EMV
EMV står för Europay, Mastercard och Visa. Det är en ny standard för kortbetalningar som går ut på att magnetremsan på kortet kompletteras med ett chip. Den information som finns i chipet är mycket svårare att kopiera än den som finns i magnetremsan.

När betalning sker med ett kort med chip måste kortet som regel sitta i kortläsarterminalen och kortinnehavaren slå in sin kod. Magnetremsan kommer dock att finnas kvar, bland annat eftersom USA ännu inte planerat att införa chip. Det går inte att använda magnetremsan i terminaler som kan ta chip, om kortet har chip. Magnetremsan på chipkort kan fortfarande skimmas, alltså kopieras, och användas för betalning över internet eller i terminaler som inte tar chip. Men skimmade chip-kort kan inte användas i EMV-terminaler.

Hittills har inlösande bank tagit kostnaden för kortbedrägerier eller om någon handlat med ett stulet kort. De företag som har fristående terminaler, alltså sådana som inte är kopplade till ett hotell- eller restaurangsystem, tar dock över den risken den 1 januari 2009, om man inte bytt till EMV. Senast vid utgången av 2010 ska alla kort vara försedda med chip och alla terminaler kunna hantera det.

Med EMV blir det lättare att uppfylla PCI DSS-kraven.

PCI DSS
PCI DSS står för Payment Card Industry Data Security Standard. Det är en säkerhetsstandard som kortbranschen kräver av alla som tar emot kort. PCI DSS ska trygga hela kedjan i en korttransaktion så att inte information om till exempel kortnummer läcker ut.

Varje företag som tar emot kort är ansvarigt för att korthanteringen sköts på ett säkert och korrekt sätt på alla inköpsställen och därmed uppfyller PCI DSS. Om du eller din utrustning inte uppfyller kraven kan din bank neka dig att ta emot kort.

Pan Nordic, de nordiska bankernas samarbetsorganisation i kortfrågor, driver projektet, framför allt genom att ställa krav på leverantörerna.

Det finns fyra olika nivåer för hur man bevisar att man är godkänd enligt PCI DSS. Nivåerna bygger på hur många korttransaktioner ditt företag hanterar. För de flesta företag räcker det med att fylla i ett frågeformulär som man får från sin kortinlösare. Det fungerar som en egenkontroll där du svarar på frågor om vilken utrustning ni använder för att ta emot kort och vilka rutiner ni har.

Har ni ett litet system för kortmottagning klarar du att fylla i formuläret själv, är det ett mer komplext system kan du behöva konsulthjälp. Företag med riktigt många korttransaktioner måste ta dit en certifierad kontrollant.

Bankerna har redan inlett det här arbetet och egentligen ska alla vara PCI DSS-godkända redan. Den som inte uppfyller PCI DSS-kraven löper ökad risk vid eventuella kortbedrägerier.

Certifierade kassor
Den 1 januari 2010 blir det lagkrav på certifierade kassor i alla företag som tar emot betalning via kort eller kontanter, med undantag för bland annat taxi. Skatteverkets föreskrifter för vilka krav som ska gälla har nyligen blivit klara. De innebär att en kontrollenhet ska kopplas till varje kassa. I kontrollenheten lagras och krypteras alla transaktioner som sker i kassan. Tillverkare och leverantörer av kassaregister måste lämna in en tillverkardeklaration till Skatteverket där de garanterar att kassaregistret uppfyller de tekniska kraven. För att systemet ska fungera kommer många kassor att behöva programmeras om eller bytas ut.

Källor: Euroline, Pan Nordic och SHR. l