Det er kun 20 procent af alle virksomheder, der håndterer betalingskort, som overholder de gældende PCI-standarder.
Det vurderer sikkerhedsfirmaet Verizon i en ny rapport, som firmaet har udarbejdet.
Og det er en tab-tab-situation.
"Det skaber usikkerhed hos brugeren, hvilket giver lavere troværdighed til kreditkorthandler på nettet. Samtidig risikerer de firmaer, der ikke overholder standarderne, en bøde fra kortudstederne," fortæller Kim Haverblad, som er ekspert i PCI-DSS i sikkerhedsfirmaet Verizon.
PCI-DSS er en forkortelse for Payment Card Industry - Data Security Standard.
Betaling med internationale kreditkort stiller nemlig stramme krav til sikkerheden for både kreditkort og transaktioner.
Rigtig mange dumper i sikkerhed
Derfor har de store kreditkortfirmaer som Visa, Diners og MasterCard i fællesskab udarbejdet en standard, der opstiller en stribe retningsliner for datasikkerhed.
Målet er, at alle handlende, der accepterer disse virksomheders kort, nøje skal overholde PCI-DSS.
Men det gør alle handlende langt fra.
Faktisk har Verizon målt sig frem til, at lige knap 80 procent ikke overholder kravene på verdensplan.
"Billedet er det samme i Danmark. Det er typisk de samme fejl, vi ser verden over, hvilket betyder, at vi ikke er bedre end resten af verden," siger Kim Haverblad.
De største udfordringer, virksomhederne kæmper med i forbindelse med at overholde PCI-standarder, er at beskytte kortholdernes data, at spore og monitorere adgang, at teste systemet og procedurerne regelmæssigt, og sidst men ikke mindst at opretholde sikkerhedspolitikker, vurderer Verizon.
Kendt standard
Det første regelsæt blev lanceret af Visa i 2001, og siden er der blevet bygget flere krav og rutiner til sikkerhedsstandarden.
I dag omfatter den mere end 150 krav, som er inddelt i 12 forskellige kategorier.
De handlende skal følge disse normer for at kunne bevare deres status som partnere hos kreditkortvirksomheden og for at undgå store bøder fra kortudstederne.
Oplysning, oplysning og oplysning
De mange virksomheder, der ifølge Verizon ikke overholder standarderne, gør det langt fra altid af ond vilje.
Det handler mere om, at standarderne kan fortolkes og kræver, at man hele tiden vedligeholder sine systemer og politikker i virksomheden.
"Det er ofte et spørgsmål om uvidenhed. Ved almindelig oplysning kan man komme rigtig langt i forhold til at overholde de vigtige kortstandarder," siger Kim Haverblad om løsningen på problemet.
