PCI-efterlevnad i Nya Zeeland: Krav, överväganden och bästa praxis

Connect
Connect

Världens mest framgångsrika plattformar och marknadsplatser, som Shopify och DoorDash, använder Stripe Connect för att integrera betalningar i sina produkter.

Läs mer 
  1. Introduktion
  2. Viktiga lärdomar
  3. Vad är PCI-efterlevnad i Nya Zeeland?
  4. Varför är PCI-efterlevnad viktigt för företag i Nya Zeeland?
  5. Hur fungerar PCI-efterlevnad?
  6. Vilka är kraven på PCI-efterlevnad för företag i Nya Zeeland?
    1. 1. Bygga och underhålla ett säkert nätverk
    2. 2. Skydda kontodata
    3. 3. Upprätthålla ett sårbarhetshanteringsprogram
    4. 4. Implementera starka åtkomstkontrollåtgärder
    5. 5. Övervaka och testa nätverk
    6. 6. Upprätthålla en informationssäkerhetspolicy
  7. Vilka utmaningar ställs nyzeeländska företag inför när det gäller PCI-efterlevnad?
    1. Större omfattning än förväntat
    2. Äldre infrastruktur
    3. Missförstånd kring vad outsourcing omfattar
    4. Personalomsättning och utbildningsklyftor
    5. Problemet med att välja SAQ
  8. Hur kan nyzeeländska företag säkerställa PCI-efterlevnad?
    1. Använd en betalningsleverantör som håller kortdata borta från dina system
    2. Kartlägg dina dataflöden först
    3. Skaffa rätt SAQ
    4. Ta penetrationstestning på allvar
    5. Tilldela tydligt internt ägandeskap
    6. Bygg in insamling av bevis i din verksamhet
  9. Så kan Stripe Connect hjälpa dig

Förlusterna till följd av bedrägeri och kortbedrägerier uppgick till totalt $194 miljoner nyzeeländska dollar (NZD) 2024 och fortsätter att öka. Även om det inte krävs enligt nyzeeländsk lag förväntas företag som accepterar cardpayments i landet efterleva Payment Card Industry Data Security Standard (PCI DSS). Kortbetalningsnätverk driver igenom efterlevnad via avtal med handlare. Underlåtenhet att efterleva kan leda till böter, högre transaktionskostnader eller till och med att man förlorar förmågan att acceptera cardpayments.

Nedan går vi igenom kraven för PCI DSS, de vanligaste utmaningarna för efterlevnad som nyzeeländska företag ställs inför, och hur man framgångsrikt uppnår efterlevnad.

Viktiga lärdomar

  • PCI DSS-efterlevnad drivs igenom via avtal med handlare med kortbetalningsnätverk och inlösande banker istället för nyzeeländsk lag. De ekonomiska och operativa konsekvenserna av bristande efterlevnad är dock betydande.

  • Omfattningen av dina skyldigheter för efterlevnad beror på hur mycket kortinnehavardata dina system hanterar. Du kan förenkla processen för efterlevnad genom att minska din exponering.

  • Att välja rätt frågeformulär för självbedömning (SAQ) och tilldela ett tydligt internt ägandeskap är två av de viktigaste besluten som påverkar ett nyzeeländskt företags framgång med efterlevnad.

Vad är PCI-efterlevnad i Nya Zeeland?

PCI-efterlevnad innebär att man uppfyller de globala kraven för PCI DSS kring ett säkert nätverk, kortinnehavardata samt åtkomstkontroll och informationssäkerhet. Dessa åtgärder måste följas av alla företag som hanterar kortinnehavardata – från ett kafé som tar emot kontaktlösa betalningar till ett mjukvaruföretag som fakturerar prenumeranter globalt.

Varför är PCI-efterlevnad viktigt för företag i Nya Zeeland?

Förlusterna till följd av kortbedrägeri i Nya Zeeland uppgår till hundratals miljoner dollar årligen. Efterlevnad bidrar till att skydda kortinnehavaredatal och minska risken för bedrägeri.

Konsekvenserna av bristande efterlevnad kan delas in i några få kategorier:

  • Böter: Betalningsnätverk och inlösande banker kan ta ut böter. Dessa kan variera från hundratals till hundratusentals dollar beroende på hur allvarlig överträdelsen är.

  • Ökade transaktionskostnader: Inlösande banker kan flytta företag som inte efterlever reglerna till högre förmedlingsavgiftsnivåer.

  • Ansvar för bedrägeriförluster: Om en överträdelse sker och du inte efterlevde reglerna vid tidpunkten, kan du hållas ansvarig av din försäkring och inlösande bank för kostnaden för bedrägliga transaktioner, kortutbyte och rättsmedicinsk undersökning.

  • Uppsägning av kortacceptans: I allvarliga fall kan inlösande banker eller processorer återkalla din möjlighet att acceptera kortbetalningar.

Det finns också risk för skadat rykte. Nya Zeelands Privacy Act 2020 kräver att företag meddelar drabbade individer och Privacy Commissioner efter en integritetsöverträdelse som orsakar allvarlig skada.

Hur fungerar PCI-efterlevnad?

PCI DSS organiserar sina krav kring miljön för kortinnehavardata (CDE), som är de system, människor och processer som lagrar, behandlar eller överför kortinnehavardata. Omfattningen av dina skyldigheter för efterlevnad beror till stor del på storleken och formen på din CDE.

Den nuvarande standarden är PCI DSS 4.x, som Security Standards Council släppte i mars 2022 med en övergångsdeadline som gjorde den till den enda aktiva versionen från och med mars 2024. Version 4.0 introducerade större förändringar som ger mer flexibilitet i hur företag kan uppfylla vissa krav. Mindre uppdateringar har släppts sedan dess, men huvudprinciperna förblir desamma. Efterlevnad valideras genom SAQ:er eller formella revisioner av en kvalificerad säkerhetsbedömare (QSA). Det beror också på din transaktionsvolym och hur du hanterar kortdata:

  • SAQ A: Detta är generellt den enklaste vägen och gäller företag som helt har outsourcat kortbehandling och inte själva kommer i kontakt med kortinnehavardata.

  • SAQ A-EP: Gäller vanligtvis om du använder en tredje parts betalningssida men din egen webbplats hanterar omdirigeringen.

  • SAQ D: Den mest omfattande vägen. SAQ D gäller företag som lagrar kortinnehavardata eller behandlar den på sätt som inte passar in i en enklare kategori.

  • Level 1-handlare: Level 1-handlare, som de som behandlar över 6 miljoner Visa- eller Mastercard-transaktioner årligen, måste skicka in en Report on Compliance (ROC) av en QSA.

Många små till medelstora nyzeeländska företag kommer att kvalificera sig för en av SAQ-vägarna. Vilken det blir beror till stor del på din modell för betalningsintegration.

Vilka är kraven på PCI-efterlevnad för företag i Nya Zeeland?

PCI DSS innehåller 12 kärnkrav. Dessa krav är grupperade under sex kontrollmål:

1. Bygga och underhålla ett säkert nätverk

Installera och underhålla nätverkssäkerhetskontroller. Detta är grunden för framgångsrik efterlevnad.

2. Skydda kontodata

Använd stark kryptografi för att skydda sparad kortinnehavardata. Spara aldrig kortverifieringskoden efter auktorisering, och se till att överföringen av kortinnehavardata är krypterad över öppna, offentliga nätverk.

3. Upprätthålla ett sårbarhetshanteringsprogram

Skydda system mot skadlig kod och utveckla säkra system och programvara. Detta inkluderar uppdateringsscheman, sårbarhetsskanning och applikationssäkerhetstestning.

4. Implementera starka åtkomstkontrollåtgärder

Kortinnehavardata bör vara begränsad till dem som behöver veta. Identifiera och autentisera varje användare med unika referenser, och begränsa fysiskt åtkomsten till system som lagrar eller behandlar kortinnehavardata.

5. Övervaka och testa nätverk

Övervaka och logga all åtkomst till nätverksresurser och kortinnehavardata. Testa säkerhetssystem och -processer regelbundet. Genomför sårbarhetsskanningar och penetrationstestning i många miljöer.

6. Upprätthålla en informationssäkerhetspolicy

Upprätthåll en policy som täcker informationssäkerhet för all personal och inkluderar utbildning och tydligt ansvar.

Vissa av dessa krav kan bli leverantörens ansvar, förutsatt att företaget i Nya Zeeland på rätt sätt har integrerat sin lösning för online- eller betalning i fysisk miljö.

Vilka utmaningar ställs nyzeeländska företag inför när det gäller PCI-efterlevnad?

Att bli efterlevande för PCI kan ställa till det för nyzeeländska företag på förutsägbara sätt. När du väl har insyn i var det går fel blir efterlevnaden hanterbar.

Större omfattning än förväntat

Ett vanligt problem med efterlevnad är att man underskattar omfattningen av sin CDE. Alla system som är anslutna till din CDE – oavsett om du känner till det eller inte – omfattas av PCI DSS-kraven. Företag kan upptäcka att deras CDE är mycket större än de antog när de börjar kartlägga dataflöden.

Äldre infrastruktur

Många företag i Nya Zeeland kan köra äldre hårdvara för POS-system (POS) och lokal mjukvara som inte utformades för PCI DSS 4.0. Att uppgradera kan vara dyrt och störande. Att upprätthålla efterlevnad med äldre system kan innebära ökad komplexitet.

Missförstånd kring vad outsourcing omfattar

Att använda en betalningsleverantör som uppfyller PCI-kraven gör inte automatiskt ditt företag efterlevande. Till exempel kan din webbplats ha en sårbarhet som gör att en angripare kan fånga upp kortdata innan den når leverantörens betalningsformulär, och det intrånget blir ditt problem. Gränsen mellan ditt och din leverantörs ansvar måste definieras tydligt.

Personalomsättning och utbildningsklyftor

PCI DSS kräver utbildning i säkerhetsmedvetenhet för all personal som interagerar med kortinnehavardata. Det kan vara svårt att hålla utbildningen aktuell i branscher med hög personalomsättning.

Problemet med att välja SAQ

Se till att du väljer rätt SAQ. Ett företag som tror sig kvalificera för SAQ A men i själva verket har bibehållit en viss inblandning i behandling av kortinnehavardata kan underrapportera sina skyldigheter gällande efterlevnad avsevärt.

Hur kan nyzeeländska företag säkerställa PCI-efterlevnad?

Ett bra sätt att minska din börda för efterlevnad är att minska din miljö för kortinnehavardata.

Överväg följande metoder:

Använd en betalningsleverantör som håller kortdata borta från dina system

Betalningsleverantörer som Stripe som använder tokenisering och värdbaserade fält för betalning samlar in kortdata direkt i sin miljö så att dina servrar inte tar emot råa kortnummer. I kombination med en Level 1-certifiering som tjänsteleverantör för PCI kan detta förenkla många företags vägar till efterlevnad.

Kartlägg dina dataflöden först

Du kan inte avgränsa en PCI-bedömning utan att veta vart kortinnehavardata tar vägen. Kartlägg noggrant varje system som kan komma i kontakt med kortdata. Närhelst du sedan lägger till en ny integration, uppdaterar ditt betalflöde eller ändrar ditt system för hantering av kundrelationer (CRM), ska du även uppdatera kartan.

Skaffa rätt SAQ

Prata med din inlösande bank eller en QSA innan du väljer din SAQ. Kortbetalningsnätverken publicerar kriterier för SAQ-behörighet, och rätt beslut är inte alltid uppenbart. Om du väljer fel tidigt förvärrar varje efterföljande beslut om efterlevnad felet.

Ta penetrationstestning på allvar

Penetrationstestning har en betydande inverkan på din framgång med efterlevnad. Ett genuint test av din CDE, inklusive dina betalningssidor, autentiseringsmekanismer och interna nätverkssegmentering, kan belysa sårbarheter som automatiserad skanning missar.

Tilldela tydligt internt ägandeskap

PCI-efterlevnad kan falla mellan stolarna när man antar att någon tar hand om den, till exempel IT, din finanschef eller den som ursprungligen ställde in betalningssystemet. Varje krav måste tilldelas en utsedd person.

Bygg in insamling av bevis i din verksamhet

Bedömare kräver bevis. Sårbarhetsskanningar, åtkomstloggar, register över genomförd utbildning och historik för säkerhetsuppdatering måste finnas och vara hämtbara. Att bygga in den dokumentationen i din vanliga verksamhet är mycket mindre smärtsamt än att återskapa den före en bedömning.

Så kan Stripe Connect hjälpa dig

Stripe Connect samordnar penningöverföringar mellan flera parter för programvaruplattformar och marknadsplatser. Det erbjuder snabb onboarding, inbäddade komponenter, globala utbetalningar och mycket annat.

Connect kan hjälpa dig att:

  • Lansera inom några veckor: Använd Stripe-baserad eller integrerad funktionalitet för att lansera snabbare och undvika de höga startkostnaderna och utvecklingstiden som normalt sett krävs för betalningsförmedling.

  • Hantera betalningar i stor skala: Använd verktyg och tjänster från Stripe så att du inte behöver avsätta extra resurser för marginalrapportering, skatteformulär, risk, globala betalningsmetoder eller efterlevnad vid onboarding.

  • Expandera globalt: Hjälp dina användare att nå fler kunder i hela världen med lokala betalningsmetoder och möjlighet att enkelt beräkna omsättningsskatt, moms och GST.

  • Bygg upp nya intäktsströmmar: Optimera intäkterna genom att ta ut avgifter på varje transaktion. Monetarisera Stripes funktioner genom att aktivera betalningar i fysisk miljö, omedelbara utbetalningar, debitering av omsättningsskatt, finansiering, utgiftskort och mycket annat på din plattform.

Läs mer om Stripe Connect eller kom igång idag.

Innehållet i den här artikeln är endast avsett för allmän information och utbildningsändamål och ska inte tolkas som juridisk eller skatterelaterad rådgivning. Stripe garanterar inte att informationen i artikeln är korrekt, fullständig, adekvat eller aktuell. Du bör söka råd från en kompetent advokat eller revisor som är licensierad att praktisera i din jurisdiktion för råd om din specifika situation.

Fler artiklar

  • Ett fel har inträffat. Försök igen eller kontakta supporten.

Är du redo att sätta i gång?

Skapa ett konto och börja ta emot betalningar – inga avtal eller bankuppgifter behövs – eller kontakta oss för att ta fram ett specialanpassat paket för ditt företag.
Connect

Connect

Lansera inom bara några veckor i stället för kvartal, bygg upp en lönsam betalningsverksamhet och väx på ett enkelt sätt.

Dokumentation om Connect

Läs om hur du förmedlar betalningar mellan flera olika parter.