Börja nu  Kontakta säljteamet 
Börja nu  Kontakta säljteamet 

PCI DSS-checklista för företag: Hur man uppfyller efterlevnadsstandarder

Payments
Payments

Ta emot betalningar online, i fysisk miljö och globalt med en betalningslösning som är skapad för alla typer av företag – från växande startup-företag till globala storföretag.

Läs mer 
  1. Introduktion
  2. Vad är PCI DSS-efterlevnad?
  3. Vad innehåller checklistan för PCI DSS-efterlevnad?
    1. 1. Installera och underhålla brandväggar
    2. 2. Undvik standardlösenord och standardinställningar
    3. 3. Skydda data som lagras om kortinnehavare
    4. 4. Kryptera data under överföring
    5. 5. Skydda dig mot skadlig kod
    6. 6. Patchsystem och applikationer
    7. 7. Begränsa dataåtkomst efter roll
    8. 8. Autentisera användare unikt
    9. 9. Kontrollera fysisk åtkomst
    10. 10. Spåra och övervaka åtkomst
    11. 11. Testa säkerheten regelbundet
    12. 12. Upprätthålla säkerhetspolicyer och utbilda personal
  4. Hur övervakar och testar du nätverk för PCI-efterlevnad?
    1. Loggning och övervakning
    2. Skanning av sårbarheter
    3. Penetrationstestning
    4. Kontinuerlig validering
  5. Hur kan företag upprätthålla en säker datamiljö för kortinnehavare?
    1. Definiera och minimera omfång
    2. Förvara inte det du inte behöver
    3. Tokenisera och kryptera
    4. Segmentera ditt nätverk
    5. Begränsa och övervaka åtkomst
  6. Vilka steg bör du vidta för att förbereda dig för PCI DSS-efterlevnad?
    1. Omfattning
    2. Inventera inventarier
    3. Gapanalys
    4. Valideringsväg
    5. Tidslinje och roller
  7. Hur upprätthåller du PCI DSS-efterlevnad över tid?
    1. Schemalägg återkommande kontroller
    2. Ordna upprepade utbildningar
    3. Granska återförsäljarna
    4. Var redo att svara
  8. Så kan Stripe Payments hjälpa till
  9. Börja med Stripe 

Att skydda kundernas betalningsdata handlar om att bygga förtroende och hålla ditt företag effektivt. Den genomsnittliga globala kostnaden för intrång nådde 4,88 miljoner dollar 2024 så det är viktigt att upprätthålla höga standarder.

Checklistan för PCI DSS (Payment Card Industry Data Security Standard) förvandlar en skrämmande standard till tydliga steg som alla företag kan följa för att skydda kortinnehavarens information. Nedan förklarar vi vad checklistan kräver och hur du upprätthåller efterlevnaden över tid.

Vad innehåller den här artikeln?

  • Vad är PCI DSS-efterlevnad?
  • Vad innehåller checklistan för PCI DSS-efterlevnad?
  • Hur övervakar och testar du nätverk för PCI-efterlevnad?
  • Hur kan företag upprätthålla en säker datamiljö för kortinnehavare?
  • Vilka steg bör du vidta för att förbereda dig för PCI DSS-efterlevnad?
  • Hur upprätthåller du PCI DSS-efterlevnad över tid?
  • Så kan Stripe Payments hjälpa till

Vad är PCI DSS-efterlevnad?

PCI DSS är regelboken för att skydda kredit- och bankkortsinformation. Den skapades 2004 av American Express, Discover, JCB, Mastercard och Visa för att minimera bedrägerier och intrång. I dag är det den grundläggande säkerhetsstandarden för alla företag som lagrar, bearbetar eller överför kortdata.

PCI DSS-överensstämmelse är obligatorisk. Om ditt företag accepterar kredit- eller betalkort faller det under PCI DSS – oavsett om det är en butik på en enda plats eller ett snabbväxande SaaS-företag (programvara som en tjänst) eller ett globalt företag. Tjänsteleverantörer som flyttar eller lagrar kortdata för andras räkning måste också följa reglerna. De exakta rapporteringsstegen skiljer sig åt beroende på din transaktionsvolym, men säkerhetskraven gäller över hela linjen.

PCI DSS är inte en lag, men den upprätthålls genom dina avtal med banker och betalningsförmedlare. Om du inte följer reglerna kan du få böter, kostsamma revisioner eller stämningar, eller till och med förlora förmågan att behandla kortbetalningar.

Vad innehåller checklistan för PCI DSS-efterlevnad?

PCI DSS bygger på 12 krav.

1. Installera och underhålla brandväggar

Din första försvarslinje är en välkonfigurerad brandvägg som blockerar oönskad trafik. Se över reglerna regelbundet och eliminera allt onödigt. Anpassade regler är viktiga.

2. Undvik standardlösenord och standardinställningar

Enheter och programvara levereras ofta med allmänt kända standardvärden. Ändra dem omedelbart, inaktivera oanvända konton och stäng av tjänster som du inte behöver.

3. Skydda data som lagras om kortinnehavare

Om du inte behöver lagra kortdata ska du inte göra det. Om du måste, kryptera dem med starka algoritmer, maskera eller trunkera där det är möjligt och hantera krypteringsnycklar på ett säkert sätt. Rensa data när de inte längre behövs.

4. Kryptera data under överföring

Varje gång kortuppgifter flyttas över öppna nätverk måste de krypteras. Använd moderna protokoll som Transport Layer Security (TLS) 1.2 eller senare. Äldre protokoll som Secure Sockets Layer (SSL) är mindre effektiva. Skicka aldrig kortnummer via e-post eller okrypterade kanaler.

5. Skydda dig mot skadlig kod

Alla system som kan drabbas av skadlig programvara behöver skydd mot skadlig kod som hålls aktuellt och konfigureras för att köras automatiskt. PCI DSS v4.0 går ett steg längre genom att uppmuntra avancerade detekteringsverktyg, inte bara traditionellt antivirusskydd.

6. Patchsystem och applikationer

Sårbarheter är en hackares ingångspunkt. Håll en uppdaterad inventering av tillgångar, prenumerera på säkerhetsbulletiner och applicera patchar snabbt. Följ säkra kodningsmetoder om du skapar dina egna program.

7. Begränsa dataåtkomst efter roll

Tillämpa principen om lägsta behörighet. Endast anställda som verkligen behöver tillgång till kortdata ska ha det. Använd rollbaserade kontroller, återkalla åtkomst omedelbart när roller ändras och överväg just-in-time-åtkomst för känsliga uppgifter.

8. Autentisera användare unikt

Varje individ får ett unikt ID. Tillåt inte delade inloggningar. Kräv starka lösenord och multifaktorautentisering för all åtkomst till system i datamiljö för kortinnehavare (CDE). Detta är ett fast krav enligt PCI DSS v4.0.

9. Kontrollera fysisk åtkomst

Skydda de platser där kortdata finns fysiskt: serverrum, betalterminaler, pappersregister och säkerhetskopior. Använd ID-brickor, dörrlås och kameraövervakning. Förstör poster som du inte längre behöver.

10. Spåra och övervaka åtkomst

Aktivera detaljerad loggning för system som berör kortinnehavardata. Registrera vem som gjorde vad och när. Lagra minst ett års loggar – de senaste tre månaderna bör vara lättillgängliga – och granska dem regelbundet för att se om det förekommer något ovanligt.

11. Testa säkerheten regelbundet

Kör kvartalsvisa sårbarhetsskanningar. Om du har ett onlineföretag, välj en godkänd skanningsleverantör som kvalificeras av PCI Security Standards Council. Utför penetrationstester minst en gång om året. Skanna internt efter större ändringar. Med testning kan du fånga upp problem innan angripare kan använda dem för att få åtkomst.

12. Upprätthålla säkerhetspolicyer och utbilda personal

Efterlevnad beror lika mycket på människor som på system. Upprätta en formell säkerhetspolicy, uppdatera den årligen och utbilda personalen regelbundet så att alla vet hur man skyddar betalningsdata.

Tänk på din checklista för PCI DSS-efterlevnad som en strategisk plan. Konfigurera, kryptera, begränsa, övervaka, testa och träna och upprepa sedan när ditt företag växer.

Hur övervakar och testar du nätverk för PCI-efterlevnad?

PCI DSS kräver också att du bevisar att dina kontroller fungerar varje dag. Det innebär övervakning och testning.

Loggning och övervakning

System som berör kortinnehavardata måste generera detaljerade loggar: vem som har åtkomst till vad, när och vilka åtgärder som vidtogs. Du måste lagra loggar i minst ett år, med de senaste tre månaderna omedelbart tillgängliga. Du måste också granska loggarna. Många företag använder automatiska varningar för att flagga misstänkt aktivitet, till exempel ett administratörskonto som loggar in på ovanliga tider.

Skanning av sårbarheter

PCI DSS kräver kvartalsvisa sårbarhetsskanningar av dina internetanslutna system, utförda av en godkänd skanningsleverantör. Interna skanningar bör också schemaläggas, särskilt efter större systemändringar. Dessa skanningar letar efter kända svagheter, t.ex. föråldrad programvara och felkonfigurerade brandväggar som angripare kan utnyttja.

Penetrationstestning

Genomför penetrationstester minst en gång om året. Dessa är simulerade attacker som utförs av proffs som tänker som hackare. Till skillnad från automatiserade skanningar utforskar penetrationstester hur olika sårbarheter kan skapa verklig risk. De hjälper dig att se din miljö på samma sätt som en angripare skulle göra.

Kontinuerlig validering

PCI-efterlevnad innebär att följa en pågående cykel: konfigurera system, skanna dem, åtgärda problem och testa igen. Poängen är att fånga upp problem innan de blir intrång och att visa att dina kontroller håller vid granskning.

Hur kan företag upprätthålla en säker datamiljö för kortinnehavare?

Att säkra kortinnehavardata handlar om att skapa en miljö där riskerna minskar i varje lager. PCI DSS kallar detta för CDE, och för att hålla det säkert måste man vara uppmärksam på omfattning, lagring, åtkomst och arkitektur.

Så här skyddar du din CDE.

Definiera och minimera omfång

Ta först reda på exakt var kortdata flödar i dina system. Gör en översikt över program, databaser, terminaler och nätverk som kommer i kontakt med eller överför dem. Krymp sedan det fotavtrycket: om ett system inte behöver hantera kortdata tar du bort det från omfånget.

Förvara inte det du inte behöver

Varje del av lagrad kortdata är en belastning. Behåll bara det du behöver och ställ in automatiserade processer för att rensa gamla data. Använd maskering och trunkering där det är möjligt, så att även om data dyker upp är det värdelöst för angripare.

Tokenisera och kryptera

När du måste hantera kortnummer, byt ut dem mot token som inte har något exploaterbart värde utanför dina system. Kryptera kortinnehavardata både i vila och under överföring och hantera krypteringsnycklar med samma noggrannhet som du skulle tillämpa på dataskydd: begränsa åtkomsten, rotera nycklarna regelbundet och logga deras användning.

Segmentera ditt nätverk

Håll CDE:n isolerad från resten av dina system. Nätverkssegmentering säkerställer att om ett område äventyras kommer angripare inte att få en rak väg till betalningsdata.

Begränsa och övervaka åtkomst

Tillämpa strikta åtkomstkontroller: rollbaserade behörigheter, multifaktorautentisering och en logg över varje åtkomstförsök. Granska behörigheter ofta och ta bort åtkomst omedelbart när den inte längre behövs.

En skyddad CDE kräver regelbunden granskning, uppdateringar och testning. Genom att strama åt omfånget, kryptera effektivt och begränsa exponeringen kan du skapa en miljö som är motståndskraftig mot misstag och attacker.

Vilka steg bör du vidta för att förbereda dig för PCI DSS-efterlevnad?

Innan du fyller i ett frågeformulär eller bokar en revision behöver du en tydlig bild av hur ditt företag hanterar kortdata och var riskerna ligger. Det förvandlar PCI DSS-efterlevnad från en abstrakt standard till en konkret projektplan med omfattning, bevis och ansvarsskyldighet definierade från början.

Så här förbereder du dig.

Omfattning

Identifiera alla system, program och nätverk som kommer i kontakt med kortinnehavarens data. Skapa ett dataflödesdiagram som visar exakt hur kortinformation rör sig genom din miljö, från ingångspunkten (t.ex. webbplats, terminal, app) till den plats där den bearbetas eller lagras. Allt som interagerar med kortdata omfattas.

Inventera inventarier

Lista alla maskinvaru-, programvaru- och tjänsteleverantörer som är involverade i betalningar. Detta hjälper dig att förstå vad som behöver skyddas och var tredje parts ansvar kommer in i bilden.

Gapanalys

Jämför dina nuvarande kontroller med de 12 PCI DSS-kraven. En gapanalys avslöjar saknade principer, inaktuella konfigurationer eller opatchade system och ger dig en prioriterad färdplan för avhjälpande åtgärder.

Valideringsväg

Företag validerar vanligtvis genom ett självutvärderingsformulär. Men stora företag behöver ofta en formell rapport om efterlevnad från en kvalificerad säkerhetsbedömare. Vilken väg du tar beror på din transaktionsvolym och hur du behandlar betalningar.

Tidslinje och roller

Bygg in tid för reparation, dokumentation, testning och utbildning. Tilldela tydliga ansvarsområden så att uppgifter inte faller mellan stolarna.

Hur upprätthåller du PCI DSS-efterlevnad över tid?

Efterlevnad är en återkommande cykel. Långsiktig PCI-efterlevnad innebär att du väver in säkerhet i din dagliga verksamhet.

Här är vad det innebär.

Schemalägg återkommande kontroller

Schemalägg kvartalsvisa sårbarhetsskanningar, årliga penetrationstester, policygranskningar och regelbundna riskbedömningar. Dokumentera varje aktivitet så att du har ett dokumentationsspår för revisorer och för ditt eget ansvar.

Ordna upprepade utbildningar

Människor är en del av systemet. Håll regelbundna sessioner om säkerhetsmedvetenhet så att de anställda vet hur de ska upptäcka kortskimmare, nätfiskeförsök och tecken på manipulering. Uppdatera utbildningen när standarder eller dina egna processer förändras.

Granska återförsäljarna

Tredjepartsleverantörer är ofta en del av ditt betalningsflöde. Granska deras efterlevnadsstatus regelbundet och se till att kontrakten återspeglar säkerhetsskyldigheterna.

Var redo att svara

Upprätthåll en incidenthanteringsplan: se till att du vet vem du ska ringa, hur du isolerar system och hur du meddelar intressenter. Du måste kunna agera snabbt om något går fel.

Så kan Stripe Payments hjälpa till

Stripe Payments erbjuder en enhetlig, global betalningslösning som hjälper alla företag – från växande startupföretag till globala företag – att ta emot betalningar online, fysiskt och runt om i världen.

Det här kan Stripe Payments hjälpa till med:

  • Optimera kassaupplevelsen: Skapa en friktionsfri kundupplevelse och spara tusentals arbetstimmar med färdiga betalningsgränssnitt, tillgång till över 125 betalningsmetoder och Link, en plånbok skapad av Stripe.

  • Expandera till nya marknader snabbare: Nå kunder över hela världen och minska komplexiteten och kostnaderna för hantering av flera valutor med gränsöverskridande betalningsalternativ, tillgängliga i 195 länder och för över 135 valutor.

  • Skapa en enhetlig betalningsupplevelse fysiskt och online: Bygg en enhetlig handelsupplevelse i alla digitala och fysiska kanaler för att personanpassa interaktioner, belöna lojalitet och öka intäkterna.

  • Förbättrad betalningsprestanda: Öka intäkterna med en rad anpassningsbara, lättkonfigurerade betalningsverktyg, inklusive kodfritt skydd mot bedrägeri och avancerade funktioner för att förbättra auktoriseringstiderna.

  • Snabbare utveckling med en flexibel och pålitlig plattform för tillväxt: Bygg vidare på en plattform som är utformad för att skala upp med dig, med 99,999 % upptid och branschledande tillförlitlighet.

Läs mer om hur Stripe Payments kan underlätta dina betalningar online och i fysisk miljö, eller börja idag.

Innehållet i den här artikeln är endast avsett för allmän information och utbildningsändamål och ska inte tolkas som juridisk eller skatterelaterad rådgivning. Stripe garanterar inte att informationen i artikeln är korrekt, fullständig, adekvat eller aktuell. Du bör söka råd från en kompetent advokat eller revisor som är licensierad att praktisera i din jurisdiktion för råd om din specifika situation.

Fler artiklar

  • Something went wrong. Please try again or contact support.

Är du redo att sätta i gång?

Skapa ett konto och börja ta emot betalningar – inga avtal eller bankuppgifter behövs – eller kontakta oss för att ta fram ett specialanpassat paket för ditt företag.
Payments

Payments

Ta emot betalningar online, i fysisk miljö och globalt med en betalningslösning som är skapad för alla typer av företag.

Dokumentation om Payments

Hitta en guide för hur du integrerar Stripes betalnings-API:er.