Dataskyddspolicy (DSOP)

Förändringssymboler

Viktiga uppdateringar anges i Tabell med översikt över förändringar och markeras även i DSOP genom en förändringssymbol. En förändringssymbol vid rubriken i ett avsnitt eller underavsnitt innebär att text har reviderats, lagts till i eller tagits bort ur avsnittet eller underavsnittet. Förändringar i DSOP markeras med den förändringssymbol som visas till vänster.

Tabell med översikt över förändringar

Viktiga uppdateringar anges i följande tabell och markeras även i DSOP med en förändringssymbol.

Avsnitt/underavsnitt		Beskrivning av förändringen
Avsnitt 4: Ersättningsskyldighet vid Dataincidenter		Uppdatering av avsnittets hänvisning till Avsnitt 3: Hanteringsskyldighet vid Dataincident.
Avsnitt 5: Viktig regelbunden validering av dina system		Förtydligande av American Express rättigheter att kräva QSA eller PFI.

Vad ska du göra vid en Dataincident?

Följ dessa steg om du har upptäckt en Dataincident på ditt företag.

Steg 1:

Fyll i Formuläret för initialt meddelande om Dataincident hos Affärspartner och skicka det med e-post till EIRP@aexp.com inom 72 timmar efter att Dataincidenten upptäckts.

Steg 2:

Genomför en fullödig utredning. Detta kan innebära att du behöver anlita en Rättsutredare från betalkortbranschen (PCI).

Steg 3:

Förse oss omedelbart med alla American Express®-kortnummer som äventyrats.

Steg 4:

Samarbeta med oss för att lösa problem som uppkommer på grund av Dataincidenten.

Se Avsnitt 3: Hanteringsskyldighet vid Dataincident för mer information om hanteringsskyldigheter vid en Dataincident.

Har du fler frågor?

USA: (888) 732-3750 (kostnadsfritt)

Internationellt: +1 (602) 537-3021

EIRP@aexp.com

American Express leder utvecklingen inom konsumentskydd och jobbar ständigt för att skydda Kortinnehavardata och Känsliga autentiseringsdata och se till att de hålls säkra.

Äventyrade data påverkar konsumenter, Affärspartner, Tjänsteleverantörer och Kortutfärdare negativt. Varje incident kan medföra allvarlig skada på företagets anseende och påverka dess förmåga att bedriva verksamheten effektivt. Implementering av säkerhetsrutiner för att minska hotet kan bidra till att öka konsumenternas förtroende, öka lönsamheten och förbättra företagets anseende.

American Express vet att våra Affärspartner och Tjänsteleverantörer (gemensamt kallade du) delar vår oro och kräver att du, som en del i dina ansvarsuppgifter, följer dataskyddsbestämmelserna i ditt Avtal för att ta emot (då det handlar om Affärspartner) eller bearbeta (då det handlar om Tjänsteleverantörer) American Express®-kort (vart och ett för sig, Avtalet) och denna Dataskyddspolicy, som kan ändras från tid till annan. Dessa krav gäller all utrustning, system och nätverk (och deras komponenter) där Krypteringsnycklar, Kortinnehavardata eller Känsliga autentiseringsdata (eller en kombination av dessa) lagras, bearbetas eller överförs.

Begrepp som används men inte definieras häri har den betydelse som anges i slutet av denna policy.

Avsnitt 1 Målinriktat analysprogram (TAP)

Äventyrade Kortinnehavardata kan orsakas av säkerhetsläckor i din Kortinnehavardatamiljö (CDE).

Exempel på äventyrande av Kortinnehavardata innefattar men är inte begränsat till:

Gemensamt inköpsställe (CPP): American Express Kortmedlemmar rapporterar bedrägliga Transaktioner på sina Kortkonton som identifieras och bedöms ha uppstått efter köp på dina Försäljningsställen.
Kortdata funnen: American Express Kort och Kortinnehavardata har hittats på internet och kopplats till Transaktioner på dina Försäljningsställen.
Misstänkt sabotageprogram: American Express misstänker att du använder program som smittats med eller är känsligt för skadlig kod.

TAP är utformat för att identifiera potentiella äventyranden av Kortinnehavardata.

Du måste se till att du och dina Omfattade parter uppfyller följande krav vid meddelande om potentiellt äventyrade Kortinnehavardata från American Express.

Du måste punktligt granska så att din CDE inte innehåller datasäkerhetsluckor och åtgärda eventuella fynd.

§Du måste se till att din(a) tredjepartsleverantör(er) genomför en grundlig undersökning av din CDE om denna är lagd på entreprenad.

Du måste tillhandahålla en sammanfattning av vidtagna eller planerade åtgärder efter din granskning, utvärdering och/eller ansträngningar till åtgärder vid meddelande från American Express.
Du måste tillhandahålla uppdaterade PCI DSS-valideringsdokument enligt Avsnitt 5: Viktig regelbunden validering av dina system.
I förekommande fall måste du anlita en kvalificerad Rättsutredare från PCI (PFI) som undersöker din CDE om du eller din Omfattade part:

§inte kan lösa problemet med den äventyrade Kortinnehavardatan inom en rimlig tidsperiod som bestäms av American Express, eller

§bekräftar att en Dataincident har inträffat och uppfyller de krav som anges i Avsnitt 3: Hanteringsskyldighet vid Dataincident.

Avgift vid bristande efterlevnad av TAP

Beskrivning	Affärspartner på nivå 1 eller Tjänsteleverantör på nivå 1	Affärspartner på nivå 2 eller Tjänsteleverantör på nivå 2	Affärspartner på nivå 3 eller 4
Avgift för bristande efterlevnad kan övervägas om TAP-skyldigheterna inte uppfylls innan den första tidsfristen löper ut.	25 000 USD	5 000 USD	1 000 USD
Avgift för bristande efterlevnad kan övervägas om TAP-skyldigheterna inte uppfylls innan den andra tidsfristen löper ut.	35 000 USD	10 000 USD	2 500 USD
Avgift för bristande efterlevnad kan övervägas om TAP-skyldigheterna inte uppfylls innan den tredje tidsfristen löper ut. Obs! Vid bristande efterlevnad kan avgifter fortsatt komma att tillämpas tills dess att skyldigheterna uppfylls eller TAP är löst.	45 000 USD	15 000 USD	5 000 USD

Beskrivning

Affärspartner på nivå 1 eller Tjänsteleverantör på nivå 1

Affärspartner på nivå 2 eller Tjänsteleverantör på nivå 2

Affärspartner
på nivå 3 eller 4

Avgift för bristande efterlevnad kan övervägas om TAP-skyldigheterna inte uppfylls innan den första tidsfristen löper ut.

25 000 USD

5 000 USD

1 000 USD

Avgift för bristande efterlevnad kan övervägas om TAP-skyldigheterna inte uppfylls innan den andra tidsfristen löper ut.

35 000 USD

10 000 USD

2 500 USD

Avgift för bristande efterlevnad kan övervägas om TAP-skyldigheterna inte uppfylls innan den tredje tidsfristen löper ut.

Obs! Vid bristande efterlevnad kan avgifter fortsatt komma att tillämpas tills dess att skyldigheterna uppfylls eller TAP är löst.

45 000 USD

15 000 USD

5 000 USD

Om dina TAP-skyldigheter inte uppfylls har American Express rätt att ta ut avgifterna för bristande efterlevnad kumulativt, hålla inne betalningar och/eller säga upp Avtalet.

Avsnitt 2 Standarder för skydd av Krypteringsnycklar, Kortinnehavardata och Känsliga autentiseringsdata

Du ansvarar för att du och dina Omfattade parter:

endast lagrar Kortinnehavardata i syfte att utföra Transaktioner med American Express-kort i enlighet med och enligt kraven i Avtalet.
följer gällande PCI DSS och andra krav från PCI SSC som är tillämpliga för din bearbetning, lagring eller överföring av Kortinnehavardata eller Känsliga autentiseringsdata senast på ikraftträdandedatumet för implementering av den ifrågavarande versionen av det tillämpliga kravet.
endast använder nya eller ersättande Enheter med pinkod eller betalningsappar (eller båda), där sådana driftsätts i övervakade lokaler, som är PCI-godkända.

Du måste skydda alla American Express Debiterings- och Krediteringsnotor som lagras enligt Avtalet och dessa dataskyddsbestämmelser. Du får endast använda dessa dokument i de syften som anges i Avtalet och måste skydda dem i enlighet med det. Du är ekonomiskt och på annat vis ansvarig gentemot American Express för att säkerställa att dina Omfattade parter följer dessa dataskyddsbestämmelser (utöver att visa att dina Omfattade parter följer denna policy enligt Avsnitt 5: Viktig regelbunden validering av dina system, med de undantag som i övrigt anges i avsnittet).

Avsnitt 3 Hanteringsskyldighet vid Dataincident

Du måste meddela American Express omedelbart om en Dataincident upptäcks, och under inga omständigheter senare än sjuttiotvå (72) timmar efter att den upptäckts.

Meddela American Express genom att kontakta American Express företagsincidentprogram (EIRP) på
+1 (602) 537-3021 (+ indikerar ett internationellt direktsamtal och internationell taxa gäller) eller via e-post till EIRP@aexp.com. Du måste utse en individ som kontaktperson för Dataincidenten. Dessutom:

måste du göra en noggrann rättslig utredning av varje Dataincident.
vid Dataincidenter som involverar 10 000 eller fler unika Kortnummer måste du anlita en Rättsutredare från PCI (PFI) för att utföra utredningen inom fem (5) dagar efter att Dataincidenten har upptäckts.
ska den oredigerade rättsliga utredningen tillhandahållas American Express inom tio (10) bankdagar från slutförandet.
måste du omedelbart meddela American Express om alla äventyrade Kortnummer. American Express förbehåller sig rätten att utföra egna interna analyser för att identifiera Kortnummer som har varit involverade i Dataincidenten.

Utredningsrapporter måste slutföras med den aktuella mallen för slutlig utredningsrapport vid incidenter från PCI. Denna rapport måste innehålla rättsliga granskningar, rapporter om efterlevnad och all annan information om Dataincidenten, identifiera orsaken till Dataincidenten, bekräfta huruvida du följde PCI DSS när Dataincidenten inträffade och verifiera din förmåga att förhindra framtida Dataincidenter genom att (i) tillhandahålla en plan för att åtgärda alla brister enligt PCI DSS och (ii) delta i American Express efterlevnadsprogram (enligt beskrivningen nedan). På American Express begäran ska du tillhandahålla en bekräftelse från en Godkänd säkerhetsgranskare (QSA) om att bristerna har åtgärdats.

Oaktat ovanstående stycken i detta Avsnitt 3: Hanteringsskyldighet vid Dataincident:

kan American Express, efter eget gottfinnande, kräva att du anlitar en PFI för att utreda en Dataincident för Dataincidenter som berör färre än 10 000 unika Kortnummer. Alla sådana utredningar måste följa kraven ovan i detta Avsnitt 3: Hanteringsskyldighet vid Dataincident och måste slutföras inom de tidsramar som anges av American Express.
kan American Express, efter eget gottfinnande, separat anlita en PFI som får utreda en Dataincident och kan debitera dig för utredningens kostnad.

Du samtycker till att samarbeta med American Express för att åtgärda eventuella problem som uppkommer på grund av Dataincidenten, inklusive rådgöra med American Express kring din information till Kortmedlemmar som berörs av Dataincidenten och tillhandahålla (och erhålla alla nödvändiga undantag som behövs för att tillhandahålla) American Express all relevant information för att verifiera din förmåga att förhindra framtida Dataincidenter på ett sätt som följer Avtalet.

Oaktat eventuell sekretessplikt enligt Avtalet som motsäger detta har American Express rätt att lämna ut information om alla Dataincidenter till Kortmedlemmar, Utfärdare, andra i American Express-nätverket och allmänheten enligt bestämmelser i Gällande lag; enligt rättsliga, administrativa eller myndighetsrelaterade beslut, domar, rättstvister, förfrågningar eller andra processer; för att minska risken för bedrägeri eller annan skada; eller i övrigt i den omfattning som är lämplig för att driva American Express-nätverket.

Avsnitt 4 Ersättningsskyldighet vid Dataincidenter

Din ersättningsskyldighet gentemot American Express för Dataincidenter enligt Avtalet fastställs, utan att detta innebär undantag från någon av American Express övriga rättigheter eller anspråksmöjligheter, enligt detta Avsnitt 4: Ersättningsskyldighet vid Dataincidenter. Utöver din ersättningsskyldighet (om sådan finns) kan du vara föremål för en avgift för Dataincident orsakad av bristande efterlevnad enligt beskrivningen nedan i detta Avsnitt 4: Ersättningsskyldighet vid Dataincidenter.

För Dataincidenter som berör:

10 000 eller fler American Express-kortnummer med någondera av följande:

§Känsliga autentiseringsdata, eller

§Giltighetsdatum

ska du ersätta American Express till en taxa om 5 USD per kontonummer.

American Express begär dock inte ersättning från dig för en Dataincident som involverar:

färre än 10 000 American Express-kortnummer, eller
fler än 10 000 American Express-kortnummer, om du uppfyller följande villkor:

§du underrättade American Express om dataincidenten i enlighet med Avsnitt 3: Hanteringsskyldighet vid Dataincident,

§du följde PCI DSS när Dataincidenten inträffade (fastställt enligt PFI-utredning av Dataincidenten), samt

§Dataincidenten orsakades inte av dina eller dina Omfattade parters oegentliga handlingar.

Oaktat ovanstående stycken i detta Avsnitt 4: Ersättningsskyldighet vid Dataincidenter ska du betala en avgift för Dataincident orsakad av bristande efterlevnad, som inte överskrider 100 000 USD per Dataincident (fastställt av American Express efter eget gottfinnande), till American Express för alla Dataincidenter, oavsett antalet American Express-kortnummer, om du underlåter att uppfylla någon av dina skyldigheter enligt Avsnitt 3: Hanteringsskyldighet vid Dataincident. Förtydligande: Den totala avgiften för bristande efterlevnad vid Dataincident som beräknas för en enskild Dataincident ska inte överskrida 100 000 USD.

American Express undantar vid beräkningen alla American Express-kortnummer som tidigare varit involverade i ett ersättningsanspråk för en Dataincident inom de tolv (12) månader som föregår Redovisningsdatumet. Alla beräkningar som American Express utför enligt denna metod är slutgiltiga.

American Express kan fakturera dig för hela beloppet av din ersättningsskyldighet för Dataincidenter eller dra av beloppet från American Express betalningar till dig (eller debitera ditt Bankkonto i enlighet med detta) enligt Avtalet.

Din ersättningsskyldighet för Dataincidenter enligt detta Avtal ska inte betraktas som tillkommande, indirekt, spekulativ, efterföljande eller särskild skada eller straffskada enligt Avtalet, förutsatt att sådan skyldighet inte innefattar skada relaterad till eller av typen förlorad vinst eller inkomst, goodwillförlust eller förlust av affärsmöjligheter.

American Express kan efter eget gottfinnande minska Affärspartners ersättningsskyldighet, dock endast för Dataincidenter som uppfyller följande kriterier:

Tillämpliga Riskminskningstekniker användes före Dataincidenten och var i bruk under Dataincidentens hela händelsefönster.
En noggrann utredning av en PFI har slutförts (såvida inte annat har avtalats skriftligen).
Utredningsrapporten uppger tydligt att Riskminskningstekniker användes för att bearbeta, lagra och/eller överföra data vid tidpunkten då Dataincidenten inträffade.
Du lagrar inte (och lagrade inte under Dataincidentens händelsefönster) Känsliga autentiseringsdata eller Kortinnehavardata som inte har gjorts oläsbara.

När det är möjligt att minska ersättningen fastställs minskningen av din ersättningsskyldighet (exklusive eventuella avgifter för bristande efterlevnad som ska betalas) enligt följande:

Minskning av ersättningsskyldighet	Krav
Standardminskning: 50 %	>75 % av alla Transaktioner bearbetas på Chipkompatibla enheter¹ ELLER
Standardminskning: 50 %	Riskminskningstekniker används på >75 % av Affärspartnerns Försäljningsställen²
Ytterligare minskning: 75 % till 100 %	>75 % av alla Transaktioner bearbetas på Chipkompatibla enheter¹ OCH annan Riskminskningsteknik används på >75 % av Affärspartnerns Försäljningsställen²

¹ Enligt vad som fastställs i American Express interna analys

² Enligt vad som fastställs i PFI-utredning

En ytterligare minskning (75 % till 100 %) fastställs enligt det som är lägst av procentandelen Transaktioner där Chipkompatibla enheter används OCH Affärspartnerns Försäljningsställen använder andra Riskminskningstekniker. Exemplen nedan illustrerar hur den minskade ersättningen beräknas.
För att en teknik ska kvalificera sig som användande av Riskminskningsteknik måste man visa att den kan användas effektivt i enlighet med dess utformning och syfte. Exempel: Att använda Chipkompatibla enheter och bearbeta Chipkort med magnetremsan eller genom att knappa in Transaktionerna är INTE ett effektivt sätt att använda denna teknik.
Procentandelen Försäljningsställen som använder en Riskminskningsteknik fastslås i PFI-utredning.
Den reducerade ersättningsskyldigheten gäller inte avgifter för bristande efterlevnad som ska betalas för Dataincidenten.

Ytterligare minskning av ersättningsskyldighet

Exempel:	Riskminskningstekniker som används	Kvalificerad	Minskning
1	80 % av Transaktionerna på Chipkompatibla enheter	Nej	50 %: Standardminskning (mindre än 75 % användning av Riskminskningsteknik kvalificerar sig inte för ytterligare minskning)¹
1	0 % av Försäljningsställen använder annan Riskminskningsteknik	Nej
2	80 % av Transaktionerna på Chipkompatibla enheter	Ja	77 %: Ytterligare minskning (baserat på 77 % användning av Riskminskningsteknik)
2	77 % av Försäljningsställen använder annan Riskminskningsteknik	Ja
3	93 % av Transaktionerna på Chipkompatibla enheter	Ja	93 %: Ytterligare minskning (baserat på 93 % av Transaktionerna på Chipkompatibla enheter)
3	100 % av Försäljningsställen använder annan Riskminskningsteknik	Ja
4	40 % av Transaktionerna på Chipkompatibla enheter	Nej	50 %: Standardminskning (mindre än 75 % av Transaktionerna på Chipkompatibla enheter kvalificerar sig inte för ytterligare minskning)
4	90 % av Försäljningsställen använder annan Riskminskningsteknik	Nej

¹ En Dataincident som berör 10 000 American Express-kortkonton till ett belopp om 5 USD per kontonummer (10 000 x 5 USD = 50 000 USD) kan kvalificera sig för en minskning på 50 %, vilket minskar ersättningsskyldigheten från 50 000 USD till 25 000 USD, med undantag för avgifter för bristande efterlevnad.

Avsnitt 5 Viktig regelbunden validering av dina system

Du måste vidta följande åtgärder för att validera, under PCI DSS varje år samt var 90:e dag enligt beskrivningen nedan, statusen på din och dina Franchisetagares utrustning, system och/eller nätverk (och deras komponenter) där Kortinnehavardata eller Känsliga autentiseringsdata lagras, bearbetas eller överförs.

Fyra åtgärder krävs för att slutföra valideringen:

Åtgärd 1: Delta i American Express PCI-efterlevnadsprogram ("Programmet") enligt denna policy.

Åtgärd 2: Förstå dina nivå- och valideringskrav för Affärspartner.

Åtgärd 3: Slutföra Valideringsdokumentationen som ska lämnas in till American Express.

Åtgärd 4: Lämna in Valideringsdokumentationen till American Express inom föreskrivna tidsramar.

Åtgärd 1: Delta i American Express efterlevnadsprogram enligt denna policy

Affärspartner på nivå 1, nivå 2 och alla Tjänsteleverantörer enligt beskrivningen nedan måste delta i Programmet under denna policy. American Express kan efter eget gottfinnande anvisa specifika Affärspartner på nivå 3 och 4 att delta i Programmet under denna policy.

Affärspartner och Tjänsteleverantörer som ska delta i Programmet måste registrera sig i Portalen som tillhandahålls av den Programadministratör som valts ut av American Express inom föreskriven tidsram.

Du måste godkänna alla rimliga regler och villkor avseende användandet av Portalen.
Du måste tilldela och tillhandahålla korrekta uppgifter för minst en kontaktperson för datasäkerhet i Portalen. Obligatoriska uppgifter omfattar:

§fullständigt namn

§e-postadress

§telefonnummer

§postadress

Du måste tillhandahålla uppdaterade eller nya kontaktuppgifter till den tilldelade kontaktpersonen för datasäkerhet i Portalen när dessa ändras.
Du måste se till att dina system är uppdaterade för att möjliggöra servicekommunikation från Portalens angivna domän.

Underlåtenhet att tillhandahålla eller bevara aktuella kontaktuppgifter för datasäkerheten eller att aktivera e-postkommunikation påverkar inte vår rätt att ta ut avgifter.

Åtgärd 2: Förstå dina nivå- och valideringskrav för Affärspartner

Det finns fyra nivåer för Affärspartner och två nivåer för Tjänsteleverantörer, som bygger på Transaktionsvolymen för American Express-kort.

För Affärspartner motsvarar detta volymen som sänds av deras Försäljningsställen, som slås samman upp till den högsta nivån för American Express Affärspartnerkonton.*
För Tjänsteleverantörer motsvarar detta volymen som sänds av Tjänsteleverantören och Tjänsteleverantören för Enheter till vilka du tillhandahåller tjänster.

Betalningar som initierats av köparen (BIP-transaktioner) ingår inte i Transaktionsvolymen för American Express-kort vid fastställandet av nivå- och valideringskrav för Affärspartner. Du tillhör en av de Affärspartnernivåer som anges i tabellerna för Affärspartner och Tjänsteleverantörer nedan.

* För Franchisegivare inkluderar detta volymen från Franchisetagares Försäljningsställen. Franchisegivare som kräver att deras Franchisetagare använder ett specifikt Kassasystem eller en specifik Tjänsteleverantör måste tillhandahålla Valideringsdokumentation för berörda Franchisetagare.

Krav på Valideringsdokumentation för Affärspartner

Affärspartner (inte Tjänsteleverantörer) klassas i fyra olika Affärspartnernivåer. Fastställ Affärspartnernivå nedan och titta sedan i tabellen för Affärspartner, som innehåller kraven på Valideringsdokumentation.

Affärspartner på nivå 1 – 2,5 miljoner Transaktioner med American Express-kort eller fler per år eller alla Affärspartner som American Express annars, efter eget gottfinnande, placerar i nivå 1.
Affärspartner på nivå 2 – 50 000 till 2,5 miljoner Transaktioner med American Express-kort per år.
Affärspartner på nivå 3 – 10 000 till 50 000 Transaktioner med American Express-kort per år.
Affärspartner på nivå 4 – Mindre än 10 000 Transaktioner med American Express-kort per år.

Tabell för Affärspartner

Affärspartners nivå/årliga American Express-transaktioner	Efterlevnads-rapport med Efterlevnads-försäkran (ROC AOC)	Självbedömningsformulär med Efterlevnadsförsäkran (SAQ AOC) OCH kvartalsvis Extern sårbarhetsanalys av nätverk (Analys)	STEP-försäkran för kvalificerade Affärspartner
	Valideringsdokumentation
Nivå 1/ 2,5 miljoner eller fler	Obligatoriskt	Ej tillämpligt	Valfritt med godkännande från American Express (ersätter ROC)
Nivå 2/ 50 000 till 2,5 miljoner	Valfritt	SAQ AOC obligatoriskt (om inte ROC AOC skickas in), nätverksanalys obligatorisk med vissa typer av SAQ	Valfritt (ersätter SAQ och nätverksanalys eller ROC)
Nivå 3/ 10 000 till 50 000	Valfritt	SAQ AOC valfritt (obligatoriskt om detta krävs av American Express), nätverksanalys obligatorisk med vissa typer av SAQ	Valfritt (ersätter SAQ och nätverksanalys eller ROC)
Nivå 4/ 10 000 eller mindre	Valfritt	SAQ AOC valfritt (obligatoriskt om detta krävs av American Express), nätverksanalys obligatorisk med vissa typer av SAQ	Valfritt (ersätter SAQ och nätverksanalys eller ROC)

* Förtydligande: Affärspartner på nivå 3 och 4 behöver inte lämna in Valideringsdokumentation såvida inte detta krävs enligt American Express gottfinnande, men måste dock ändå följa och är föremål för ansvar enligt alla andra bestämmelser i denna Dataskyddspolicy.

American Express förbehåller sig rätten att verifiera fullständighet, riktighet och lämplighet i din PCI-valideringsdokumentation. I detta syfte kan American Express kräva att du tillhandahåller ytterligare underlagsdokument för utvärdering. Dessutom har American Express rätt att kräva att du anlitar en QSA eller PFI godkänd av PCI Security Standards Council.

Programmet för förbättrad säkerhetsteknik (STEP)

Affärspartner som följer kraven i PCI DSS kan, efter American Express gottfinnande, kvalificera sig för American Express STEP om de driftsätter vissa ytterligare skyddstekniker i sina Kortbearbetningsmiljöer. STEP gäller endast om Affärspartnern inte har utsatts för en Dataincident under de föregående 12 månaderna och om 75 % av Affärspartnerns alla Korttransaktioner utförs med en kombination av följande förstärkta säkerhetsalternativ:

EMV, EMV-kontaktlös teknik eller Digital plånbok – på en aktiv Chipkompatibel enhet som har en giltig och aktuell EMVCo-certifiering eller har godkänts av EMVCo (www.emvco.com) och har stöd för att bearbeta AEIPS-kompatibla Chipkortstransaktioner (amerikanska Affärspartner måste ha Kontaktlös teknik).
Heltäckande kryptering (P2PE) – kommuniceras till Affärspartnerns Betaltjänstleverantör med ett PCI SSC-godkänt eller QSA-godkänt Heltäckande krypteringssystem.
Tokenisering – den implementerade tokeniseringslösningen måste:

§efterleva EMVCo:s specifikationer,

§säkerställas, bearbetas, lagras, överföras och helt hanteras av en tredjepartsleverantör som uppfyller PCI-kraven, samt

§Token får inte vändas så att Primärt kontonummer (PAN) visas för Affärspartner.

Affärspartner som kvalificerar sig för STEP har lägre krav på PCI-valideringsdokumentationen, enligt beskrivningen i Åtgärd 3: Slutför Valideringsdokumentationen som ska lämnas in till American Express nedan.

Krav på Tjänsteleverantörer

Tjänsteleverantörer (inte Affärspartner) klassas i två olika nivåer. Fastställ Tjänsteleverantörsnivå nedan och titta sedan i tabellen för Tjänsteleverantörer, som innehåller kraven på Valideringsdokumentation.

Tjänsteleverantör på nivå 1 – 2,5 miljoner Transaktioner med American Express-kort eller fler per år eller alla Tjänsteleverantörer som American Express i övrigt placerar i nivå 1.

Tjänsteleverantör på nivå 2 – mindre än 2,5 miljoner Transaktioner med American Express-kort eller alla Tjänsteleverantörer som American Express inte har placerat i nivå 1.

Tjänsteleverantörer kvalificerar sig inte för STEP.

Tabell för Tjänsteleverantörer

Nivå	Valideringsdokumentation	Krav
1	Årlig Efterlevnadsrapport med Efterlevnadsförsäkran (ROC AOC)	Obligatoriskt
2	Årlig SAQ D (Tjänsteleverantör) samt kvartalsvis nätverksanalys eller årlig Efterlevnadsrapport med Efterlevnadsförsäkran (ROC AOC) om så föredras	Obligatoriskt

Vi rekommenderar att även Tjänsteleverantörer följer kraven i PCI-tilläggsvalideringen för utvalda enheter.

Åtgärd 3: Slutför Valideringsdokumentationen som ska lämnas in till American Express

Följande dokument krävs för Affärspartner och Tjänsteleverantörer på olika nivåer enligt vad som anges i tabellerna för Affärspartner och Tjänsteleverantörer ovan.

Du måste tillhandahålla Efterlevnadsförsäkran (AOC) för tillämplig bedömningstyp. AOC är en försäkran om din efterlevnadsstatus och måste därmed vara undertecknad och daterad på lämplig ledarskapsnivå inom din organisation.

Förutom AOC kan American Express begära att du tillhandahåller ett exemplar av den fullständiga bedömningen samt, efter vårt gottfinnande, ytterligare underlagsdokument som visar efterlevnad av PCI DSS-kraven. Denna Valideringsdokumentation tillhandahålls på din bekostnad.

Efterlevnadsrapport med Efterlevnadsförsäkran (ROC AOC) – (årligt krav) – Efterlevnadsrapporten dokumenterar resultatet av en detaljerad utvärdering av din utrustning, dina system och nätverk (samt deras komponenter) på plats där Kortinnehavardata eller Känsliga autentiseringsdata (eller båda) lagras, bearbetas eller överförs. Det finns två versioner: en för Affärspartner och en för Tjänsteleverantörer. Efterlevnadsrapporten måste utföras av:

en QSA, eller
dig och intygas av vd, ekonomichef, it-säkerhetschef eller huvudman

AOC måste undertecknas och dateras av en QSA eller Intern säkerhetsgranskare (ISA) och behörig ledning inom din organisation och inlämnas till American Express minst en gång om året.

Självbedömningsformulär med Efterlevnadsförsäkran (SAQ AOC) – (årligt krav) – Självbedömningsformulären gör det möjligt att själv undersöka utrustning, system och nätverk (och deras komponenter) där Kortinnehavardata eller Känsliga autentiseringsdata (eller båda) lagras, bearbetas eller överförs. Det finns flera versioner av SAQ. Du väljer en eller flera utifrån din Kortinnehavardatamiljö.

SAQ måste fyllas i av personal på ditt Företag som är kvalificerad att besvara frågorna noggrant och fullständigt eller så kan du anlita en QSA som stöd. AOC måste undertecknas och dateras av behörig ledning inom din organisation och lämnas in till American Express minst en gång om året.

Godkänd analysleverantörs sammanfattning av extern sårbarhetsanalys av nätverk (ASV-analys) –
(90-dagarskrav) – En extern sårbarhetsanalys är ett fjärrtest som hjälper till att identifiera potentiella svagheter, sårbarheter och felkonfigureringar hos internetanslutna komponenter i din Kortinnehavardatamiljö (t.ex. webbplatser, program, webbservrar, e-postservrar, publika domäner eller värdar).

ASV-analysen måste utföras av en Godkänd analysleverantör (ASV).

Om så krävs av SAQ måste Nätverksefterlevnadsförsäkran (AOSC) eller ett sammandrag med en uppräkning av analyserade mål, certifiering av resultaten som uppfyller analysförfaranden för PCI DSS samt efterlevnadsstatus ifylld av ASV skickas in till American Express minst var 90:e dag.

ROC AOC eller STEP krävs inte för att tillhandahålla en AOSC eller ett sammandrag av ASV-analys om de inte specifikt efterfrågas. Förtydligande: analyser är obligatoriska om de krävs enligt tillämpligt SAQ.

Förtydligande: ASV är obligatorisk om så krävs enligt tillämpligt SAQ.

Valideringsdokumentation för STEP-försäkran (STEP) – (årligt krav) – STEP är endast tillgänglig för Affärspartner som uppfyller kriterierna som anges i Åtgärd 2: Förstå dina nivå- och valideringskrav för Affärspartner ovan. Om ditt företag kvalificerar sig måste du fylla i och skicka in STEP-försäkran till American Express varje år. En årlig STEP-försäkran kan laddas ned via Portalen.

Bristande efterlevnad av PCI DSS – (årligen, var 90:e dag och/eller på begäran) – Om PCI DSS inte följs måste du skicka in ett av följande dokument:

en Efterlevnadsförsäkran (AOC), inklusive Del 4: Åtgärdsplan för efterlevnadsbrister (kan laddas ned via PCI Security Standards Councils webbplats)
en PCI-sammanfattning av prioriterade åtgärdsverktyg (kan laddas ned via PCI Security Standards Councils webbplats)
en mall för projektplan (kan laddas ned via Portalen). En projektplan kan skickas in istället för den årliga försäkran (SAQ/ROC) och/eller istället för analyskravet.

Vart och ett av ovanstående dokument måste ange ett åtgärdsdatum då efterlevnad ska ha nåtts som inte får vara senare än tolv (12) månader efter datumet då dokumentet slutfördes. Du ska tillhandahålla American Express regelbundna uppdateringar om dina framsteg mot fullständigt åtgärdande av efterlevnadsbrister (Affärspartner på nivå 1, 2, 3 och 4 samt alla Tjänsteleverantörer). Åtgärder som är nödvändiga för att uppnå PCI DSS-efterlevnad ska genomföras på din bekostnad.

American Express påför inte avgifter vid valideringsbrister (enligt beskrivningen nedan) för efterlevnadsbrister före åtgärdsdatumet, men du ansvarar fortsättningsvis gentemot American Express för all ersättningsskyldighet vid Dataincidenter och är föremål för alla andra bestämmelser i denna policy.

Förtydligande: Affärspartner som inte följer kraven i PCI DSS kvalificerar sig inte för STEP.

Åtgärd 4: Lämna in Valideringsdokumentationen till American Express

Alla Affärspartner och Tjänsteleverantörer som måste delta i Programmet måste lämna in den Valideringsdokumentation som märkts som obligatorisk i tabellerna i Åtgärd 2: Förstå dina nivå- och valideringskrav för Affärspartner till American Express inom gällande tidsfrister.

Du måste skicka in din Valideringsdokumentation till American Express via Portalen som tillhandahålls av den av American Express utvalda Programadministratören. Genom att skicka in Valideringsdokumentationen intygar och garanterar du för American Express att följande (efter bästa förmåga) stämmer:

Din utvärdering är komplett och fullständig.
PCI DSS-statusen är rätt angiven vid tiden för slutförandet, oavsett om den uppfyller eller brister i efterlevnad.
Du är behörig att yppa den information som dokumenten innehåller, och tillhandahåller American Express Valideringsdokumentationen utan att kränka någon annan parts rättigheter.

Avgift för valideringsbrister och uppsägning av Avtalet

American Express har rätt att påföra avgifter för valideringsbrister och säga upp Avtalet om du inte uppfyller dessa krav eller inte tillhandahåller den obligatoriska Valideringsdokumentationen till American Express inom de angivna tidsramarna. American Express meddelar dig separat om den gällande tidsfristen för varje årlig och kvartalsvis rapporteringsperiod.

Tabell: Avgifter vid valideringsbrister

Beskrivning*	Affärspartner på nivå 1 eller Tjänsteleverantör på nivå 1	Affärspartner på nivå 2 eller Tjänsteleverantör på nivå 2	Affärspartner på nivå 3 eller 4
En avgift för validerings-brister övervägs om Valideringsdokumentationen inte har mottagits när den första tidsfristen löper ut.	25 000 USD	5 000 USD	50 USD
En ytterligare avgift för valideringsbrister övervägs om Validerings-dokumentationen inte har mottagits när den andra tidsfristen löper ut.	35 000 USD	10 000 USD	100 USD
En ytterligare avgift för valideringsbrister övervägs om Validerings-dokumentationen inte har mottagits när den tredje tidsfristen löper ut. Obs! Vid bristande efterlevnad kommer avgifter fortsatt tillämpas tills dess att Validerings-dokumentationen skickas in.	45 000 USD	15 000 USD	250 USD

Beskrivning*

Affärspartner på nivå 1 eller Tjänsteleverantör på nivå 1

Affärspartner på nivå 2 eller Tjänsteleverantör på nivå 2

Affärspartner
på nivå 3 eller 4

En avgift för validerings-brister övervägs om Valideringsdokumentationen inte har mottagits när den första tidsfristen löper ut.

25 000 USD

5 000 USD

50 USD

En ytterligare avgift för valideringsbrister övervägs om Validerings-dokumentationen inte har mottagits när den andra tidsfristen löper ut.

35 000 USD

10 000 USD

100 USD

En ytterligare avgift för valideringsbrister övervägs om Validerings-dokumentationen inte har mottagits när den tredje tidsfristen löper ut.

Obs! Vid bristande efterlevnad kommer avgifter fortsatt tillämpas tills dess att Validerings-dokumentationen skickas in.

45 000 USD

15 000 USD

250 USD

^*Avgifter vid valideringsbrister bedöms i motsvarigheter till Lokal valuta.

^* Gäller ej i Argentina.

Om skyldigheterna för din PCI DSS-valideringsdokumentation inte uppfylls har American Express rätt att ta ut avgifter för icke-validering kumulativt, hålla inne betalningar och/eller säga upp Avtalet.

Avsnitt 6 Sekretess

American Express vidtar rimliga åtgärder för att tillämpa (och se till att dess agenter och underleverantörer, inklusive Portalleverantören, tillämpar) sekretess vid lagring av dina efterlevnadsrapporter, inklusive Valideringsdokumentationen, och inte lämna ut Valideringsdokumentationen till tredje part (annat än American Express Närstående företag, agenter, representanter, Tjänsteleverantörer och underleverantörer) under en period om tre år från datumet då de mottogs, med undantag för att denna sekretessplikt inte gäller Valideringsdokumentation som:

a.redan var känd för American Express innan den lämnades ut,

b.är eller blir allmänt känd på ett sätt som inte innebär att American Express har brutit mot denna paragraf,

c.erhålls rättmätigt av American Express från en tredjepart utan sekretessplikt,

d.tas fram självständigt av American Express, eller

e.måste lämnas ut enligt domstolsbeslut, administrativt förfarande eller myndighetsförfarande eller enligt lagar, regler eller bestämmelser, eller rättstvister, informationsförfrågningar, kallelser eller andra administrativa eller rättsliga processer, eller enligt formella eller informella förfrågningar eller utredningar som utförs av myndighetsorgan eller myndigheter (inklusive tillsynsmyndigheter, inspektörer, granskare eller poliser).

Avsnitt 7 Friskrivning

AMERICAN EXPRESS FRÅNSÄGER SIG HÄRMED ALLA UTFÄSTELSER, GARANTIER OCH FÖRPLIKTELSER MED AVSEENDE PÅ DENNA DATASKYDDSPOLICY, PCI DSS OCH EMV-SPECIFIKATIONERNA SAMT UTNÄMNING OCH UTFÖRANDE AV QSA, ASV ELLER PFI (ELLER NÅGON AV DEM), SÅVÄL UTTRYCKLIGEN, UNDERFÖRSTÅTT, ENLIGT LAG ELLER PÅ ANNAT VIS, INKLUSIVE ALLA GARANTIER OM SÄLJBARHET ELLER LÄMPLIGHET FÖR ETT VISST SYFTE. UTFÄRDARE AV AMERICAN EXPRESS-KORT UTGÖR INTE TREDJEPARTSFÖRMÅNSTAGARE ENLIGT DENNA POLICY.

Användbara webbplatser

American Express datasäkerhet: www.americanexpress.com/datasecurity

PCI Security Standards Council, LLC: www.pcisecuritystandards.org

Ordlista

Följande definitioner gäller enbart i denna Dataskyddspolicys (DSOP) syften och har företräde vid motstridighet med de begrepp som används i Regelverk för Affärspartner.

Affärspartner avser Affärspartnern och alla dess närstående företag som godtar American Express-kort enligt ett Avtal med American Express eller dess Närstående företag.

Affärspartner på nivå 1 avser en Affärspartner med 2,5 miljoner Transaktioner med American Express-kort eller fler per år eller alla Affärspartner som American Express annars bedömer som nivå 1.

Affärspartner på nivå 2 avser en Affärspartner med 50 000 till 2,5 miljoner Transaktioner med American Express-kort per år.

Affärspartner på nivå 3 avser en Affärspartner med 10 000 till 50 000 Transaktioner med American Express-kort per år.

Affärspartner på nivå 4 avser en Affärspartner med färre än 10 000 Transaktioner med American Express-kort per år.

Affärspartnernivå innebär den klassificering vi tilldelar Affärspartner när det gäller de valideringsskyldigheter de har för sin PCI DSS-efterlevnad, enligt beskrivningen i Avsnitt 5: Viktig regelbunden validering av dina system.

American Express-kort eller Kort avser alla kort, kontoåtkomstenheter, betalningsenheter eller tjänster som bär American Express eller ett Närstående företags namn, logotyp, tjänstemärke, handelsnamn eller annan äganderättsligt skyddad design eller beteckning och som har utfärdats av en Utfärdare eller ett Kortkontonummer.

Betalkortbranschens datasäkerhetsstandard (PCI DSS) avser Betalkortbranschens datasäkerhetsstandard, som finns på www.pcisecuritystandards.org.

Betalning som initierats av köparen (BIP-transaktion) avser en betalningstransaktion som utförts genom att en fil med betalningsanvisningar bearbetats via BIP.

Betalningsapp har den betydelse som angetts i den aktuella ordlistan för Betalkortbranschens datasäkerhetsstandard (PCI DSS), som finns på www.pcisecuritystandards.org.

Betaltjänstleverantör avser en Tjänsteleverantör till Affärspartner som förmedlar Auktorisationer och bearbetar sändningar till American Express-nätverket.

Betaltjänstleverantörer avser auktoriserade Betaltjänstleverantörer, tredjepartsinsamlare, gatewayleverantörer, Kassasystemintegratörer och alla andra som levererar Kassasystem eller andra betalningsbearbetningslösningar eller tjänster till Affärspartner.

Chip avser ett integrerat mikrochip som är inbäddat i Kort och innehåller Kortmedlems- och kontoinformation.

Chipkompatibel enhet avser en kassaenhet med en giltig och aktuell EMVCo-certifiering eller som har godkänts av EMVCo (www.emvco.com) för bearbetning av AEIPS-kompatibla Chipkortstransaktioner.

Chipkort avser ett Kort som innehåller ett Chip och kan kräva en pinkod för att verifiera Kortmedlemmens identitet eller kontoinformationen på Chippet, eller båda (detta kallas ibland ett ”smartkort”, ”EMV-kort”, ”ICC-kort” eller ”kort med integrerad krets” i vårt material).

Dataincident avser en incident som innebär att American Express-krypteringsnycklar eller minst ett American Express-kortkontonummer har, eller misstänks ha, äventyrats och som medför:

obehörig åtkomst eller användning av Krypteringsnycklar, Kortinnehavardata eller Känsliga autentiseringsdata (eller en kombination av dessa) som lagras, bearbetas eller överförs i utrustning, system och/eller nätverk (eller komponenter i dem) som tillhandahålls av dig eller som du kräver används eller tillhandahåller eller gör tillgänglig,
användning av sådana Krypteringsnycklar, Kortinnehavardata eller Känsliga autentiseringsdata (eller en kombination av dessa) på ett sätt som inte följer avtalet, och/eller
misstänkt eller bekräftad förlust, stöld eller någon form av felaktig användning av media, material, dokumentation eller information som innehåller sådana Krypteringsnycklar, Kortinnehavardata eller Känsliga autentiseringsdata (eller en kombination av dessa).

Debitering avser en betalning eller ett köp som gjorts med ett Kort.

Efterlevnadsförsäkran (AOC) är ett intygande om att du följer PCI DSS i den form som föreskrivs av Payment Card Industry Security Standards Council, LLC.

EMV-specifikationer avser de specifikationer som utfärdas av EMVCo, LLC och tillhandahålls på www.emvco.com.

EMV-transaktion avser en Transaktion med ett kort med integrerad krets (ibland kallat ett ”IC-kort”, ”chipkort”, ”smartkort”, ”EMV-kort” eller ”ICC”) som utförts i ett IC-kortkompatibelt Kassasystem med ett giltigt och aktuellt EMV-typgodkännande. EMV-typgodkännanden finns på www.emvco.com.

Enhet med pinkod har den betydelse som angetts i den aktuella ordlistan för Betalkortbranschens säkerhetskrav på utförandestället vid pintransaktioner, modulära säkerhetskrav, som finns på www.pcisecuritystandards.org.

Franchisegivare avser innehavare av en verksamhet som tilldelar licenser till personer eller enheter (Franchisetagare) att distribuera varor och/eller tjänster eller verka med användning av innehavarens varumärkessymboler, bistår Franchisetagare vid verksamhetens drift eller påverkar Franchisetagarens driftmetoder samt kräver att Franchisetagare betalar en avgift.

Franchisetagare är en tredje part som ägs och drivs självständigt (och avser Franchisetagare, licenstagare och filialer), som inte utgör ett Närstående företag, som har tilldelats licens från en Franchisegivare att driva en franchiseverksamhet och som har ingått ett skriftligt avtal med Franchisegivaren enligt vilket det ständigt visar externa identifierare på framträdande platser enligt vilka denna identifierar sig med Franchisegivarens varumärkessymboler eller inför allmänheten utger sig vara en medlem i Franchisegivarens företagsgrupp.

Godkänd analysleverantör (ASV) avser en Enhet som har godkänts av Payment Card Industry Security Standards Council, LLC för att validera efterlevnaden av vissa PCI DSS-krav genom att utföra sårbarhetsanalyser av internetangränsande miljöer.

Godkänd lösning för heltäckande kryptering (P2PE) avser en lösning som ingår i PCI SSC:s förteckning över validerade lösningar eller som har validerats av ett företag som utgör en Godkänd säkerhetsgranskare (QSA) av P2PE enligt PCI SSC.

Godkänd säkerhetsgranskare (QSA) avser en enhet som har godkänts av Payment Card Industry Security Standards Council, LLC för att validera efterlevnaden av PCI DSS.

Heltäckande kryptering (P2PE) avser en lösning som skyddar kontodata genom kryptering från den punkt där en Affärspartner tar emot betalningskortet till den säkra punkt där de dekrypteras.

Händelsefönster för dataincident avser perioden som inleds på datumet för äventyrandet, om det är känt, eller 365 dagar före Redovisningsdatumet, om det faktiska datumet för äventyrandet inte är känt. Händelsefönstret för dataincidenter stängs 30 dagar efter Redovisningsdatumet.

Information om Kortmedlem avser all information om American Express-kortmedlemmar och Korttransaktioner, inklusive namn, adresser, Kortkontonummer och Kortidentifieringsnummer (CID).

Kassasystem avser system eller utrustning för informationsbearbetning som innefattar terminaler, persondatorer, elektroniska kassaregister, kontaktlösa avläsare, betalningsmotorer eller processer som används av en Affärspartner för att erhålla Auktorisationer eller samla in Transaktionsdata, eller båda.

Kortinnehavardata har den betydelse som angetts i den aktuella ordlistan för Betalkortbranschens datasäkerhetsstandard (PCI DSS).

Kortinnehavardatamiljö (CDE) är människor, processer och teknik som lagrar, bearbetar eller överför kortinnehavardata eller känsliga autentiseringsdata.

Kortmedlem avser en individ eller enhet (i) som har ingått ett avtal om att skapa ett Kortkonto hos en Utfärdare eller (ii) vars namn står på Kortet.

Kortnummer innebär det unika id-nummer som en Utfärdare tilldelar ett Kort när det utfärdas.

Krav från Betalkortbranschens råd för datasäkerhetsstandard (PCI SSC) avser den uppsättning standarder och krav för skydd av betalkortdata, inklusive PCI DSS och PA DSS, som finns på www.pcisecuritystandards.org.

Kreditering avser det Debiteringsbelopp som du återbetalar till Kortmedlemmar för köp eller betalningar som utförts med Kortet.

Krypteringsnyckel (American Express-krypteringsnyckel) avser alla nycklar som används för att bearbeta, generera, läsa in och/eller skydda kontodata. Detta avser bland annat följande:

Viktiga krypteringsnycklar: Zone-huvudnycklar (ZMK) och Zone pin-nycklar (ZPK)
Huvudnycklar som används i säkra krypterade enheter: Lokala huvudnycklar (LMK)
Kortsäkerhetskodnycklar (CSCK)
Pin-nycklar: Härledda grundnycklar (BDK), pin-krypteringsnycklar (PEK) och ZPK

Känsliga autentiseringsdata har den betydelse som angetts i den aktuella ordlistan för Betalkortbranschens datasäkerhetsstandard (PCI DSS).

Mallen för slutlig utredningsrapport vid incidenter är den mall som tillhandahålls av PCI Security Standards Council och som är tillgänglig på www.pcisecuritystandards.org.

Målinriktat analysprogram är ett program som tillhandahåller tidig identifiering av potentiellt äventyrade Kortinnehavardata i din Kortinnehavardatamiljö (CDE). Se Avsnitt 1: Målinriktat analysprogram (TAP).

Nätverksefterlevnadsförsäkran (AOSC) är en försäkran om att du, utifrån en nätverksanalys, följer PCI DSS i den form som föreskrivs av Payment Card Industry Security Standards Council, LLC.

Omfattade parter avser alla dina anställda, agenter, representanter, underleverantörer, Betaltjänstleverantörer, Tjänsteleverantörer, leverantörer av kassautrustning, Kassasystem eller betalningsbearbetningslösningar, enheter med koppling till ditt Affärspartnerkonto hos American Express och andra parter till vilka du kan tänkas ge åtkomst till information om Kortmedlemmar enligt Avtalet.

PCI-godkänd avser en Enhet med pinkod eller en Betalningsapp (eller båda) som vid driftsättningstidpunkten finns på förteckningen över godkända företag och leverantörer som upprätthålls av PCI Security Standards Council, LLC, och finns på www.pcisecuritystandards.org.

PCI DSS avser Betalkortbranschens datasäkerhetsstandard, som finns på www.pcisecuritystandards.org.

Pinsäkerhetskrav från PCI avser Betalkortbranschens pinsäkerhetskrav, som finns på www.pcisecuritystandards.org.

Portalen innebär det rapporteringssystem som tillhandahålls av den PCI-godkända Programadministratör som valts ut av American Express. Affärspartner och Tjänsteleverantörer måste använda Portalen för att skicka in PCI-valideringsdokument till American Express.

Primärt kontonummer (PAN) har den innebörd som anges i den aktuella ordlistan för PCI DSS.

Programmet innebär American Express PCI-efterlevnadsprogram.

Programmet för förbättrad säkerhetsteknik (STEP) avser American Express program där Affärspartner uppmuntras att driftsätta tekniker som ökar datasäkerheten.

Redovisningsdatum avser datumet då American Express ger Utfärdare slutgiltig information om en Dataincident. Detta datum är beroende av att American Express mottar den slutliga utredningsrapporten eller interna analysen och fastställs efter American Express gottfinnande.

Riskminskningsteknik avser tekniska lösningar som ökar säkerheten för American Express-kortinnehavardata och Känsliga autentiseringsdata, enligt vad som fastställs av American Express. För att teknik ska kvalificera sig som en Riskminskningsteknik måste man visa att den kan användas effektivt i enlighet med dess utformning och syfte. Exempel omfattar, men är inte begränsade till: EMV, Heltäckande kryptering och informationsbäraranvändning (tokenisering).

Rättsutredare från PCI (PFI) avser en enhet som har godkänts av Payment Card Industry Security Standards Council, LLC för att utreda intrång i betalkortdata eller betalkortdata som har äventyrats.

Självbedömningsformulär (SAQ) är ett självbedömningsverktyg som skapats av Payment Card Industry Security Standards Council, LLC och är avsett att utvärdera och intyga efterlevnad av PCI DSS.

Tjänsteleverantör nivå 1 avser en Tjänsteleverantör med 2,5 miljoner Transaktioner med American Express-kort eller fler per år eller alla Tjänsteleverantörer som American Express annars bedömer som nivå 1.

Tjänsteleverantör nivå 2 avser en Tjänsteleverantör med färre än 2,5 miljoner Transaktioner med American Express-kort eller alla Tjänsteleverantörer som American Express inte har tilldelat nivå 1.

Token innebär den kryptografiska informationsbärare som ersätter PAN, utifrån ett givet index för ett oförutsägbart värde.

Transaktion avser en Debitering eller Kreditering som utförs med Kort.

Utfärdare är en verksamhet (inklusive American Express och dess Närstående företag) som licensierats av American Express eller ett av American Express Närstående företag att utfärda Kort och ägna sig åt Kortutfärdande verksamhet.

Valideringsdokumentation avser den Efterlevnadsförsäkran som ges i samband med en årlig säkerhetsbedömning på plats eller Självbedömningsformulär, Nätverksefterlevnadsförsäkran och sammanfattningsrapporten med resultatet av Kvartalsvisa nätverksanalyser eller en årliga STEP-försäkran.

Äventyrat kortnummer avser ett American Express-kortkontonummer som kopplats till en Dataincident.