Når du tager imod kortbetalinger (online eller i butikken), håndterer du følsomme betalingsoplysninger. For at beskytte dine kunder, og for at leve op til branchens krav, skal du følge PCI DSS (Payment Card Industry Data Security Standard).
Denne guide forklarer kort, hvad PCI DSS er, og hvilke praktiske tiltag du kan tage for at sikre, at du håndterer kortoplysninger korrekt.
Når du benytter Planway Pay, er sikkerheden omkring betalingerne automatisk på plads, men der er manuelle handlinger du skal være opmærksom på.
Sådan fungerer PCI DSS
PCI DSS er et sæt sikkerhedskrav, der er defineret af de store kortudstedere (fx Visa, Mastercard). Kravene gælder for virksomheder, der accepterer, behandler, opbevarer eller transmitterer betalingskortdata.
Hvis du tager imod kortbetalinger, er du som virksomhed ansvarlig for, at kortoplysninger håndteres sikkert. Det gælder både i dine systemer og i dine interne arbejdsgange.
Sådan holder du dig PCI DSS-compliant
PCI DSS indeholder en række konkrete krav (i praksis 12 overordnede krav), som handler om alt fra adgangsstyring til sikker netværksopsætning. Her er de vigtigste tiltag, du kan tage i hverdagen:
Brug en betalingsløsning, der er PCI DSS-compliant
Tag imod betalinger via en godkendt betalingsudbyder (betalingsterminal, betalingsgateway eller integreret betalingsløsning), som håndterer kortdata sikkert med fx kryptering, løbende sikkerhedstests og compliance-kontroller.
Opbevar aldrig kortoplysninger manuelt i Planway (eller andre steder)
Gem ikke kortnummer, CVC/CVV eller andre fulde kortoplysninger i fx kundens noter, interne beskeder, vedhæftninger, filer, e-mails eller regneark. Hvis der allerede ligger kortoplysninger gemt et sted, bør de fjernes med det samme.
Informér dine kunder om, hvordan du beskytter deres data
Fortæl tydeligt, hvordan du håndterer betaling og data – og hvad du ikke gemmer. Det øger tryghed og transparens.
Få hjælp fra din betalingsudbyder, hvis du er i tvivl
Hvis du ikke bruger en løsning, der håndterer kortdata “end-to-end” for dig, bør du kontakte din betalingsudbyder og få rådgivning om, hvordan du forbliver compliant i netop din opsætning.
Ofte stillede spørgsmål
Hvad gør jeg, hvis kortbetaling ikke er tilgængeligt i min opsætning?
Hvad gør jeg, hvis kortbetaling ikke er tilgængeligt i min opsætning?
Det vigtigste er, at du ikke begynder at gemme kortoplysninger manuelt i Planway (eller andre steder), fordi en bestemt betalingsfunktion ikke er tilgængelig. Brug i stedet en alternativ betalingsudbyder, der er PCI DSS-compliant.
Må jeg gemme kundens kortoplysninger uden for Planway som “backup”?
Må jeg gemme kundens kortoplysninger uden for Planway som “backup”?
Nej. At gemme kortoplysninger uden for en sikker, PCI DSS-compliant betalingsløsning kan være i strid med PCI DSS og øger risikoen for misbrug.
Hvordan kan jeg få kunder til at føle sig mere trygge?
Hvordan kan jeg få kunder til at føle sig mere trygge?
Vær tydelig om dine rutiner:
hvordan betalinger gennemføres
hvad du gemmer (og hvad du ikke gemmer)
hvilke sikkerhedstiltag du bruger (fx godkendt betalingsudbyder og begrænset adgang internt)
Læs mere om PCI DSS
Har du spørgsmål?
Hvis du er i tvivl om, hvad der må gemmes, eller hvordan du bør sætte dine arbejdsgange op, så kontakt Planway support via chatten i Planway eller på info@planway.com