Betalningar med kreditkort blir allt vanligare. Hanteringen kräver dock stränga säkerhetsåtgärder för att kunderna ska känna förtroende för betalningsmetoden. Kreditkortsföretagen har därför utvecklat en gemensam lösning. Alla företag som hanterar överföringar eller lagrar kreditkortsinformation måste uppfylla ett antal riktlinjer för datasäkerhet. Målet är att alla affärsidkare som accepterar kort från dessa företag uppfyller "Payment Card Industry – Data Security Standard" (PCI), tidigare benämnt "Cardholder Information Security Program" (CISP).

Den aktuella versionen av standarden utvecklades under en period på några få år. VISA lanserade "Cardholder Information Security Program" (CISP) under 2001. Det var det första programmet i sitt slag och krävde att affärsidkare och tjänsteleverantörer uppfyllde ett antal standarder för datasäkerhet. Några få år senare samordnade VISA, MasterCard, American Express, Discover, Diners Club och JCB sina respektive policyer och introducerade "Payment Card Industry Data Security Standard" (PCI-DSS), en uppdaterad och mer omfattande version av standarden. Den blev obligatorisk för alla affärsidkare och tjänsteleverantörer i juni 2005. Den uppdaterades på nytt i september 2006 och den nuvarande standarden, som innehåller ca 160 villkor, blev bindande i slutet av juni 2007. Avtalet är inte någon papperstiger: enbart under 2006 har VISA lagfört affärsidkare som inte uppfyller standarderna till ett belopp om 4,6 miljoner USD. Det är en ökning med 35 % jämfört med tidigare år.

Den aktuella PCI-standarden innehåller stränga rutiner för att hantera och lagra kreditkortsinformation. Affärsidkare måste uppfylla dessa normer för att bibehålla sin status som partner till kreditkortsföretaget och undvika höga böter. Din bank kan ha kontaktat dig under de senaste månaderna angående PCI och vikten av att förebygga kreditkortsbedrägerier.

I början av året kom kreditkortsföretagen VISA och MasterCard överens om en gemensam standard för att samordna riktlinjerna för kreditkortssäkerhet. "Payment Card Industry (PCI) Data Security Standards" gäller hela kreditkortsbranschen.

PCI-villkoren innehåller 12 krav som ska uppfyllas av alla affärsidkare och tjänsteleverantörer som hanterar VISA-kort:

Skapa och upprätthålla ett säkert nätverk
1. Installera och upprätthåll en brandvägg för att skydda kortinnehavarnas uppgifter
2. Ändra alltid leverantörernas standardlösenord och andra säkerhetparametrar

Skydda kortinnehavarnas uppgifter
3. Skydda lagrade uppgifter om kortinnehavarna. Spara inte information om kort eller transaktionsdata, t.ex. kortnummer, magnetbandsdata, CVV-kod (CVV2) eller PIN-kod, som inte längre behövs.
4. Kryptera kortinnehavarens uppgifter och känslig information vid överföring via öppna, publika nätverk.

Upprätthålla ett program för risk- och sårbarhetsanalys
5. Använd antivirusprogram och uppdatera dem regelbundet
6. Utveckla och underhåll säkerhetssystem och -program

Införa en kraftfull behörighetskontroll
7. Begränsa åtkomsten till kortinnehavarnas uppgifter genom att begränsa användarnas behörighet till uppgifter som de inte behöver känna till
8. Tilldela unika användarnamn till varje person som har behörighet till datorn
9. Begränsa den fysiska tillgången till kortinnehavarnas uppgifter

Övervaka och kontrollera nätverk regelbundet
10. Registrera och övervaka all åtkomst till nätverksresurser och kortinnehavarnas uppgifter
11. Kontrollera regelbundet säkerhetssystem och -rutiner

Upprätthålla en policy för informationssäkerhet
12. Upprätthåll en policy för informationssäkerhet

Detaljerade förklaringar om de 12 villkoren anges här.

En av de viktigaste punkterna bland de 12 kraven i PCI-datasäkerhetsprogrammet är att förhindra att fullständiga kreditkorts- och CVV-data lagras i någon form efter att verifieringen är genomförd. Det är viktigt eftersom tillgången till dessa mycket känsliga data gör det möjligt att förfalska kreditkort.

Om det upptäcks vid en kontroll att en affärsidkare sparar kreditkortsdata i POS (kassaregistret), i PMS (front office-systemet) eller på företagets kontor bötfäller med största sannolikhet VISA din bank och din bank kommer att överföra dessa böter till dig p.g.a. villkorsbrott. VISA är mycket medvetna om att vissa POS- och PMS-produkter lagrar kreditkortsinformation.

Det innebär att alla IT-leverantörer för hela branschen påverkas, samt alla leverantörer av transaktionstjänster. Kontrollera att även din leverantör av transaktionstjänster uppfyller PCI-kraven.

Affärsidkare och tjänsteleverantörer som hanterar kreditkorts- och transaktionsinformation måste uppfylla "PCI Data Security Standards". Det innebär att de måste certifieras av en auktoriserad representant för VISA och MasterCard.

Vi på MICROS-Fidelio tar mycket allvarligt på detta initiativ. När de nya PCI-riktlinjerna, som förhindrar den mycket utbredda rutinen att spara kreditkortsinformation, tillkännagavs ändrade vi alla våra program för att uppfylla de nya villkoren.

Sedan dess har vi lagt till ytterligare ett antal förändringar för att de till fullo ska vara PCI-kompatibla. Vi erbjuder PCI-kompatibla versioner av våra MICROS-Fidelio-produkter som uppgraderingar till våra kunder. Mindre uppgraderingar eller patchar kan utföras av MICROS-Fidelio Support. Kontrollera med din support om det finns en patch till din produkt.

Sedan 2006 är MICROS-Fidelio en certifierad tillverkare av betalprogram som uppfyller säkerhetsstandarderna. En lista med alla certifierade programtillverkare och deras program finns på VISAs officiella amerikanska webbplats. Du kan också klicka här.

Det är lämpligt att inte bara kontrollera att produktversionen uppfyller PCI utan även att alla konfigureringsalternativ som behövs för att uppfylla PCI är rätt. En lista över alla PCI-certifierade system finns här.

Våra supportavdelningar hjälper gärna till med konfigureringsalternativen. Du kan kontakta oss under kontorstid via de normala supportkanalerna. Vi hjälper till med planering och schemaläggning om du behöver uppgradera något program.

Klicka här om du behöver kontaktinformation till din lokala support hos MICROS-Fidelio EAME.

Varken MICROS-Fidelio eller din service-leverantör är ansvariga för eventuella skador som kan uppkomma beroende på att du använder produkter som inte uppfyller villkoren.

Vi beklagar att marknaden sätter så stor press på banker och affärsidkare som accepterar kreditkort. Vi anser dock att det är viktigt att hålla dig informerad om händelsernas utveckling.

Vänd dig till oss om du behöver hjälp i den här frågan.

Datasäkerhetsstandarden PCI DSS (Payment Card Industry Data Security Standard) påverkar alla affärsidkare/företag som accepterar kreditkort och sparar kreditkortsinformation.

För att uppfylla PCI-standarden måste en kompatibel programversion användas. Vilka versioner som är kompatibla framgår av vår kompatibilitetslista.

Om du hanterar och sparar kreditkortsinformation kan äldre versioner uppgraderas för att uppfylla standarden.

Omfattningen av uppgraderingen beror på din aktuella programversion. Våra support- och försäljningsavdelningar hjälper gärna till.

Beakta även nätverkssäkerheten och kontrollera att det inte finns några oskyddade/okrypterade kopior eller utbildningssystem i nätverket.

Du bör endast göra dessa ändringar på direkt uppmaning från vår support. Vi hjälper dig att undersöka om några inställningar i konfigurationen behöver ändras.

Versionsnumret visas vanligtvis på skärmen när programmet startas eller körs. Vänd dig till support om du inte kan hitta versionsnumret.

Uppdateringarna är kostnadsfria för kunder med gällande supportavtal.

I många fall, beroende på produkt, kan uppdateringarna utföras på distans av ansvarig supportavdelning.

Om den version som du använder för närvarande är mycket gammal kan det vara nödvändigt att genomföra uppdateringen "på plats" mot en extra kostnad. Beroende på omfattningen av uppgraderingen kan även andra avgifter, t.ex. för ny maskinvara, tillkomma.

För att uppfylla säkerhetskraven får du inte spara/skriva in någon kreditkortsinformation och systemet ska uppdateras till en programversion som uppfyller PCI.

Kontakta din centrala IT-avdelning som koordinerar uppdateringarna.

Individuella certifikat utfärdas inte. Alla programtillverkare vars produkter är certifierade framgår av listan på VISAs officiella webbplats (List of certified software providers). Där finns också information om programversioner. Företag som inte finns med i listan är inte officiellt certifierade och uppfyller inte de stränga PCI-villkoren. Listan uppdateras regelbundet av VISA.

Svaret beror på programversionen. Vårt supportteam kan lämna detaljerad information om din version. Dessutom kan enskilda eller verksamhetsspecifika fält ha lagts till på din begäran i databasen/användargränssnittet och dessa kan fyllas i manuellt.

Om du inte anger eller sparar kreditkortsinformation någonstans i systemet uppfyller du PCI. I så fall behövs inga uppgraderingar eller konfigurationsändringar.
Vi har köpt vår kreditkortsterminal via MICROS-Fidelio – är den PCI-kompatibel?
MICROS-Fidelio säljer inte kreditkortsterminaler. Kontakta din leverantör av transaktionstjänsten (t.ex. Concardis eller Elavon) för mer information.

MICROS-Fidelio säljer inte kreditkortsterminaler. Kontakta din leverantör av transaktionstjänsten (t.ex. Concardis eller Elavon) för mer information.

Du uppfyller PCI så länge det inte förekommer någon manuell inmatning av kreditkortsinformation i front office-systemet. Se även den officiella PCI-DSS-dokumentationen för mer information.