Hva er standarder for betalingskortindustri?
Bransjestandarder for betalingskort er standardene som veileder hvordan kredittkortselskaper og de forhandlere de gjør forretninger med håndterer kredittkortdata og behandler betalinger. I utgangspunktet kan alle standarder eller beste fremgangsmåter som blir fulgt mye i kredittkortbransjen, kalles industristandarder for betalingskort. Imidlertid brukes setningen oftest i forbindelse med den universelle standard for betalingskortindustriens sikkerhet, også kjent som PCI DSS. PCI DSS er et dokument pioner av fem store kredittkortselskaper som gir veiledning om hvordan du lagrer kredittkortnummer og kvitteringer, hvordan du sikrer selgerdatanettverk og hvordan håndtere utbetalingsbehandling blant annet. Overholdelse av betalingskortbransjestandardene som er angitt i PCI DSS er teknisk frivillig, men manglende overholdelse har ofte negative konsekvenser for selskaper og butikkeiere.
Kredittkort brukes ofte til å betale for alt fra store engangskjøp til dagligdagse behov som dagligvarer og bensin. Når en kunde sveiper et kredittkort, leser et datasystem som eies av selgeren kredittkortinformasjonen, og overfører deretter informasjonen over en Internett-tilkobling til kredittkortselskapets datamaskinens hovedramme for godkjenning. Selv om denne transaksjonen vanligvis bare tar et antall sekunder, innebærer den mye svært sensitiv informasjon. Hvis denne informasjonen ikke er beskyttet riktig, kan den åpne både korteiere og forhandlere for svindel. Generelle standarder for betalingskortindustri er designet for å forhindre, eller i det minste redusere sannsynligheten for, at svindel.
Selv om noen land setter ensartede datasikkerhetsstandarder for finansielle transaksjoner, er det ikke alle som gjør det. Til og med lovene som eksisterer regulerer vanligvis finansnæringen bredt, en minimumsstandard som ikke er tilpasset kredittkortbransjens behov. Bredt feiende regelverk for betalingskortbransjer eksisterer rett og slett ikke. Hvis de er adoptert nok, kan bransjestandarder for betalingskort fylle dette gapet.
En av de største fordelene med standarder for betalingskortindustrien er at de er skapt for og av selskapene som bruker og håndterer kredittkort mest. Helt definisjonen er at standarder er frivillige, og ingen lov tvinger selskaper til å adoptere dem. Når nok selskaper begynner å implementere avtalte betalingskortstandarder, blir standardene imidlertid ofte universelt forventet. Standarder som PCI DSS har som mål å forene sikkerhetstiltak for kredittkort over hele verden.
PCI DSS ble opprinnelig utarbeidet av en gruppe kjent som PCI Security Standards Council. Det rådet består av representanter fra fem av verdens største kredittkortselskaper: American Express®, Discover®, JCB®, MasterCard® og Visa®. Sammen med å utarbeide og oppdatere standardene, prøver rådet å forbedre generelle standarder for kredittkortindustri og bransjeforskrifter. Rådet utdanner personvern- og sikkerhetssektorene om datasikkerhet med kredittkort for å fremme dette målet. Den tilbyr også opplæringsprogrammer og sponsor konferanser som er rettet mot å hjelpe selskaper til å bli kompatible.
Hvert av kredittkortselskapene med eierandel i PCI Security Standards Council krever leverandører som godtar kortene sine for å overholde rådets bransjestandarder for betalingskort. Dette betyr at leverandører må ta i bruk og overvåke hvordan systemene deres implementerer spesifikasjonene for betalingskortbransjen som er angitt i standardene hvis de vil fortsette å godta kredittkort som betaling. Kredittkortselskaper kontrollerer vanligvis store selskapers etterlevelse på årsbasis. Små bedrifter har vanligvis lov til å rapportere selv om de er i samsvar med dem. Hvis det blir oppdaget at en selger svikter overholdelse, kan straffene variere fra bøter til fullstendig tilbakekall av betalingskorttjenesten, avhengig av alvorlighetsgraden av overtredelsen.