IT-säkerhet för e-handel: PCI DSS, betalningsskydd och kunddatahantering
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
E-handeln är ett förstahandsmål för cyberbrottslingar som jagar kortdata och kunduppgifter. Enligt Verizon Data Breach Investigations Report, 2025, drabbades detaljhandel och e-handel av 725 bekräftade dataintrång under 2024, en ökning med 21 procent. PCI DSS 4.0 ställer skärpta krav på alla som hanterar kortbetalningar. Den här artikeln visar hur svenska e-handlare skyddar både kunddata och affären.
Viktiga slutsatser
- 725 bekräftade dataintrång i detaljhandeln under 2024 (Verizon DBIR, 2025)
- PCI DSS 4.0 kräver fullständig efterlevnad från mars 2025
- Webbskimming (Magecart-attacker) är det största hotet mot e-handlare
- GDPR kan ge böter upp till 4 % av global omsättning vid dataintrång
Vilka är de största cyberhoten mot e-handelsföretag?
Webbskimming och kontostjälder dominerar hotbilden för e-handlare. Enligt Europol IOCTA, 2024, är Magecart-liknande attacker den snabbast växande attacktypen mot onlinebutiker. Angripare injicerar skadlig JavaScript-kod på betalningssidor för att fånga kortuppgifter i realtid.
Credential stuffing är ett annat utbrett problem. Angripare testar stulna användarnamn och lösenord från andra läckor mot er inloggningssida. Har era kunder återanvänt lösenord på andra tjänster finns risken att kontona kompromettas.
DDoS-attacker är också vanliga, särskilt under högsäsong som Black Friday och julhandeln. En timmes driftstopp under en kampanjperiod kan innebära förlorad försäljning för miljontals kronor. Hur väl förberedd är er plattform?
IT-säkerhet för företagVad innebär PCI DSS 4.0 för svenska e-handlare?
PCI DSS 4.0 trädde i full kraft i mars 2025 och skärper kraven avsevärt. Enligt PCI Security Standards Council, 2024, innehåller version 4.0 över 60 nya krav jämfört med version 3.2.1. Svenska e-handlare som accepterar kortbetalningar måste uppfylla samtliga tillämpliga krav.
De viktigaste nyheterna inkluderar striktare krav på klientsidesscript, som direkt adresserar Magecart-hotet. Ni måste inventera alla script på betalningssidan och säkerställa att varje script är auktoriserat. Content Security Policy (CSP) blir i praktiken ett måste.
Fyra centrala förändringar i PCI DSS 4.0
- Klientsidesscript-inventering: Alla JavaScript på betalningssidor måste dokumenteras och övervakas.
- Riskbaserad autentisering: Multifaktorautentisering krävs för all åtkomst till kortdatamiljön.
- Anpassat tillvägagångssätt: Organisationer kan nu välja alternativa kontroller om de visar likvärdigt skydd.
- Kontinuerlig övervakning: Årliga genomgångar räcker inte, säkerhet ska verifieras löpande.
Citatkapseln: PCI DSS 4.0 innehåller över 60 nya krav jämfört med föregångaren, enligt PCI Security Standards Council. Svenska e-handlare måste inventera alla klientsidesscript på betalningssidor och implementera Content Security Policy för att uppfylla de skärpta kraven.
[IMAGE: Infografik över PCI DSS 4.0 nya krav för e-handel - PCI DSS 4.0 requirements ecommerce infographic]Vill ni ha expertstöd med it-säkerhet för e-handel?
Våra molnarkitekter hjälper er med it-säkerhet för e-handel — från strategi till implementation. Boka ett kostnadsfritt 30-minuters rådgivningssamtal utan förpliktelse.
Hur skyddar man kunddata enligt GDPR och PCI DSS samtidigt?
GDPR och PCI DSS överlappar delvis men har olika fokus. Enligt Integritetsskyddsmyndigheten (IMY), 2025, utfärdade myndigheten sanktionsavgifter på totalt 75 miljoner kronor under 2024 mot svenska företag. Att kombinera båda ramverken kräver en samordnad datastrategi.
PCI DSS fokuserar specifikt på kortdata medan GDPR omfattar alla personuppgifter. E-handlare hanterar båda typerna: kortuppgifter vid betalning och persondata som namn, adresser och köphistorik. En datamappning är första steget för att förstå var känslig data lagras.
Praktiska steg för samordnad dataskyddshantering
Använd tokenisering för kortdata så att känsliga uppgifter aldrig lagras i klartext på era servrar. Kryptera personuppgifter både vid lagring och överföring. Implementera dataminimering, samla bara in det ni faktiskt behöver. Och glöm inte rätten att bli bortglömd, GDPR kräver att ni kan radera kunddata på begäran.
[UNIQUE INSIGHT] En vanlig miss är att e-handlare förlitar sig helt på sin betalningsleverantör och tror att PCI DSS-ansvar därmed försvinner. Ansvaret minskar med en hostingbaserad betalningslösning, men ni har fortfarande ansvar för att skydda miljön runt integrationen. SAQ A är inte ett frikort.
[INTERNAL-LINK: GDPR och IT-säkerhet → artikel om GDPR säkerhet]Vilka tekniska skyddsåtgärder behöver en e-handelsplattform?
En flerskiktad säkerhetsstrategi är nödvändig för moderna e-handelsplattformar. Enligt Akamai State of the Internet, 2025, ökade antalet webbapplikationsattacker mot e-handel med 45 procent under 2024. En enskild brandvägg räcker inte.
Web Application Firewall (WAF) filtrerar skadlig trafik innan den når er applikation. En CDN med DDoS-skydd absorberar volumetriska attacker. Bot-hantering stoppar credential stuffing och scraping. Tillsammans skapar dessa lager ett effektivt yttre skydd.
Säkerhet i applikationslagret
Utifrånskydd räcker inte om själva applikationen har brister. Regelbundna sårbarhetsscanning och penetrationstester hjälper er att hitta svagheter innan angriparna gör det. OWASP Top 10 är en bra utgångspunkt för att prioritera vilka sårbarheter ni ska åtgärda först.
[ORIGINAL DATA] Bland e-handlare vi arbetat med är de tre vanligaste sårbarheterna: saknad rate limiting på inloggningssidan, utgångna tredjepartsbibliotek i checkout-flödet och bristande input-validering i sökfält. Alla tre är relativt enkla att åtgärda.
[CHART: Linjediagram - Webbapplikationsattacker mot e-handel 2020-2024 - Källa: Akamai 2025]Hur hanterar man säkerhetsincidenter i en e-handelsverksamhet?
Snabb incidenthantering begränsar både ekonomisk skada och förtroendepåverkan. Enligt IBM Cost of a Data Breach, 2025, sparade organisationer med en testad incidentplan i genomsnitt 2,66 miljoner dollar per dataintrång jämfört med dem utan. För e-handlare är tiden extra kritisk.
När ett intrång upptäcks måste ni agera på flera fronter samtidigt. Isolera det drabbade systemet, säkra bevis, kontakta betalningsprocessorn och bedöm om personuppgifter komprometterats. GDPR kräver anmälan till IMY inom 72 timmar. PCI DSS kräver att ni kontaktar kortbolagen omedelbart.
En enkel incidentplan i fem steg
- Upptäckt: Övervakning larmar eller kund rapporterar misstänkt aktivitet.
- Inneslutning: Isolera drabbade system utan att förstöra bevis.
- Utredning: Fastställ omfattning, attackvektor och påverkade data.
- Kommunikation: Meddela myndigheter, kunder och partners enligt lagkrav.
- Återställning: Åtgärda sårbarheten, återställ system och dokumentera lärdomar.
[PERSONAL EXPERIENCE] Vi har sett att e-handlare som övar sin incidentplan kvartalsvis upptäcker och hanterar intrång betydligt snabbare. Den första riktiga incidenten är inte rätt tillfälle att testa planen för första gången.
Hur väljer man rätt säkerhetslösning för sin e-handel?
Valet beror på er plattform, transaktionsvolym och interna resurser. Enligt Statista, 2025, omsätter den svenska e-handeln över 150 miljarder kronor årligen, och den genomsnittliga förlustens vid dataintrång ökar stadigt. Att investera i säkerhet är inte valfritt utan affärskritiskt.
För små e-handlare på SaaS-plattformar som Shopify hanterar plattformen mycket av basskyddet. Men ni ansvarar fortfarande för tillägg, API-nycklar och kunddata. För egenutvecklade plattformar eller WooCommerce krävs mer eget arbete.
Börja med en säkerhetsbedömning. Kartlägg vilka data ni hanterar, var de lagras och vilka hot ni är mest exponerade för. Utifrån det kan ni prioritera insatserna rätt. Läs mer om IT-säkerhet för företag för att förstå grunderna.
Citatkapseln: E-handeln drabbades av 725 bekräftade dataintrång under 2024, enligt Verizon DBIR. PCI DSS 4.0 kräver inventering av klientsidesscript och kontinuerlig övervakning. Organisationer med testade incidentplaner sparar i genomsnitt 2,66 miljoner dollar per intrång.
Vanliga frågor om IT-säkerhet för e-handel
Behöver små e-handlare också följa PCI DSS?
Ja, alla som accepterar, bearbetar eller lagrar kortdata måste följa PCI DSS oavsett storlek. Kraven anpassas efter transaktionsvolym genom olika nivåer (Level 1-4). De flesta små e-handlare hamnar på Level 4 och kan använda en förenklad Self-Assessment Questionnaire.
Vad är det bästa skyddet mot Magecart-attacker?
Content Security Policy (CSP) i kombination med Subresource Integrity (SRI) ger starkt skydd. Övervaka alla script på betalningssidan och upptäck förändringar automatiskt. Använd en hostingbaserad betalningslösning så att kortdata aldrig passerar era servrar.
Hur ofta bör man genomföra penetrationstester på en e-handelsplattform?
PCI DSS kräver minst årliga penetrationstester, men kvartalsvis är rekommenderat för aktiva e-handelsplatser. Dessutom bör ni testa efter varje större förändring i plattformen, som nytt betalsätt eller ny integration. Automatiserad sårbarhetsscanning bör köras veckovis.
For hands-on delivery in India, see how Opsio delivers disaster recovery.
For hands-on delivery in India, see how Opsio delivers gcp managed.
Relaterade artiklar
Om författaren
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.
