Rapportering

Rapportering

Köpmännen delas in i fyra nivåer efter verksamhetens natur och antalet transaktioner per år. Köpmännen på de olika nivåerna har olika rapporteringsskyldigheter att intyga för Luottokunta att man följer PCI DSS-standarden.

Med antalet transaktioner avses det sammanlagda antalet korttransaktioner inom en organisation. Visa- och MasterCard-korttransaktionerna bedöms alltid separat, de räknas inte ihop. Dessa rapporteringsskyldigheter presenteras kortfattat i anvisningen nedan.

Obs! Näthandeln följer en ersättande anvisning som getts separat.
Rapportering
Nivå Nivåbestämningsgrunder Hur intygar man att PCI DSS-standarden följs?

1

 Köpmän som tar emot över 6 000 000 Visa- eller MasterCard-betaltransaktioner årligen, köpmän som blivit utsatta för dataintrång under året och alla köpmän som till följd av någon annan åtgärd av kortorganisationerna hänvisats till nivå 1.
  • Årlig PCI-dataskyddsauditering på platsen som utförs och godkänns av en auktoriserad PCI-auditör.
  • Kvartalsvisa PCI-webbskanningar som ett auktoriserat företag utför och godkänner.

2

 Alla köpmän som tar emot 1 000 000–6 000 000 Visa- eller MasterCard-betaltransaktioner årligen.

Till 31.12.2010:

  • PCI-självbedömningsblanketten fylls i och ges för godkännande årligen.

Efter 31.12.2010:

  • Årlig PCI-dataskyddsauditering på platsen som utförs och godkänns av en auktoriserad PCI-auditör.
  • Kvartalsvisa PCI-webbskanningar som ett auktoriserat företag utför och godkänner.

3

 Köpmän som tar emot 20 000–1 000 000 Visa- eller MasterCard-nätbetaltransaktioner årligen. Till denna nivå kan höra endast köpmän som idkar näthandel.
  • Iakttagandet av PCI DSS-standarden intygas utifrån en separat rapporteringsanvisning för näthandel. Läs punkten: Köpmän som idkar näthandel (e-commerce) och tar emot under 1 miljon Visa-transaktioner årligen.

4

Köpmän som idkar näthandel och tar emot under 20 000 Visa- eller MasterCard-betaltransaktioner årligen.

samt

Övriga köpmän som tar emot under 1 000 000 Visa- eller MasterCard-betaltransaktioner årligen. 

E-handlare:

  • Iakttagandet av PCI DSS-standarden intygas utifrån en separat rapporteringsanvisning för näthandel.

Andra än e-handlare:

  • Obligatoriskt att iaktta PCI DSS-standarden.
  • PCI-självbedömningsblanketten fylls i och ges för godkännande årligen. Inte obligatoriskt men rekommenderas starkt.
  • Kvartalsvisa PCI-webbskanningar som ett auktoriserat företag utför och godkänner. Inte obligatoriskt men rekommenderas starkt.

 
Självbedömningsblanketterna

Självbedömningsblanketterna (Self-Assessment Questionnaire på PCI Security Standard Councils web-sidan, på engelska)

Ifyllningsanvisningar (på finska)

Isamband med publiceringen av  PCI DSS standardens nya version 2.0 har nya 2.0 versioner av självärderingsblanketterna publicerats. Version 1.2 av självvärderingsblanketterna kan användas ända till 31.12.2011.
Auktoriserade auditörer

Auktoriserade PCI-auditörer

Auktoriserade företag som utför webbskanning
Auktoriserade företag som utför webbskanning
Uppföljning av framsteg och rapportering

De köpmän vilkas PCI-rapporteringsskyldigheter omfattar en PCI-auditering som utförs på plats eller självutvärderingsblanketten D, ska lämna en rapport över framstegen (Prioritised Approach for PCI DSS) till Luottokunta kvartalsvis. Rapporten beskriver hur överensstämmelsen med kraven i PCI-dataskyddsstandarden har uppnåtts. Rapporteringen om framsteg ska fortsätta tills företaget är helt i överensstämmelse med kraven i PCI-dataskyddsstandarden.

Rapporten över framsteg, Prioritised Approach, är en riskbaserad metod i sex steg som gör det lättare för företaget att uppnå överensstämmelse med kraven i standarden PCI DSS samt ett redskap för att ge förtur åt och sköta om de viktigaste och mest riskutsatta ärendena. Prioritised Approach fungerar som ett verktyg för uppföljning av framstegen för både företaget självt och Luottokunta.

Sex steg för att främja överensstämmelsen med kraven i PCI

  1. Avlägsna konfidentiella uppgifter om kortinnehavaren, t.ex. spårbara uppgifter i sin helhet, kortets kontrollsiffra och PIN. Dessa uppgifter får inte lagras. Begränsa förvaringstiden för de övriga kortuppgifterna till ett minimum.
  2. Skydda gränssnitten i företagets datanät samt de interna och trådlösa näten.
  3. Skydda de applikationer som behandlar kortuppgifter.
  4. Följ upp och administrera åtkomsten till (data)systemen.
  5. Skydda lagrade kortuppgifter (de uppgifter som får lagras).
  6. Se till att de övriga kraven i standarden uppfylls och kontrollera att alla säkerhetsmetoder som anges i standarden är i användning.

Information om rapporten över framsteg
Kontakt i PCI-ärenden

Kontakta oss  i PCI-ärenden

Skicka inte kortuppgifter eller annan känslig information via en okrypterad e-postförbindelse eller med kontaktblanketten ovan.
Luottokunta | Teollisuuskatu 21, 00510 Helsinfors | Tel (09) 69 641 | FO-nummer 01078109 
© 2010 Luottokunta