PCI DSS lijkt een intimiderend en verwarrend onderwerp. Om u te helpen dit onderwerp gemakkelijk te begrijpen, hebben we een handleiding gemaakt die u helpt te begrijpen wat het inhoudt en hoe PCI DSS van toepassing is op uw bedrijf. Bewerken Bewerkingsdatum en -tijd
Tenzij u een van die bedrijven heeft die alleen contant geld accepteert en bitcoin U moet begrijpen hoe u kunt voldoen aan de regelgeving met betrekking tot het accepteren van creditcards als betaalmiddel. Deze gids is bedoeld voor bedrijven die zich bezighouden met creditcardverwerking en beseffen hoe essentieel gegevensbeveiliging is voor een veilige winkelervaring in de tijd waarin we leven.
Mensen raken vaak hun verstand kwijt als hun creditcardgegevens worden gestolen. Bovendien zijn bedrijven die creditcards accepteren/verwerken wettelijk verplicht om ervoor te zorgen dat alle bestanden waarmee ze in aanraking komen, veilig zijn.
PCI DSS (Payment Card Industry Data Security Standard) is een reeks normen waarmee eigenaren van kleine en middelgrote bedrijven op de hoogte blijven van beveiligingsnormen.
In september 2006 sloten vijf grote creditcardmaatschappijen (MasterCard, Visa International, JCB, American Express en Discover) zich aaneen tot de PCI SSC (Raad van de Beveiligingsnormen van de Betaalkaartindustrie).
De raad is een onafhankelijk orgaan dat toezicht houdt op de verfijning van de PCI DSS en tegelijkertijd een hoog beveiligingsniveau handhaaft in elk segment van een transactieproces.
Bedrijven die creditcardtransacties accepteren, moeten verantwoording afleggen aan de financiële instellingen en aan de creditcardmaatschappij die de betalingen verwerkt, en niet aan de gemeente.
De raad zorgt er echter voor dat er verantwoording wordt afgelegd over de systemen en evalueert technologische trends en zwakheden om een hoog beveiligingsniveau te handhaven.
Elk bedrijf, elke instelling en elke entiteit die kaarthoudergegevens accepteert, verzendt en opslaat, is verplicht zich te houden aan de volgende PCI DSS-regels en -voorschriften. PCI definieert kaarthoudergegevens als PAN (Primair Rekeningnummer). PAN bevat de volgende informatie:
PCI DSS vraagt bedrijven om de volgende gegevens te beschermen:
Een systeem dat toepasbaar is, ongeacht de omvang of het aantal transacties. De manier waarop elk bedrijf omgaat met kaarthoudergegevens, is gecategoriseerd in een van de vier niveaus die Visa heeft gecreëerd.
Het niveau wordt bepaald door het aantal Visa-transacties dat de merchant DBA (die "Doing Business As" is) in een periode van twaalf maanden heeft uitgevoerd. In gevallen waarin ondernemingen meerdere merchant DBA's hebben, worden de totale transacties van het bedrijf geëvalueerd.
Bij entiteiten waar ondernemingen niet namens hun handelaren met gegevens omgaan, worden individuele DBA's geëvalueerd om hun niveau te bepalen.
PCI DSS-definitie van een detailhandelaar als een entiteit die betalingen accepteert van kaarten met de logo's van de vijf grootste creditcardmaatschappijen die aan het begin van dit artikel werden genoemd.
Een handelaar kan ook een dienstverlener zijn. De niveaus worden als volgt bepaald:
Niveau 1: Handelaren verwerken jaarlijks meer dan zes miljoen Visa-transacties via de post, persoonlijk, e-commerce of telefoon.
Niveau 2: Handelaren verwerken jaarlijks tussen de één en zes miljoen Visa-transacties via alle acceptatiekanalen.
Niveau 3: Handelaren verwerken jaarlijks 20.000 tot 1 miljoen Visa e-Commerce-transacties.
Niveau 4: Handelaren verwerken jaarlijks 20.000 of minder Visa e-Commerce verkopen via alle acceptatiekanalen.
Om aan de vastgestelde regels en normen te voldoen, doorlopen handelaren een aantal stappen. Ten eerste moet elke handelaar een SAQ (Self Assessment Questionnaire) invullen om te bepalen hoe hun naleving eruit zal zien.
Nadat ze de vragenlijst hebben ingevuld, krijgen de handelaren de taak om bewijs te verzamelen van het slagen, samen met een kwetsbaarheidsscan van een ASV (PCI SSC Approved Scanning Vendor). Bedrijven die één enkele acceptatiemethode gebruiken, moeten volledig voldoen aan de PCI DSS-normen, net als handelaren die gebruikmaken van externe verwerkers.
Bedrijven met meerdere locaties moeten jaarlijks voor alle gebieden valideren als ze dezelfde belastingidentificatiecode gebruiken. Hoewel alle bedrijven die met debet- of creditcardgegevens werken, zich aan de PCI-normen moeten houden, is het voor bedrijven die geen gegevens opslaan eenvoudiger om aan de nalevingsvereisten te voldoen.
Sommige bedrijven moeten elk kwartaal een kwetsbaarheidsscan uitvoeren. Een goedgekeurde ASV (Approved Scanning Vendor) is belast met het scannen van diverse webapplicaties en netwerken van IP-adressen die hen door de serviceprovider of verkoper zijn verstrekt.
De scan richt zich op en legt eventuele kwetsbaarheden bloot in de diensten, besturingssystemen en apparaten van het bedrijf waarmee hackers toegang kunnen krijgen tot het privénetwerk van de handelaar.
Wanneer een ASV de scan uitvoert, hoeft er geen software te worden geïnstalleerd. De scans worden elke 90 dagen uitgevoerd, omdat handelaren worden gevraagd om conformiteitsrapporten in te dienen volgens het door de acquirer vastgestelde tijdschema.
Sommige handelaren overwegen om samen te werken met dienstverleners. Een entiteit die losstaat van de vijf grootste creditcardmaatschappijen en die betrokken is bij de opslag, verwerking en overdracht van kaarthoudergegevens.
Dienstverleners krijgen een "uniek" nalevingstraject aangeboden en het is cruciaal dat ze dit zorgvuldig volgen. Bedrijven die in aanmerking komen om dienstverlener te zijn, moeten een cursus volgen die hen helpt hun mandaat duidelijk te begrijpen.
Betaalapplicaties worden beschouwd als aspecten die kaarthoudergegevens verzenden, opslaan of verwerken. Betaalapplicaties zijn processen die variëren van swipe-systemen in restaurants tot software die wordt gebruikt in e-commerce winkelwagentjes.
PA-DSS (Payment Application Data Security Standard) wordt beheerd en onderhouden door de PCI SSC. PA-DSS is bedoeld om te garanderen dat alle leveranciers die betalingsapplicaties aanbieden die voldoen aan de PCI DSS-normen, geen kaarthoudergegevens bewaren.
Een betalingsgateway verbindt handelaren met een processor of een acquiring bank die hen verbindt met de kaartuitgever. Ze loggen in op de processor of de financiële instelling via een webgebaseerde verbinding of inbelverbinding.
In de meeste gevallen vinden winkeliers het prettig om kaartgegevens te kunnen bewaren, zodat klanten gemakkelijker herhaaltransacties kunnen doen. Samenwerken met een externe provider is de meest ontspannen en probleemloze manier om gegevens veilig op te slaan.
De gegevens van de kaarthouder worden uit het bezit van de handelaar verwijderd en een derde partij die gespecialiseerd is in gegevensbescherming verwerkt de gegevens namens de handelaar.
Handelaren die ervoor kiezen om kaartgegevens vast te houden, worden door een gekwalificeerde beveiligingsbeoordelaar aan een streng proces onderworpen. Deze komt naar de locatie om een audit uit te voeren en te bevestigen dat de handelaar voldoet aan de PCI DSS-normen.
PCI-normen adviseren dat de eerste zes of de laatste vier cijfers van het PAN-nummer op een transactiebon worden afgedrukt. Dit helpt voorkomen dat het volledige nummer wordt weergegeven.
Er worden normen vastgesteld voor de veiligheid van consumenten. Wanneer handelaren zich niet aan de PCI DSS-normen houden, heeft dat veel gevolgen.
In de meeste gevallen krijgen ze hoge boetes, variërend van $ 5.000 tot $ 100.000 per maand.
De kosten voor de betaalmerken worden doorberekend aan de ontvangende bank, die de kosten doorberekent aan het bedrijf. In de meeste gevallen beëindigt de financiële instelling de relatie met de handelaar of verhoogt de transactiekosten aanzienlijk.
Deze sancties kunnen kleine en middelgrote ondernemingen ruïneren en het is belangrijk dat handelaren zich aan de regels houden en deze niet overtreden.
Hoewel PCI geen wet is, zijn handelaren die weigeren zich aan de wet te houden, wel verantwoordelijk voor de kosten die worden veroorzaakt door boetes, kosten voor het vervangen van kaarten, schade aan het merk, kostbare forensische audits en de verschillende gevolgen die een overtreding met zich meebrengt.
Initiële inspanningen en kosten gerealiseerd na voldoen aan PCI DSS waardoor handelaren niet nog meer geld en tijd hoeven te besteden aan ernstige, dure, ingewikkelde en verwoestende gevolgen.
Gefeliciteerd met de start van een klein- en middelgroot bedrijf! Zorg ervoor dat alle transacties voldoen aan de integriteits- en beveiligingsmaatregelen. Doorgrond alle compliance-regels en bescherm uw bedrijf tegen hackers die steeds geraffineerder worden.
"*" geeft verplichte velden aan
"*" geeft verplichte velden aan
"*" geeft verplichte velden aan
Laat een reactie achter
Je moet zijn ingelogd om een reactie te plaatsen.