HemStandarderBranscher✦ AI-bedömningOffert →
HemStandarder → PCI DSS

PCI DSS v4.0 — Betalningskortssäkerhet

Payment Card Industry Data Security Standard (PCI DSS) v4.0 är det globala säkerhetsramverket för alla organisationer som lagrar, behandlar eller överför kortinnehavardata. BALTUM tillhandahåller gapanalys, åtgärdsstöd och samordning av QSA-revisioner för handlare, betalningshanterare och tjänsteleverantörer.

PCI DSS v4.0 Betalningssäkerhet QSA-revision PCI SSC

Vad är PCI DSS?

PCI DSS (Payment Card Industry Data Security Standard) är ett globalt säkerhetsramverk utformat av PCI Security Standards Council. Version 4.0, som ersatte v3.2.1, introducerar ett anpassat tillvägagångssätt för efterlevnad, förstärkta autentiseringskrav och nya kontroller för e-handelsmiljöer.

Vem behöver PCI DSS-efterlevnad?

  • Betalningshanterare och betalningsförmedlare
  • E-handlare och handlare som accepterar kortbetalningar
  • FinTech-företag och neobanker
  • Tjänsteleverantörer som hanterar kortinnehavardata på uppdrag av kunder
  • Alla organisationer som lagrar, behandlar eller överför kortdata

PCI DSS v4.0 — Viktiga uppdateringar

  • Anpassat tillvägagångssätt: Organisationer kan nu uppfylla kontrollmål med alternativa metoder, utöver det definierade tillvägagångssättet.
  • Förstärkt autentisering: Multifaktorautentisering (MFA) krävs nu för all åtkomst till kortinnehavardatamiljön (CDE).
  • E-handelssäkerhet: Nya krav för skript- och sidintegritetshantering på betalningssidor.
  • Riktad riskanalys: Organisationer måste utföra riktade riskanalyser för att motivera kontrollfrekvenser.
  • Continuous compliance: Ökad tonvikt på kontinuerlig efterlevnad snarare än punktrevisioner.

BALTUMs PCI DSS-process

  • Omfångsbedömning: Kartläggning av kortinnehavardataflöden och definition av CDE-gränser.
  • Gapanalys: Bedömning av nuvarande kontroller mot PCI DSS v4.0-krav.
  • Åtgärdsstöd: Vägledning för implementering av saknade kontroller och dokumentation.
  • QSA-revision: Samordning med kvalificerade säkerhetsrevisorer för formell efterlevnadsbedömning.

Typisk tidsram

Beroende på organisationens storlek och nuvarande mognad: 3–8 månader. Organisationer som redan har ISO 27001 kan ofta återanvända befintliga kontroller och dokumentation.