För ett år sedan kontaktades Jan-Åke Hagman, som driver Best Western Hotel Jägersro i Malmö, av SEB:s kortinlösenföretag Euroline. Han fick beskedet att kontokortsnummer hade läckt ut från hotellet. Kortnätverken, med Visa och Mastercard i spetsen, krävde därför att hotellet skulle genomgå en PCI DSS-certifiering. Det innebar en massa jobb, krångel samt kostnader på 300 000 kronor.
Det första som hände var att hotellet stängdes av från systemet och inte längre fick ta kreditkort online.Artikeln fortsätter under annonsen
– Vi fick gå tillbaka till vanliga betalterminaler via telefonjacket. Det är mycket bökigare att ta kort via telefonjacket, herregud, det tar så lång tid. Och det gick inte längre att reservera belopp när gästerna checkade in, säger Jan-Åke Hagman.
För att få börja dra korten online igen var hotellet tvunget att göra en PCI DSS-certifiering. Men kraven var mycket tuffare än för andra hotell av samma storlek. Kortnätverken ställer olika krav på hur omfattande certifieringen ska vara, normalt baserat på hur många korttransaktioner ett företag har per år. Det finns fyra olika nivåer. De största företagen, med flest korttransaktioner, placeras i nivå 1 och måste ta dit en certifierad kontrollant godkänd av kortnätverken. För nivå 2–4 räcker det att man fyller i ett frågeformulär samt gör en sårbarhetsskanning kvartalsvis.
Certifieringen av hotellet inleddes i mars och är färdig inom kort.
– Så vi är snart överkvalificerade säkerhetsmässigt.
Det har bland annat inneburit att hotellet tvingats investera i fler servrar.
– Tidigare hade vi bara en server. Nu skulle vi ha fyra olika servrar: en för bokningar, en för kontokortshantering och två andra för något annat. Till det kom installation och service och de konsulter som varit inkopplade. Det har varit otroligt jobbigt och kostat massor med pengar.
Förutom kostnaden för att bli certifierad fick hotellet betala böter på 25 000 kronor till kortnätverken.
Kerstin Ottosson, informationschef på SEB kort som äger Euroline, säger att banksekretessen gör att hon inte får kommentera enskilda ärenden. Men enligt henne placeras företag alltid i nivå 1 för PCI DSS-certifiering om någon varit inne i datasystemet och tagit kortinformation.
– Så om man hamnar i nivå 1 har utredningen bevisat att det är fråga om intrång.
Kortnätverkens regler säger att så länge ett säljställe inte har åtgärdat de problem som finns, så får man inte använda utrustningen, säger Kerstin Ottosson.
Hon säger vidare att i Eurolines avtal med säljföretag står vilka rutiner man måste följa för att hålla kortsäkerheten på rätt nivå, nämligen PCI DSS. Om det finns misstankar om kortbedrägerier initierar kortnätverken en utredning där man kontrollerar säljföretagets korthantering. Om den visar att säljföretaget inte har följt de säkerhetsregler som gäller bötfäller kortnätverken kortinlösaren.
– Det är kortnätverken som initierar böterna. Men det står i våra avtal att om säljstället inte följt sina rutiner så kan vi lägga över dem på säljstället, säger Kerstin Ottosson.
Jan-Åke Hagman säger sig inte ha fått några bevis för att det är från hotellet som kortinformation har läckt ut, utan tror att det är en bankomat precis intill hotellet som skimmats, alltså att informationen på magnetremsan kopierats. Men både Kerstin Ottosson och polisen säger att inte finns någonting som tyder på att bankomaten varit utsatt.
Kerstin Ottosson säger att om en utredning kommer fram till att säkerhetsnivån inte är tillräcklig på ett säljställe, blir säljstället tvunget att vidta åtgärder för att bli PCI DSS-certifierad.
– Och vi återrapporterar självklart vad utredningen kommit fram till, vilka bevis som finns, säger hon.
