Vad är betalningskortsbranschstandarder?
Industristandarder för betalkort är de standarder som styr hur kreditkortsföretag och de handlare som de handlar med hanterar kreditkortsdata och bearbetar betalningar. I princip kan alla standarder eller bästa praxis som vidtas i kreditkortsbranschen kallas industristandarder för betalningskort. Frasen används emellertid oftast i samband med den allmänna betalningskortsindustrins datasäkerhetsstandard, även känd som PCI DSS. PCI DSS är ett dokument som är banbrytande av fem stora kreditkortsföretag som ger vägledning om hur man lagrar kreditkortsnummer och kvitton, hur man säkrar handelsdatorer och hur man hanterar utbetalning av utbetalningar, bland annat. Överensstämmelse med betalningskortsindustrins standarder som anges i PCI DSS är tekniskt frivilligt, men att inte följa ofta har negativa konsekvenser för företag och butiksägare.
Kreditkort används ofta för att betala för allt från stora engångsköp till dagliga behov som dagligvaror och bensin. När en kund sveper ett kreditkort läser ett datorsystem som ägs av säljaren kreditkortsinformationen och överför sedan informationen via en internetanslutning till kreditkortsföretagets datorstorram för verifiering. Även om denna transaktion vanligtvis bara tar ett antal sekunder, innebär den mycket mycket känslig information. Om denna information inte är korrekt skyddad kan den öppna både kortägare och handlare för bedrägeri. Vanliga branschstandarder för betalningskort är utformade för att förhindra eller åtminstone minska risken för att bedrägerier.
Även om vissa länder sätter enhetliga datasäkerhetsstandarder för finansiella transaktioner, gör inte alla det. Även de lagar som finns regelbundet reglerar finansbranschen i stort, en minimistandard som inte är anpassad till kreditkortsbranschens behov. Det finns helt enkelt inte brett svepande föreskrifter för betalkortsbranschen. Om de är tillräckligt vidtagna kan industristandarder för betalningskort fylla detta gap.
En av de största fördelarna med betalningskortsindustristandarder är att de skapas för och av de företag som använder och hanterar kreditkort mest. Enligt själva definitionen är standarder frivilliga, och ingen lag tvingar företag att anta dem. När tillräckligt med företag börjar implementera överenskomna standarder för betalningskort blir standarderna ofta universellt förväntade. Standarder som PCI DSS syftar till att förena kreditkortsäkerhetsåtgärder över hela världen.
PCI DSS utarbetades ursprungligen av en grupp känd som PCI Security Standards Council. Det rådet består av representanter från fem av världens största kreditkortsföretag: American Express®, Discover®, JCB®, MasterCard® och Visa®. Tillsammans med utarbetandet och uppdateringen av standarderna strävar rådet efter att förbättra allmänna kreditkortsindustristandarder och branschregler. Rådet utbildar sekretess- och säkerhetssektorerna om kreditkortsdatasäkerhet för att främja detta mål. Den tillhandahåller också utbildningsprogram och sponsrar konferenser som syftar till att hjälpa företag att uppfylla kraven.
Varje kreditkortsföretag som har en andel i PCI Security Standards Council kräver leverantörer som accepterar sina kort för att följa rådets branschstandarder för betalningskort. Detta innebär att leverantörer måste anta och övervaka hur deras system implementerar betalningskortsindustrins specifikationer som anges i standarderna om de vill fortsätta att acceptera kreditkort som betalning. Kreditkortsföretag granskar vanligtvis stora företags efterlevnad själva på årsbasis. Småföretag har vanligtvis tillåtelse att självrapportera sin efterlevnad. Om en köpman upptäcker att den inte uppfyller kraven, kan påföljder variera från böter till fullständig återkallelse av betalkorttjänsten, beroende på hur allvarlig överträdelsen är.