom att följa PCI-ramverket minskar risken för kostsamma intrång genom att införa kontroller som kryptering, övervakning och regelbundna tester.

  • Färre påföljder: Bristande efterlevnad kan leda till böter och ansvar efter en överträdelse. Ett AOC hjälper till att visa due diligence och kan begränsa exponeringen.

  • Tillgång till fler partner: Vissa partner kräver bevis på PCI-efterlevnad för att göra affärer. Genom att ha ett AOC redo kan hinder undanröjas och nya möjligheter skapas.

  • Mindre efterlevnadsomfattning (med rätt leverantör): Om du använder en tjänsteleverantör på nivå 1 som Stripe kommer känsliga uppgifter ofta aldrig i kontakt med dina system. Detta förenklar dina egna skyldigheter och gör intygsprocessen enklare.

Vilka utmaningar står företag inför när det gäller PCI-intyg?

Att få ett PCI-intyg kräver tid, samordning och en tydlig förståelse för standarden.

De viktigaste hindren kan delas in i några kategorier:

  • Definiera omfattningen: Ett av de svåraste stegen är att kartlägga exakt var kortinnehavares data flödar. Saknar du en databas eller säkerhetskopia riskerar du att lämna en del av din miljö osäker. Omfattningsfel gör också att du väljer fel SAQ, vilket kan göra ditt intyg ogiltigt.

  • Komplexitet och skala: PCI DSS innehåller mer än 300 kontroller för 12 krav. För mindre team kan detta kännas överväldigande. Samtidigt måste större företag samordna förändringar mellan många avdelningar och system. Oavsett företagets storlek tar det tid att samla in dokumentation och bevis.

  • Upprätthålla efterlevnad: Det kan vara riskabelt att behandla PCI-intyg som en årlig övning. Kontroller kan glida ur plats och nya system kan lanseras utan lämpliga skyddsåtgärder. PCI DSS v4.0.1 kräver kontinuerlig övervakning för att motverka denna ”kryssrute”-strategi.

  • Ändrade krav: Standarder ändras. PCI DSS v4.0.1 introducerade nya regler för autentisering, testning och riskanalys. Företag måste hålla sig uppdaterade och anpassa sig snabbt när kraven ändras.

  • Noggrannhet och ärlighet: Intyget är ett juridiskt uttalande. Ofullständiga eller felaktiga svar, eller att inte implementera kompenserande kontroller, kan ge konsekvenser om ett intrång inträffar.

  • Kostnad: Oberoende revisioner, säkerhetsverktyg, skanningar och personaltid bidrar alla till kostnaderna. Dessa utgifter kan kännas tunga för småföretag, även om de ekonomiska konsekvenserna av bristande efterlevnad är mycket större.

Dessa utmaningar kan lösas med planering, rätt expertis och i många fall rätt partner.

Så kan Stripe Payments hjälpa till

Stripe Payments erbjuder en enhetlig, global betalningslösning som hjälper alla företag – från växande startupföretag till globala företag – att ta emot betalningar online, fysiskt och runt om i världen.

Det här kan Stripe Payments hjälpa till med:

  • Optimera kassaupplevelsen: Skapa en friktionsfri kundupplevelse och spara tusentals arbetstimmar med färdiga betalningsgränssnitt, tillgång till över 125 betalningsmetoder och Link, en plånbok skapad av Stripe.

  • Expandera till nya marknader snabbare: Nå kunder över hela världen och minska komplexiteten och kostnaderna för hantering av flera valutor med gränsöverskridande betalningsalternativ, tillgängliga i 195 länder och för över 135 valutor.

  • Skapa en enhetlig betalningsupplevelse i fysiskt miljö och online: Bygg en enhetlig handelsupplevelse i alla digitala och fysiska kanaler för att personanpassa interaktioner, belöna lojalitet och öka intäkterna.

  • Förbättrad betalningsprestanda: Öka intäkterna med en rad anpassningsbara, lättkonfigurerade betalningsverktyg, inklusive kodfritt skydd mot bedrägeri och avancerade funktioner för att förbättra auktoriseringstiderna.

  • Snabbare utveckling med en flexibel och pålitlig plattform för tillväxt: Bygg vidare på en plattform som är utformad för att skala upp med dig, med historisk upptid på 99,999 % och branschledande tillförlitlighet.

Läs mer om hur Stripe Payments kan underlätta dina betalningar online och i fysisk miljö, eller börja idag.

Innehållet i den här artikeln är endast avsett för allmän information och utbildningsändamål och ska inte tolkas som juridisk eller skatterelaterad rådgivning. Stripe garanterar inte att informationen i artikeln är korrekt, fullständig, adekvat eller aktuell. Du bör söka råd från en kompetent advokat eller revisor som är licensierad att praktisera i din jurisdiktion för råd om din specifika situation.

Fler artiklar

  • Ett fel har inträffat. Försök igen eller kontakta supporten.

Är du redo att sätta i gång?

Skapa ett konto och börja ta emot betalningar – inga avtal eller bankuppgifter behövs – eller kontakta oss för att ta fram ett specialanpassat paket för ditt företag.
Payments

Payments

Ta emot betalningar online, i fysisk miljö och globalt med en betalningslösning som är skapad för alla typer av företag.

Dokumentation om Payments

Hitta en guide för hur du integrerar Stripes betalnings-API:er.