Hvad er standarder for betalingskortindustri?
Industristandarder for betalingskort er de standarder, der guider, hvordan kreditkortselskaber og de handlende, de driver forretning med kreditkortdata og processbetalinger. Grundlæggende kan alle standarder eller bedste fremgangsmåder, der i vid udstrækning følges i kreditkortindustrien, kaldes betalingskortsektorstandarder. Imidlertid bruges udtrykket oftest i forbindelse med den universelle standard for betalingskortindustrisikkerhedssikkerhed, også kendt som PCI DSS. PCI DSS er et dokument, der er banebrydet af fem større kreditkortselskaber, der giver vejledning i, hvordan man gemmer kreditkortnumre og kvitteringer, hvordan man sikrer købmandscomputernetværk og hvordan man håndterer outsource-betalingshåndtering blandt andet. Overholdelse af betalingskortsektorens standarder, der er beskrevet i PCI DSS, er teknisk frivilligt, men manglende overholdelse har ofte negative konsekvenser for virksomheder og butikkejere.
Kreditkort bruges ofte til at betale for alt fra store engangskøb til dagligdags behov som dagligvarer og gas. Når en kunde skifter et kreditkort, læser et computersystem, der ejes af sælgeren kreditkortoplysningerne, og overfører derefter disse oplysninger via en internetforbindelse til kreditkortselskabets computer mainframe til godkendelse. Selvom denne transaktion normalt kun tager et antal sekunder, involverer den en masse meget følsom information. Hvis disse oplysninger ikke er korrekt beskyttet, kan de åbne både korteejere og forhandlere for svig. Generelle standarder for betalingskortindustri er designet til at forhindre eller i det mindste mindske sandsynligheden for, at svig.
Selvom nogle lande sætter ensartede datasikkerhedsstandarder for finansielle transaktioner, gør det ikke alle. Selv de eksisterende love regulerer normalt den finansielle sektor bredt, en minimumsstandard, der ikke er skræddersyet til kreditkortindustriens behov. Bredtrækkende regler for betalingskortbrancher findes simpelthen ikke. Hvis det er bredt nok vedtaget, kan betalingskortsektorstandarder udfylde dette hul.
En af de største fordele ved betalingskortsektorstandarder er, at de er skabt til og af de virksomheder, der bruger og håndterer kreditkort mest. Netop som deres definition er standarder frivillige, og ingen lov tvinger virksomheder til at vedtage dem. Når nok virksomheder begynder at implementere aftalte betalingskortstandarder, bliver standarderne dog ofte universelt forventet. Standarder som PCI DSS sigter mod at forene sikkerhedsforanstaltninger for kreditkort over hele verden.
PCI DSS blev oprindeligt udarbejdet af en gruppe kendt som PCI Security Standards Council. Dette råd består af repræsentanter fra fem af verdens største kreditkortselskaber: American Express®, Discover®, JCB®, MasterCard® og Visa®. Sammen med udarbejdelse og ajourføring af standarderne stræber rådet efter at forbedre de generelle standarder for kreditkortindustrien og branchenegler. Rådet uddanner privatlivets fred og sikkerhedssektorerne om kreditkortdatasikkerhed til fremme af dette mål. Den leverer også træningsprogrammer og sponsorkonferencer, der sigter mod at hjælpe virksomheder med at blive kompatible.
Hver af kreditkortselskaber med en andel i PCI Security Standards Council kræver leverandører, der accepterer deres kort, at overholde rådets standarder for betalingskortindustri. Dette betyder, at leverandører skal vedtage og overvåge, hvordan deres systemer implementerer betalingskortsektorens specifikationer, der er beskrevet i standarderne, hvis de vil fortsætte med at acceptere kreditkort som betaling. Kreditkortselskaber kontrollerer normalt store selskabers overholdelse på årsbasis. Små virksomheder har normalt tilladelse til selv at rapportere deres overholdelse. Hvis en købmand opdages som manglende overholdelse, kan sanktioner fra bøder til fuldstændig tilbagekaldelse af betalingskorttjenesten afhænge af overtrædelsens alvorlighed.