PCI DSS
Säkerhetsstandarden för betalkortsbranschen (Payment Card Industry Data Security Standard) kräver att varje organisation som behandlar, lagrar eller överför kortinnehavardata upprätthåller ett formellt program för säkerhetsmedvetenhet. Roleplays gör det kravet till mätbar och engagerande utbildning.
Vad är PCI DSS?
Payment Card Industry Data Security Standard (PCI DSS) är en global standard för informationssäkerhet som utvecklats av PCI Security Standards Council, grundat av Visa, Mastercard, American Express, Discover och JCB. PCI DSS, som för närvarande finns i version 4.0.1, definierar tekniska och operativa krav för att skydda kortinnehavardata genom hela betalningscykeln.
PCI DSS gäller för varje organisation som tar emot, behandlar, lagrar eller överför kreditkortsinformation. Detta inkluderar handlare av alla storlekar, betalningsförmedlare, inlösare, utgivare och tjänsteleverantörer. I praktiken innebär det att kundtjänstmedarbetare som tar emot kortnummer per telefon, butiksanställda som behandlar transaktioner och IT-team som hanterar betalningsinfrastruktur alla omfattas.
Bristande efterlevnad kan leda till böter från $5 000 till $100 000 per månad från kortmärkena, ökade transaktionsavgifter, förlust av möjligheten att behandla kortbetalningar och betydande renomméskada efter ett intrång. Standarden är inte frivillig, den upprätthålls genom avtalsmässiga skyldigheter mellan handlare och deras inlösande banker.
Vem måste följa den
- Kundtjänster som hanterar betalkortsdata
- Detaljhandels- och e-handelsföretag
- Banker, fintechbolag och betalningsförmedlare
- SaaS-leverantörer i betalningsekosystemet
Konsekvenser av bristande efterlevnad
- Böter upp till $100 000/månad per kortmärke
- Ökade avgifter för transaktionsbehandling
- Återkallande av rätten att behandla kort
- Ansvar för bedrägliga transaktioner efter intrång
Utbildningskrav
PCI DSS v4.0 krav 12.6 fastställer obligatorisk säkerhetsmedvetenhetsutbildning för all personal med åtkomst till miljöer med kortinnehavardata.
Krav 12.6, Program för säkerhetsmedvetenhet
Ett formellt program för säkerhetsmedvetenhet måste implementeras för att göra all personal medveten om säkerhetspolicyn och rutinerna för kortinnehavardata. Detta går utöver ett enkelt policydokument, organisationer måste aktivt utbilda medarbetare om hot, korrekt datahantering och deras individuella ansvar för att skydda kortinnehavardata.
Vad QSA-revisorer verifierar: Att ett dokumenterat program finns, är godkänt av ledningen och omfattar all personal, inte bara IT-personal. Programmet måste hantera aktuella hot och vara anpassat till organisationens specifika miljö för kortinnehavardata.
Krav 12.6.1, Formellt medvetenhetsprogram
Programmet för säkerhetsmedvetenhet måste granskas minst en gång var tolfte månad och uppdateras vid behov för att hantera nya hot och sårbarheter. Programmet måste inkludera flera metoder för att kommunicera medvetenhet och utbilda personal, till exempel affischer, brev, möten, webbaserad utbildning eller simulerade nätfiskeövningar.
Vad QSA-revisorer verifierar: Dokumentation som visar att programmet har granskats och uppdaterats under de senaste tolv månaderna, med bevis på att flera kommunikationskanaler använts.
Krav 12.6.2, Årlig utbildning
Personal måste få säkerhetsmedvetenhetsutbildning minst en gång var tolfte månad. Nyanställda måste slutföra utbildningen vid introduktionen. Detta är en minimifrekvens, organisationer med högre risk eller hög personalomsättning bör överväga tätare utbildningscykler.
Vad QSA-revisorer verifierar: Register över slutförd utbildning för all berörd personal under de senaste tolv månaderna, samt bevis på att nyanställda fick utbildning innan de fick åtkomst till kortinnehavardata.
Krav 12.6.3, Bekräftelse från medarbetare
Personal måste minst en gång var tolfte månad bekräfta att de har läst och förstått säkerhetspolicyn och rutinerna. Detta krav säkerställer att medarbetare inte bara passivt registreras utan aktivt engagerar sig i innehållet. En enkel kryssruta är otillräcklig, bekräftelsen måste visa meningsfullt engagemang.
Vad QSA-revisorer verifierar: Undertecknade eller elektroniskt registrerade bekräftelser från all berörd personal, daterade under de senaste tolv månaderna. Revisorer letar efter bevis på att bekräftelsen är kopplad till faktiskt slutförd utbildning, inte bara en fristående signatur.
Hur Roleplays hjälper
Ersätt bildspel med realistiska simuleringar som testar verkligt beteende, och dokumentera sedan allt som din QSA behöver.
PCI-specifika scenarier
Färdiga simuleringar för de vanligaste PCI-felen: samtal med social manipulation som begär kortnummer, nätfiskemejl riktade mot betalsystem, smygande in i säkra områden och felaktig lagring av kortdata. Scenarierna uppdateras allteftersom hotbilden utvecklas, vilket uppfyller kravet på årlig granskning i krav 12.6.1.
Utbildning i datamaskering
Träna medarbetare att aldrig läsa upp fullständiga kortnummer, använda korrekta maskeringstekniker (visa endast de fyra sista siffrorna) och känna igen när en uppringare försöker locka fram mer data än nödvändigt. Simulerade uppringare testar om medarbetare följer maskeringsprotokoll under press.
Poängsättning av medarbetarbeteende
AI-utvärdering med flera kriterier poängsätter varje medarbetare på säkerhetsmedvetenhet, efterlevnad av datahantering, motståndskraft mot social manipulation och korrekta eskaleringsrutiner. Resultaten kopplas till specifika PCI DSS-krav och ger de kompetensbevis QSA-revisorer förväntar sig utöver enkla närvaroregister.
Dokumentation av efterlevnad
Varje utbildningssession genererar tidsstämplade register inklusive identifiering av deltagare, utbildningsinnehåll, varaktighet, utvärderingspoäng och slutförandestatus. Exportera efterlevnadsrapporter som visar att 100 % av den berörda personalen utbildats inom tolvmånadersfönstret, exakt vad krav 12.6.2 kräver.
Försvar mot social manipulation
Simulerade angripare använder verkliga taktiker för social manipulation: förevändningar som IT-support, manipulation baserad på brådska, auktoritetsimitation och flerstegs förevändningsattacker. Medarbetare lär sig att känna igen och motstå dessa taktiker i en trygg miljö innan de möter dem i produktion.
Inbyggd bekräftelse
Att slutföra en simulering är bekräftelsen. Till skillnad från passiva kryssruteformulär bevisar varje slutförd session att medarbetaren aktivt engagerade sig i säkerhetsinnehållet. Register över slutförda sessioner fungerar som bekräftelser enligt krav 12.6.3, med fullständiga tidsstämplar och prestationsdata som bevis.
Vanliga frågor
Uppfyller Roleplays PCI DSS-krav 12.6.2 för årlig utbildning?
Ja. Plattformen spårar slutförandedatum för utbildning för varje medarbetare och genererar rapporter som visar efterlevnadsstatus i hela organisationen. Du kan konfigurera årliga eller tätare utbildningscykler, ställa in automatiska påminnelser för kommande deadlines och exportera bevis på slutförande i format som QSA-revisorer förväntar sig.
Kan vi skapa scenarier som är specifika för vår kundtjänstmiljö?
Absolut. Utöver de färdiga PCI-scenarierna kan du skapa anpassade simuleringar som speglar dina specifika samtalsflöden, betalningsprocesser och hotbild. Du kan till exempel simulera en uppringare som ber en medarbetare att läsa upp sitt fullständiga kortnummer för "verifiering", eller en förevändningsattack där någon utger sig för att vara er IT-avdelning.
Hur hanterar plattformen bekräftelsekravet i krav 12.6.3?
Varje slutförd simulering fungerar som en aktiv bekräftelse. Till skillnad från en passiv kryssruta bevisar slutförandet av en utbildningssession att medarbetaren engagerade sig i säkerhetsinnehållet, förstod de presenterade scenarierna och visade kompetens genom sina svar. Sessionsregister inkluderar tidsstämplar, varaktighet och prestationspoäng, ett mycket starkare bevis än ett undertecknat formulär.
Uppdateras utbildningsinnehållet allteftersom nya hot uppstår?
Ja. PCI DSS krav 12.6.1 kräver att programmet för säkerhetsmedvetenhet granskas och uppdateras minst årligen. Roleplays uppdaterar kontinuerligt sitt scenariobibliotek för att återspegla aktuella hot, vishingtekniker, AI-driven social manipulation, nya nätfiskemönster. Din QSA kan verifiera att utbildningsinnehållet återspeglar den aktuella hotbilden.
Kan Roleplays helt ersätta vår befintliga säkerhetsmedvetenhetsutbildning?
Roleplays kan fungera som ert primära verktyg för PCI-säkerhetsmedvetenhetsutbildning och täcka alla delkrav i krav 12.6. Många organisationer använder det tillsammans med sitt befintliga LMS, Roleplays hanterar den interaktiva, simuleringsbaserade delen medan LMS:et sköter distribution och spårning av policydokument. Plattformens API möjliggör integration med de flesta lärplattformar.
Bli efterlevnadsklar snabbare.
Ersätt årliga bildspel med simuleringar som faktiskt testar säkerhetsbeteende. Uppfyll varje delkrav i PCI DSS 12.6 med dokumenterade bevis.