Du som tar betalt med kort har ansvar för att skydda kortinformationen så att den inte blir tillgänglig för obehöriga. Här har vi sammanställt några av de viktigaste PCI-kraven så du kan kontrollera att du hanterar kortinformationen på ett korrekt sätt i ditt företag.
- Fysiska och elektroniska underlag som innehåller kortinformation förvaras på ett säkert sätt (till exempel inlåst) så att endast behöriga personer har tillgång till dem. (Till exempel betalterminalens kvitto, transaktionsloggar, notaförfrågningar, återdebiteringsbrev, datorer, nätverks- och kommunikationshårdvara).
- När fysiska och elektroniska underlag med kortinformation inte längre behövs ska de makuleras på ett säkert sätt.
- Ett dagsavslut (stängning av betalterminalen) bör ske varje dag, förslagsvis efter stängning.
- Före dagsavslut förvaras ditt exemplar av betalterminalens kvitto på ett säkert sätt som endast behöriga har tillgång till.
- Efter dagsavslut förvaras ditt exemplar av betalterminalens kvitto på ett säkert sätt som endast behöriga har tillgång till.
- All personal som hanterar bokföring och administration, inklusive kassapersonalen, har fått information om vilket ansvar de har för kortinformationen och vilka rutiner som gäller.
- Den tekniska utrustningen (betalterminalen) är placerad så att inte obehöriga kan komma åt den och dess innehåll.
- Kontrollera den tekniska utrustningen varje dag för att se till att ingen manipulering av den tekniska utrustningen skett.
- Enbart behörig personal har tillgång till den tekniska utrustningens lösenord. Personal med tillgång till lösenord har också fått utbildning och instruktioner om att inte lämna ut lösenordet till någon.
- Lösenord förvaras så de inte blir tillgängliga för obehöriga.
- Lösenordet byts med jämna mellanrum och så fort misstanke finns om att ett lösenord har lämnats ut till någon obehörig.
- Vid försäljning eller ”skrotning” av teknisk utrustning blir inte innehållet tillgängligt för någon obehörig.
- Utbilda och ge instruktioner till behörig personal som har tillgång till den tekniska utrustningens lösenord.