PCI DSS och kassasäkerhet: nätverkskrav för butiker med kortbetalning

Vad är PCI DSS och vilka butiker berörs?

PCI DSS – Payment Card Industry Data Security Standard – är ett obligatoriskt regelverk för alla organisationer som lagrar, behandlar eller överför betalkortsdata. Standarden tas fram och förvaltas av PCI SSC (PCI Security Standards Council), ett organ grundat av kortbolagen Visa, Mastercard, American Express, Discover och JCB. Att följa PCI DSS är ett avtalsvillkor för att få ta emot kortbetalningar – inte ett frivilligt åtagande.

Sedan mars 2024 är PCI DSS 4.0 den enda aktiva versionen. Den tidigare versionen 3.2.1 avvecklades den 31 mars 2024, och de tidsbegränsade kraven i 4.0 – som länge var valbara att implementera – blev obligatoriska den 31 mars 2025. Det innebär att alla butiker som hanterar kortbetalningar nu måste förhålla sig till det fullständiga kravsettet i version 4.0.

Berörd verksamhet inkluderar inte bara stora kedjor med egna betalningssystem. Även den mindre handlaren som enbart använder en extern betalterminal är formellt i scope, även om scopens storlek och vilka specifika krav som gäller varierar beroende på hur kortdata flödar genom verksamheten.

Vad räknas som CDE – och varför spelar det roll?

CDE – Cardholder Data Environment, eller kortdatamiljö – är den tekniska kärnan i PCI DSS. Definitionen av CDE omfattar alla system som lagrar, behandlar eller överför kortdata, men även alla system som är anslutna till eller som på annat sätt kan påverka säkerheten i dessa system.

Den sista delen av definitionen är avgörande för hur nätverket måste utformas. PCI SSC tillämpar en presumtionsregel: ett system antas vara i scope tills segmentering bevisligen isolerar det. Det räcker alltså inte att ett system inte aktivt hanterar kortdata – om det är nätverksmässigt nåbart från ett system som gör det, är det i scope.

Konsekvensen i butiksmiljö är direkt. Om kassasystemet och kund-WiFi befinner sig på samma nätverk utan isolering, dras hela det nätverket in i CDE. En gäst som ansluter till ert öppna WiFi befinner sig nätverksmässigt i samma segment som kassasystemet – och det räcker för att hela nätet ska klassas som kortdatamiljö. Scopens storlek styr direkt hur många system som måste uppfylla PCI DSS-kraven och vad en eventuell revision kostar.

Varför kassanätverket måste separeras från kund-WiFi

Det konkreta hotet är enkelt att förstå: ett öppet kund-WiFi är tillgängligt för alla i butiken – kunder, leverantörer och eventuella angripare. Om det nätverket är sammansatt med kassasystemet finns det en nätverksmässig väg från en okontrollerad enhet till betalkortsdata. Att utnyttja den vägen är ett etablerat angreppsmönster mot butiksmiljöer.

Med rätt nätverkssegmentering bryts den vägen. Kund-WiFi och kassanätverk placeras i separata nätverkssegment med kontrollerade gränser, vilket innebär att kund-WiFi faller utanför CDE och därmed utanför scope för PCI DSS. Det minskar antalet system som måste certifieras och granskas dramatiskt.

Den vanligaste segmenteringsmetoden i butiksmiljö är VLAN – Virtual Local Area Network. Ett VLAN är en logisk uppdelning av ett fysiskt nätverk där trafiken i olika segment hålls isolerad från varandra via nätverksutrustningen, utan att det krävs separata fysiska kablar till varje segment. Rätt konfigurerat förhindrar ett VLAN att en enhet i kund-WiFi-segmentet kommunicerar med kassasystemet, även om de delar samma fysiska switch eller åtkomstpunkt. Alternativa metoder inkluderar dedikerade switchar och fysiskt separata nätverkssegment med brandvägg emellan.

Kostnaden för att inte agera kan bli betydande. Enligt uppgifter från ComputerSweden och betaltjänstleverantören Adyen kostar ett dataintrång i genomsnitt upp till 22 000 000 kr – en siffra som inkluderar direkta kostnader för utredning, sanering och notifiering, men också förlorad omsättning och skadestånd. Rätt segmentering minskar scope och därmed både certifieringskostnad och riskexponering.

PCI DSS 4.0 – krav som gäller när ni segmenterar

Nätverkssegmentering är inte ett krav i PCI DSS – det är ett verktyg för scope-reducering. Men väljer ni att använda segmentering för att minska scope, ställer PCI SSC specifika krav på hur den segmenteringen ska dokumenteras, granskas och testas. De tre mest centrala kraven i version 4.0 är:

• Krav 1.2.6 – Dokumentation av anslutningar: Varje tillåten anslutning över CDE-gränsen måste dokumenteras med en affärsmotivering och skyddas tekniskt. Det räcker inte att en brandväggsregel finns – det måste finnas ett dokumenterat skäl till varför just den anslutningen är tillåten.
• Krav 1.2.7 – Halvårsgranskning av brandväggsregler: Brandväggsregler och nätverkskonfigurationer som styr trafik till och från CDE ska granskas minst var 6:e månad. Syftet är att fånga upp regler som blivit obsoleta, felkonfigurerade eller som öppnar oavsiktliga ingångar.
• Krav 11.4.5 – Penetrationstestning av segmenteringen: Nätverkssegmenteringen ska testas med aktiv penetrationstestning minst en gång per år, och minst var 6:e månad för tjänsteleverantörer. Testningen ska dessutom genomföras efter varje väsentlig förändring av nätverket. Notera att detta är aktiv testning – verkliga försök att nå CDE utifrån – inte enbart en granskning av konfigurationsfiler.

Alla tre krav gäller oavsett om segmenteringen baseras på VLAN, dedikerade switchar eller brandväggar. Dokumentationskravet är ofta det som brister hos verksamheter som tekniskt sett har en fungerande segmentering men saknar ordnad process för att hålla den uppdaterad.

Steg för steg – så sätter ni upp ett PCI-kompatibelt butiksnätverk

Att komma till rätt nätverksarkitektur är en process som kräver systematik snarare än enbart teknik. Här är de steg som Smartify rekommenderar för butiker som vill uppnå PCI DSS-efterlevnad med kontrollerad scope:

1. Kartlägg dataflödena. Identifiera var kortdata uppstår, var den passerar och var den eventuellt lagras. Det inkluderar kassasystemet, betalterminalerna, eventuella integrationer mot affärssystem och molntjänster.
2. Definiera CDE och dess gränser. Baserat på dataflödeskartan – vilka system är i scope? Vilka är anslutna till CDE och därmed dragna in? Var ska gränsen gå?
3. Implementera segmentering. Konfigurera VLAN eller separat nätverkssegment som isolerar CDE från kund-WiFi, kontorsnätverk och andra system utanför scope. Brandväggsregler sätts för att kontrollera all trafik över gränserna.
4. Dokumentera alla tillåtna anslutningar. För varje öppning i brandväggen – dokumentera affärsanledningen, vem som ansvarar och när regeln senast granskades. Det är ett krav enligt 1.2.6 och ett nödvändigt underlag för revisioner.
5. Schemalägg halvårsgranskning av brandväggsregler. Sätt ett återkommande datum i kalendern. Granskningen ska dokumenteras och resultaten arkiveras.
6. Genomför penetrationstestning. Anlita en kvalificerad testare som aktivt försöker nå CDE via kund-WiFi och andra yttre åtkomstpunkter. Upprepa efter varje väsentlig nätverksförändring.

Det är fullt möjligt att genomföra detta på befintlig nätverkshårdvara i många butiksmiljöer – men konfigurationen måste göras korrekt och dokumenteras från start.

Vad händer om ni inte uppfyller kraven?

Konsekvenserna av bristande PCI DSS-efterlevnad är konkreta och eskalerande. Till att börja med riskerar en butik böter från kortbolagen Visa och Mastercard – böterna kan uppgå till betydande belopp per månad och trappas upp ju längre bristerna kvarstår. I förlängningen kan kortbolagen återkalla rätten att ta emot kortbetalningar, vilket i praktiken slår ut en stor del av omsättningen för de flesta butiker.

Vid ett faktiskt dataintrång tillkommer kostnader för forensisk utredning, kundnotifiering, kreditövervakning för drabbade kortinnehavare och potentiella skadestånd. Härtill kommer varumärkesskada som är svår att kvantifiera men reell – en butik som figurerar i nyhetsrapportering om kortbedrägeri tappar kundförtroende.

Rätt nätverkssegmentering ska ses som en investering i scope-kontroll. En väl definierad och dokumenterad CDE innebär färre system att certifiera, lägre kostnader för revision och en väsentligt lägre riskexponering. Det är ett affärsbeslut, inte bara ett tekniskt.

Hur Smartify stödjer er PCI DSS-efterlevnad

Smartify arbetar med nätverksdesign, VLAN-konfiguration och teknisk rådgivning för butiksmiljöer som hanterar kortbetalningar. Det inbegriper nätverksrevision för att kartlägga befintlig scope och identifiera var CDE-gränsen idag går – och var den borde gå.

Om ni är osäkra på om ert kassanätverk är korrekt isolerat från kund-WiFi och övrig infrastruktur, eller om ni vill säkerställa att dokumentation och testrutiner uppfyller kraven i PCI DSS 4.0, är en nätverksrevision ett naturligt startpunkt.

Kontakta Smartify för att boka en genomgång av er butiksmiljö.

Vanliga frågor om PCI DSS och butiksnätverk

Måste vi ha nätverkssegmentering för att klara PCI DSS?

Nätverkssegmentering är inte ett obligatoriskt krav enligt PCI DSS 4.0 – det är ett verktyg ni kan använda för att minska scope. Utan segmentering är hela ert nätverk i scope för PCI DSS, vilket innebär att alla anslutna system måste uppfylla samtliga krav i standarden. Det är tekniskt möjligt att uppnå PCI DSS-efterlevnad utan segmentering, men i praktiken innebär det ett betydligt större och kostsammare certifieringsarbete. För de flesta butiker är segmentering den mest kostnadseffektiva vägen till efterlevnad.

Vad händer om kund-WiFi och kassasystemet är på samma nätverk?

Om kund-WiFi och kassasystemet befinner sig i samma nätverkssegment utan isolering räknas hela nätverket som CDE – kortdatamiljö – enligt PCI DSS. Det innebär att alla nätverksanslutna system i butiken, inklusive administrativa datorer och IoT-enheter, dras in i scope och måste uppfylla PCI DSS-kraven. Utöver den administrativa bördan innebär det en säkerhetsrisk: en angripare som ansluter till kund-WiFi har en nätverksmässig väg mot kassasystemet. Rätt segmentering eliminerar både risken och den extra certifieringsbördan.

Hur ofta måste vi testa nätverkssegmenteringen?

Enligt krav 11.4.5 i PCI DSS 4.0 krävs aktiv penetrationstestning av segmenteringen minst en gång per år för handlare och minst var 6:e månad för tjänsteleverantörer. Testningen ska dessutom genomföras efter varje väsentlig förändring av nätverket – exempelvis när ny nätverksutrustning installeras, ett nytt system ansluts till CDE eller brandväggsregler ändras i grunden. Det är viktigt att skilja penetrationstestning från konfigurationsgranskning: penetrationstestning innebär faktiska intrångsförsök, inte enbart en genomgång av inställningar.

Vad är ett VLAN och räcker det för PCI DSS?

Ett VLAN – Virtual Local Area Network – är en logisk uppdelning av ett nätverk som skapar isolerade trafikflöden utan att kräva separata fysiska kablar eller nätverksenheter. Trafiken i olika VLAN hålls åtskild via nätverksenheter som switchar och routrar. Ett korrekt konfigurerat VLAN kan räcka som segmenteringsmetod för PCI DSS-efterlevnad, men det räcker inte att bara aktivera VLAN-funktionen – konfigurationen måste aktivt förhindra trafik mellan segmenten, och det måste verifieras genom penetrationstestning. En felkonfigurerad VLAN ger sken av isolering utan att faktiskt uppnå den.

Gäller PCI DSS även om vi använder en betalterminal från en extern leverantör?

Ja – PCI DSS gäller oavsett om ni använder en extern betalterminal. Standarden träder in i det ögonblick kortdata bearbetas, oavsett vem som tillhandahåller hårdvaran. Däremot påverkar terminaltyp och integrationssätt hur stort ert scope blir. En P2PE-certifierad terminal (Point-to-Point Encryption) som krypterar kortdata omedelbart vid inläsning och inte skickar okrypterad data till ert kassasystem kan i vissa fall kraftigt reducera scope – men er nätverksmiljö och hur terminalen är ansluten spelar fortfarande roll. Det krävs en konkret kartläggning för att fastställa exakt scope i er miljö.

‍