PCI DSS handler i praksis om at minimere risikoen for, at kortoplysninger bliver kompromiteret eller misbrugt. Det gør du bedst ved at sikre, at kortdata altid håndteres i sikre betalingsflows, og ved at undgå, at kortoplysninger akdrig bliver gemt eller delt manuelt.
Her er de vigtigste principper og rutiner, du bør følge.
1. Brug en PCI DSS-compliant betalingsløsning
Sørg for, at dine kortbetalinger gennemføres via en betalingsudbyder eller betalingsløsning, der er PCI DSS-compliant. En compliant betalingsløsning hjælper typisk med:
kryptering af kortdata under betaling
sikker opbevaring (hvis der gemmes korttokens, ikke rå kortdata)
løbende sikkerhedsopdateringer og kontroller
Hvis du bruger flere betalingstyper (terminal, onlinebetaling, betalingslink), så gælder kravet for dem alle.
Planway Pay er compliant med PCI DSS.
2. Opbevar aldrig fulde kortoplysninger
Du må ikke gemme fulde kortoplysninger (PAN/kortnummer) eller sikkerhedskoder (CVC/CVV) i noget format uden for en PCI DSS-compliant betalingsløsning.
Det betyder bl.a.:
Gem ikke kortoplysninger i kundens noter
Gem ikke kortoplysninger i interne beskeder
Gem ikke kortoplysninger i vedhæftninger eller dokumenter
Gem ikke kortoplysninger i e-mails, regneark eller papirnoter
Hvis du allerede har kortoplysninger liggende et sted, bør de fjernes hurtigst muligt og dine interne rutiner skal justeres, så det ikke sker igen.
3. Begræns adgang og deling internt
Sørg for, at kun medarbejdere med et reelt behov har adgang til betaling og betalingsrelaterede funktioner. Gode rutiner kan være:
personlige logins til alle medarbejdere (ingen delte brugere)
klare roller og adgangsniveauer
løbende gennemgang af hvem der har adgang
4. Hold systemer og enheder opdaterede
PCI DSS handler også om grundlæggende IT-sikkerhed. Sørg for at:
opdatere operativsystem, browser og apps
bruge antivirus/sikkerhedssoftware hvor relevant
beskytte Wi-Fi/netværk med stærk adgangskode
undgå at bruge åbne/offentlige netværk til betaling og administration
5. Brug sikre arbejdsgange ved betaling
Sørg for, at kunder altid indtaster kortoplysninger i et sikkert betalingsflow. Undgå alternative “genveje”, fx:
at kunden sender kortoplysninger via e-mail eller SMS
at kortoplysninger indtastes i noter eller beskeder “for at huske dem”
at du beder om CVC/CVV på skrift eller i telefon
Hvis en kunde alligevel sender kortoplysninger på en usikker måde, bør du slette informationen og bede kunden gennemføre betalingen via et sikkert betalingsflow.
6. Spørg din betalingsudbyder, hvis du er i tvivl
Din betalingsudbyder kan hjælpe dig med at forstå, hvad der gælder for netop din opsætning (fx hvis du bruger flere systemer, integrationer eller hardware). Hvis du er i tvivl om compliance, er det altid bedst at få det afklaret med udbyderen, før du ændrer arbejdsgange.
Har du spørgsmål?
Hvis du er i tvivl om, hvad du må gemme, eller hvordan du bør håndtere betalinger i praksis, så kontakt Planway support via chatten i Planway eller på info@planway.com