KEMBAR78
Vad är PCI DSS-efterlevnad? | Stripe

En guide i PCI-efterlevnad

Payment Card Industry Data Security Standard (PCI DSS) sätter minimistandarden för datasäkerhet. Här är en detaljerad guide om hur du säkerställer efterlevnad av gällande regelverk och vad Stripe kan göra för att hjälpa dig.

Payments
Payments

Ta emot betalningar online, i fysisk miljö och globalt med en betalningslösning som är skapad för alla typer av företag – från växande startup-företag till globala storföretag.

Läs mer 
  1. Introduktion
  2. Så hjälper Stripe organisationer med PCI-efterlevnad
  3. Steg för steg-guide till efterlevnad av PCI DSS
    1. 1. Ta reda på vad som gäller för ditt företag
    2. 2. Ta reda på din integrationstyp och dokumentationskrav
    3. 3. Slutför din utvärdering och skicka in din SAQ-dokumentation
    4. 4. Övervaka och upprätthåll efterlevnad
  4. Så hjälper Stripe organisationer att upprätthålla PCI-efterlevnad
    1. Stöd för mindre företag
    2. Anpassad Dashboard-upplevelse
    3. Stöd när ditt företag växer
    4. Fler än en tjänsteleverantör
    5. Stöd för MOTO-betalningar (postorder/telefonbeställning)
  5. Läs mer om Stripe 

Sedan 2005 har mer än 10 miljarder konsumentuppgifter kommit på avvägar genom mer än 9 000 dataintrång i USA. Detta är de senaste siffrorna från Privacy Rights Clearinghouse, som rapporterar om dataintrång och säkerhetsöverträdelser som påverkar konsumenter sedan 2005. För att förbättra säkerheten för konsumentdata och förtroendet för betalningsekosystemet skapades en minimistandard för datasäkerhet. Visa, Mastercard, American Express, Discover och JCB bildade 2006 Payment Card Industry Security Standards Council (PCI SSC) för att administrera och hantera säkerhetsstandarder för företag som hanterar kreditkortsuppgifter.

Payment Card Industry Data Security Standard (PCI DSS) är den globala säkerhetsstandarden för alla enheter som lagrar, bearbetar eller överför kortinnehavares uppgifter och/eller känsliga autentiseringsuppgifter. PCI DSS sätter en grundläggande standard avsedd att skydda konsumenter och bidrar till att minska antalet bedrägerier och dataintrång i hela betalningsekosystemet. Standarden gäller för alla organisationer som tar emot eller behandlar betalkort, och om de inte uppfyller den blir de föremål för betydande påföljder, böter och kostnader.

PCI DSS-efterlevnad involverar tre huvudkomponenter:

  1. Hantering av kundens kreditkortsuppgifter, dvs. att känslig kortinformation samlas in och överförs på ett säkert sätt
  2. Säker datalagring, uppdelat på 12 säkerhetsdomäner i PCI-standarden, däribland kryptering, pågående övervakning och säkerhetsprovning av åtkomst till kortdata
  3. Årlig granskning av de obligatoriska säkerhetskontrollerna för att se till att de fungerar som de ska. Detta kan inkludera enkäter, frågeformulär, externa tjänster för sårbarhetsidentifiering och revisioner av tredje part (se steg-för-steg-guiden nedan för en tabell över de fyra kravnivåerna)

Alla företag som tar emot kreditkortsbetalningar måste följa PCI DSS, oavsett volym, geografisk region eller integrationsmetod. Genom att följa detta ramverk kan företag:

  • Bygga upp kundernas förtroende genom att se till att deras kortuppgifter är säkra
  • Skydda sig mot bedrägerier och dataintrång
  • Undvika böter för överträdelser när det kommer till PCI-efterlevnad

Friskrivning: Denna artikel bör endast användas i vägledningssyfte och bör inte ses som definitiva råd. Vi rekommenderar att du kontaktar ett QSA-företag (Qualified Security Assessor) för Payment Card Industry Data Security Standard (PCI DSS) om du behöver mer hjälp.

Så hjälper Stripe organisationer med PCI-efterlevnad

Om din affärsmodell kräver att du hanterar kortuppgifter kan du behöva uppfylla var och en av de 300+ säkerhetskontrollerna i PCI DSS. Det finns mer än 1 800 sidor officiell dokumentation om PCI DSS, publicerad av PCI Security Standards Council, och mer än 300 sidor bara för att förstå vilka formulär som ska användas för att styrka sin efterlevnad.

Stripe kan bidra till att avsevärt minska arbetet med PCI-efterlevnad för företag genom att tillhandahålla en rad olika tokeniserade integrationsmetoder (t.ex. Checkout, Elements, mobila SDK:er och Terminal SDK:er), som gör att man slipper hantera känsliga kreditkortsuppgifter direkt.

  • Stripe Checkout och Stripe Elements använder ett värdbaserat betalningsfält för hantering av alla betalkortsuppgifter, vilket innebär att kortinnehavare anger all känslig betalningsinformation i ett betalningsfält som kommer direkt från våra PCI DSS-validerade servrar.
  • Stripes mobila SDK:er och Terminal SDK:er gör det också möjligt för kortinnehavaren att skicka känslig betalningsinformation direkt till våra PCI DSS-validerade servrar.

Stripe agerar PCI-representant för alla sina kunder oavsett integrationstyp, och kan hjälpa till på olika sätt.

  • Vår Stripe PCI-guide analyserar din integrationsmetod och ger dig råd om hur du kan förenkla ditt efterlevnadsarbete.
  • Vi meddelar dig i förväg om en växande transaktionsvolym kräver förändringar i hur du styrker din efterlevnad.
  • Större företag eller storföretag kanske behöver arbeta med ett QSA-företag (Qualified Security Assessor) eftersom de lagrar kreditkortsuppgifter eller har ett mer komplext betalningsflöde, och det finns mer än 400 sådana QSA-företag runt om i världen. Vi kan hjälpa dig att komma i kontakt med flera revisorer som känner till Stripes olika integrationsmetoder.

Steg för steg-guide till efterlevnad av PCI DSS

1. Ta reda på vad som gäller för ditt företag

Det första steget mot PCI-efterlevnad är att veta vilka krav som gäller för din organisation. Det finns fyra olika nivåer för efterlevnad och de baseras vanligtvis på antalet kreditkortstransaktioner ditt företag hanterar under en 12-månadersperiod.

Beroende på din nivå kommer du att ha olika krav, inklusive regelbundna sårbarhetsskanningar från en Approved Scanning Vendor (ASV). Det finns också ytterligare krav för tjänsteleverantörer, som är affärsenheter som är direkt involverade i behandling, lagring eller överföring av kortinnehavardata (CHD) och/eller känsliga autentiseringsdata (SAD) på uppdrag av en annan enhet (t.ex. betalningsportaler, betaltjänstleverantörer och oberoende försäljningsorganisationer).

Efterlevnadsnivå
Gäller för
Krav
Nivå 1
  • Organisationer som årligen hanterar över 6 miljoner Visa- eller Mastercard-transaktioner, eller över 2,5 miljoner American Express-transaktioner
  • Har upplevt ett informationsläckage
  • Identifierad som "Nivå 1" av ett kortbetalningsnätverk (Visa, Mastercard osv.)
  • Efterlevnadsintyg (AOC) eller årlig rapport om efterlevnad (ROC) av en Qualified Security Assessor (QSA)
  • Kvartalsvisa nätverksskanningar genomförda av en Approved Scanning Vendor (ASV)
Nivå 2
  • Organisationer som hanterar mellan 1 till 6 miljoner transaktioner årligen
  • Självutvärderingsformulär (SAQ) eller efterlevnadsintyg (AOC) eller rapport om efterlevnad (ROC)
  • SAQ A-, SAQ A-EP- och SAQ D-dokumentation måste vara undertecknad av en PCI Qualified Security Assessor (QSA) eller en PCI-Certified Internal Security Assessor (ISA).1
  • Kvartalsvisa nätverksskanningar genomförda av en Approved Scanning Vendor (ASV)
Nivå 3
  • Organisationer som hanterar mellan 20 000 till 1 miljoner onlinetransaktioner årligen
  • Organisationer som hanterar färre än 1 miljon totala transaktioner årligen
  • Nivå 3- och nivå 4-användare är automatiskt registrerade i vårt riskhanteringsprogram, som erbjuder en anpassad och förenklad upplevelse baserat på olika faktorer, bland annat integrationstyp. I detta kan ingå att fylla i ett eller flera PCI DSS självutvärderingsformulär (SAQ:er).
  • Nivå 3-användare måste också göra kvartalsvisa nätverksskanningar som genomförs av en Approved Scanning Vendor (ASV).
Nivå 4
  • Organisationer som hanterar färre än 20 000 onlinetransaktioner årligen
  • Organisationer som hanterar upp till 1 miljon totala transaktioner årligen
  • Nivå 4-användare måste också göra kvartalsvisa nätverksskanningar som genomförs av en Approved Scanning Vendor (ASV)
1 Nivå 2-handlare fyller i SAQ A, SAQ A-EP eller SAQ D måste anlita en QSA för validering av efterlevnad

2. Ta reda på din integrationstyp och dokumentationskrav

När du har fastställt din PCI-nivå är nästa steg att bestämma vilka PCI-dokument du behöver fylla i för att styrka din efterlevnad baserat på vilken typ av integration du använder med Stripe, om du är en tjänsteleverantör etc.

Användare på nivå 1

Nivå 1-företag är inte berättigade att använda en SAQ för att bevisa PCI-efterlevnad. De måste fylla i en ROC undertecknad av en QSA eller handlarens verkställande direktör för att validera sin PCI-efterlevnad årligen.

Användare på nivå 2–4

På nivå 2–4 finns det olika självutvärderingsformulär (SAQ) beroende på vilken betalningsintegration man har. Om du är osäker på vilken typ av självutvärderingsformulär (SAQ) som är rätt för dig kommer Stripes PCI-guide automatiskt att avgöra vilken typ av dokumentation som är lämplig för ditt företag.

Integration
Krav
Rekommendation
Checkout eller Elements
SAQ A
All inmatning av inhämtade kortuppgifter baseras på Checkout och Stripe.js och Elements inom en iframe som ligger på Stripes domän (och inte på din). På så sätt passerar dina kunders kortuppgifter aldrig dina servrar.
Connect
SAQ A Om du enbart inhämtar kortuppgifter via en Connect-plattform (exempelvis Squarespace) kan vi fastställa huruvida plattformen tillhandahåller nödvändig PCI-dokumentation.
Mobil SDK
SAQ A

Stripes utveckling och ändringskontroll för mobilt SDK uppfyller PCI DSS-kraven (krav 6.3–6.5) och implementeras via våra PCI-validerade system. När du enbart använder gränssnittskomponenter från våra officiella SDK:er för iOS eller Android, eller bygger ett betalningsformulär med Elements i en WebView, skickas kortnummer direkt från dina kunder till Stripe. Därmed minskar dina arbetsinsatser för att uppfylla PCI-kraven.

Om du gör på något annat sätt, exempelvis skriver din egen kod för att hantera kortuppgifter, kan du behöva uppfylla ytterligare PCI DSS-krav (6.3–6.5) och är inte behörig för en SAQ A. Prata med en PCI QSA för att ta reda på hur du på bästa sätt validerar att du uppfyller kraven enligt gällande vägledning från PCI Security Standards Council.

Om din ansökan kräver att dina kunder anger sina uppgifter på sina egna enheter då uppfyller du kraven för SAQ A. Om din ansökan tar emot kortuppgifter för flera kunder på din enhet (exempelvis en betalapp) ska du rådgöra med en PCI QSA för att ta reda på hur du på bästa sätt validerar att du uppfyller PCI-kraven.

Stripe.js v2
SAQ A-EP

Om du använder Stripe.js v2 för att skicka kortuppgifter som angetts i ett formulär på din webbplats, som finns på en egen server, måste du fylla i SAQ A-EP varje år för att visa att ditt företag uppfyller PCI-kraven.

Både Checkout och Elements erbjuder dig samma flexibilitet och anpassningsbarhet som ett formulär på en egen server, samtidigt som du uppfyller PCI-kraven för SAQ A.

Terminal
SAQ C

Om du enbart inhämtar kortuppgifter via Stripe Terminal kan du validera med hjälp av SAQ C.

Om du integrerar med Stripe med hjälp av andra metoder som anges i denna tabell måste du visa att du uppfyller kraven för var och en av dem i enlighet med beskrivningen.
Dashboard
SAQ C-VT

Manuella kortbetalningar via Dashboard är endast möjliga under särskilda omständigheter – och inte vid rutinmässig behandling av betalningar. Tillhandahåll ett lämpligt betalningsformulär eller en mobilapp där dina kunder kan ange sina kortuppgifter.

Vi kan inte verifiera att manuellt inmatade kortuppgifter är skyddade utanför Stripe. Därför måste du skydda kortuppgifter i enlighet med kraven för PCI-efterlevnad och fylla i SAQ C-VT varje år för att visa att ditt företag uppfyller PCI-kraven.

Direct API
SAQ D

När du skickar kortuppgifter direkt till Stripes API hanterar din integration dessa data direkt och du måste årligen visa att du uppfyller PCI-kraven med hjälp av SAQ D – den mest krävande av alla SAQ:er. Du kan minska arbetsbelastningen genom:

Dessutom är Radar, vårt verktyg för förebyggande av bedrägerier som inkluderar riskbedömning och regler, endast tillgängligt när man använder någon av våra metoder för tokenisering på klientsidan.

Tjänsteleverantörer

Om du är direkt inblandad i behandling, lagring eller överföring av kortinnehavaruppgifter (CHD) och/eller känsliga autentiseringsuppgifter (SAD) för en annan enhets räkning (t.ex. betalningsgateways, betaltjänstleverantörer och oberoende försäljningsorganisationer) kan du klassificeras som en tjänsteleverantör. Tjänsteleverantörer brukar vanligtvis:

  • Behandla kortinnehavardata för andra organisationer
  • Lagra kortinnehavardata för kunders räkning
  • Överföra kortinnehavardata mellan system
  • Tillhandahålla tjänster som kan påverka säkerheten för kortinnehavares data eller som kan påverka säkerheten i en kortinnehavarmiljö

Vanliga exempel är betalningsgateways, hostingleverantörer (som lagrar kortinnehavardata), tredjepartsdatacenter, företag som tillhandahåller betalningsapplikationer och leverantörer av tokeniseringstjänster.

Som tjänsteleverantör har du ytterligare krav som du är skyldig att validera.

Kategori av tjänsteleverantör

Kriterier

PCI-krav

Nivå 1

Alla tredjepartsleverantörer (TPP)

Alla datalagringsenheter (DSE) med mer än 300 000 kombinerade Mastercard- och Maestro-transaktioner per år

Årlig utvärdering på plats utförd av en QSA
Kvartalsvis nätverksskanning som utförs av en ASV

Nivå 2

Alla DSE med 300 000 eller färre kombinerade Mastercard- och Maestro-transaktioner per år

Årlig självutvärdering
Kvartalsvis nätverksskanning som utförs av en ASV

3. Slutför din utvärdering och skicka in din SAQ-dokumentation

När du har identifierat vilken utvärdering du behöver genomföra är nästa steg att slutföra den, fylla i relevant dokumentation om självutvärderingsformulär (SAQ) eller efterlevnadsrapport (ROC) och skicka detta till Stripe för granskning.

Användare med stora volymer vill säkra tjänsterna från en QSA som är registrerad för att verka i regioner där du är verksam. QSA:n kommer att hjälpa till att granska dina system mot PCI-kraven och ge råd om åtgärder för eventuella brister. Denne kommer också att ta fram och underteckna lämplig dokumentation som du sedan ska dela med Stripe varje år.

Användare på nivå 3 och 4 kommer troligen att behöva fylla i PCI DSS Self-Assessment Questionnaire som är lämpligt för deras bransch. Fler resurser för handlare finns tillgängliga för dig via PCI Security Standards Council. Stripe är också här för att hjälpa till, eftersom vår anpassade guide på din PCI Dashboard kommer att ställa en rad frågor och generera nödvändig dokumentation åt dig. Du kan använda Stripe PCI Dashboard för att ladda upp all egenifylld SAQ- eller ROC-dokumentation.

4. Övervaka och upprätthåll efterlevnad

Det är viktigt att notera att PCI-efterlevnad inte är en engångshändelse. Det är en årlig process för att säkerställa att ditt företag förblir kompatibelt även när dataflöden och kundkanaler förändras.

PCI DSS sätter viktiga standarder för hantering och lagring av kortinnehavares uppgifter, men det ger inte tillräckligt skydd för alla betalningsmiljöer på egen hand. Att istället gå över till en säkrare kortbetalningsmetod som använder tokeniserade data (som t.ex. Stripe Checkout, Elements och mobila SDK:er) är ett mycket effektivare sätt att skydda din organisation. Detta tillvägagångssätt ger agila företag ett sätt att mildra konsekvenserna från ett potentiellt dataintrång och undvika den tidskrävande och kostsamma gamla metoden för PCI-validering.

I takt med att ett företag växer kommer även dess affärslogik och processer att växa, vilket innebär att efterlevnadskraven också kommer att utvecklas. Ett onlineföretag kan till exempel bestämma sig för att öppna fysiska butiker, gå in på nya marknader eller starta ett kundsupportcenter. Om något nytt rör betalkortsuppgifter är det en bra idé att proaktivt kontrollera om detta har någon inverkan på den valda metoden för PCI-validering, och verifiera sin PCI-efterlevnad på nytt vid behov.

För mer information om den komplexa världen av PCI-efterlevnad, gå till PCI Security Standards Councils webbplats. Om du bara läser den här guiden och några andra PCI-dokument rekommenderar vi att du börjar med dessa:

Så hjälper Stripe organisationer att upprätthålla PCI-efterlevnad

Stripe är en tjänsteleverantör på nivå 1 för PCI och certifieras årligen av ett oberoende QSA-företag (Qualified Security Assessor) för att säkerställa efterlevnad av alla PCI DSS-krav. Det innebär att alla våra produkter är säkra som standard, vilket minskar dina efterlevnadskrav.

Stripe agerar PCI-representant för alla sina kunder oavsett integrationstyp, och kan hjälpa till på olika sätt.

Stöd för mindre företag

Stripe förenklar PCI-arbetet avsevärt för mindre företag genom att erbjuda anpassat stöd, inklusive förifyllda självutvärderingsformulär (SAQ) och guidade flöden för vissa användare som använder säkrare integrationsmetoder som Checkout, Elements, mobila SDK:er och Terminal SDK:er.

Anpassad Dashboard-upplevelse

När du blir kund hos Stripe analyserar vi din transaktionshistorik och ger dig råd om hur du kan minska efterlevnadsarbetet genom en anpassad Dashboard-upplevelse.

Stöd när ditt företag växer

När din årliga transaktionsvolym ökar kan det hända att du hamnar på en annan PCI-nivå inom ett år. Stripe stöttar dig genom dessa övergångar genom att varna dig om nya krav när du närmar dig förnyelsedatumet för PCI.

Fler än en tjänsteleverantör

Om ditt företag använder mer än en betalleverantör kan din process för PCI-efterlevnad bli förvirrande. Stripe gör det enkelt genom stödja inlämning av intyg om överensstämmelse (Attestation of Compliance, AOC) från dina leverantörer för att underlätta ditt efterlevnadsarbete.

Stöd för MOTO-betalningar (postorder/telefonbeställning)

Stripe stöder företag som accepterar MOTO-betalningar genom att integrera med tjänster från tredje part för säker telefonbaserad insamling av kortuppgifter. Dessa tjänster automatiserar insamlingen av kortuppgifter med hjälp av tekniker som tonvalsbaserad inlämning, eller röstigenkänning, och eliminerar behovet för en person att manuellt transkribera kortuppgifter. Detta tillvägagångssätt kan avsevärt minska bördan av PCI-efterlevnad genom att ta bort behovet av "att ha en människa med i systemet". För MOTO-användningsfall finns det tre troliga SAQ-resultat:

  • SAQ-A: Användningsfall för Pay-anslutning där kortinnehavarens uppgifter samlas in via telefon med hjälp av en PCI-kompatibel tredjepartslösning och kortdata flödar direkt till Stripe. I det här användningsfallet ska användaren inte ha tillgång till kortuppgifterna medan de presenteras via telefon och ska inte lagra, bearbeta eller överföra kortinnehavarens uppgifter i sin miljö.
  • SAQ C-VT: Användaren får kortuppgifter genom MOTO-betalningar och de matas in direkt i Stripe Dashboard. I den här situationen bör manuell inlämning vara för begränsade användningsfall, inte återkommande, och med vetskap om att elektronisk lagring av kortinformation inte är tillåten.
  • SAQ-D: Användningsfall där användaren samlar in kortinnehavarens uppgifter från sin kund och har elektronisk lagring av kortinnehavarens uppgifter i sin miljö.

För specifik vägledning om PCI-efterlevnad och din MOTO-implementering rekommenderar vi att du kontaktar ett QSA-företag (Qualified Security Assessor).

Är du redo att sätta i gång?

Skapa ett konto och börja ta emot betalningar – inga avtal eller bankuppgifter behövs – eller kontakta oss för att ta fram ett specialanpassat paket för ditt företag.
Payments

Payments

Ta emot betalningar online, i fysisk miljö och globalt med en betalningslösning som är skapad för alla typer av företag.

Dokumentation om Payments

Hitta en guide för hur du integrerar Stripes betalnings-API:er.