Close Menu
Pinnen? Ja, graag!

Pinnen? Ja, graag!

Pinnen ja graag

Pinnen ja graag

Betalingsverkeer

PCI DSS: wat is dat? En: heb ik ermee te maken?

De laatste tijd krijgen sommige ondernemers brieven van dienstverleners die aanbieden te helpen bij het voldoen aan de PCI DSS regelgeving. De dienstverleners stellen dat u aan de PCI DSS regelgeving moet voldoen. Hoe zit dat? Moet u eraan voldoen? Heeft u hulp van een derde nodig om te kunnen voldoen?

Op de eerste plaats: dit is op dit moment alleen relevant voor ondernemingen die creditcards accepteren. Dus als u geen credicardbetalingen accepteert, hoeft u zich hier niet in te verdiepen. Creditcardmaatschappijen stellen eisen aan bedrijven die creditcards verwerken. Deze eisen zijn gebundeld in een beveiligingsstandaard, genaamd PCI-DSS (Payment Card Industry - Data Security Standard). Dus wanneer u online of offline kaartgegevens opneemt, verwerkt of opslaat, bent u verantwoordelijk voor de bescherming en opslag van die gegevens. Dit is bedoeld om fraude tegen te gaan.

Regels
Alle systemen, mensen en processen die inzicht kunnen hebben in de gegevens van creditcardnummer in combinatie met de tenaamstelling, moeten voldoen aan de regels. Dat geldt in bijvoorbeeld hotels dus ook voor eigen (online) boekingssystemen en de (offline) (betaal)administratie waarin gegevens van gasten worden vastgelegd. Die regels zijn in te delen in technische maatregelen (bijvoorbeeld het verplicht gebruiken van virusscanners op PC of het versleutelen van data daarop) en organisatorische maatregelen (bijvoorbeeld het screenen van personeel en het bijhouden wie toegang heeft tot de computerruimte waar de kaarthouderdata zijn opgeslagen).

Hoe kunt u voldoen aan de PCI eisen?
Binnen PCI-DSS zijn verschillende niveaus van beveiliging geformuleerd die afhangen van het aantal transacties dat wordt uitgevoerd. De regels zijn uiteindelijk voor alle partijen hetzelfde, maar de manier waarop dat wordt gecontroleerd, is wel verschillend:

Meer dan 6 miljoen transacties per jaar
Het zwaarste niveau is gericht op zogenaamde level-1 gebruikers. Deze groep betaalkaartacceptanten doen meer dan 6 miljoen transacties per jaar en hebben veel kaartgegevens opgeslagen.

Zij moeten hun omgeving elk jaar laten testen door een externe QSA (Qualified Security Assessors) organisatie die daartoe bevoegd is en uitgebreide documentatie aanleveren over de inrichting van hun beveiligingssystemen. Het is nog niet helemaal duidelijk hoe die 6 miljoen wordt geteld in bijvoorbeeld franchiseformules: per locatie of als geheel. Dat hangt samen met wie u wat voor soort contract heeft.

Level 2 tot en met 4
Bedrijven met minder transacties (level 2 tot en met 4) zijn niet verplicht om een QSA in te schakelen, maar mogen zelf een verklaring invullen dat ze aan alle verplichtingen van PCI DSS voldoen. Deze verklaring heet een Self-Assessment Questionnaire (SAQ).

Meer dan een miljoen transacties per jaar
Bedrijven met meer dan een miljoen transacties per jaar komen in een hogere categorie 2 of 3 terecht. Voor het aantonen van PCI DSS in bedrijven die in een hoger level vallen, kan de inhuur van externe gekwalificeerde controleurs noodzakelijk zijn. Bedrijven die deze controles kunnen uitvoeren, benaderen nu de markt met voorstellen om het de ondernemer uit handen te nemen.

Meer informatie?
Neem contact op met de partij waarmee u het contract voor de acceptatie van creditcards hebt afgesloten. Aanvullende informatie is te vinden op de website van PCI, www.pcisecuritystandards.org, en bij de aanbieders van creditcardacceptatie.

Tips

1. Installeer en onderhoud een firewall op computers waarop data wordt opgeslagen.
2. Gebruik nooit de door de leverancier ingestelde wachtwoorden en andere standaardwaarden.
3. Bescherm opgeslagen kaartgegevens.
4. Codeer de kaartgegevens bij overdracht via openbare netwerken.
5. Gebruik antivirussoftware en werk deze regelmatig bij.
6. Ontwikkel en onderhoud veilige systemen en toepassingen.
7. Beperk de toegang tot kaartgegevens op basis van ‘need to know'.
8. Wijs aan iedereen met toegang tot de computer een eigen gebruikersnaam (‘user id') toe.
9. Beperk fysiek de toegang tot kaartgegevens (afsluitbare, beveiligde ruimten).
10. Houd alle toegang tot netwerkbronnen en kaartgegevens bij en bewaak dit.
11. Test de beveiligingssystemen en processen regelmatig.
12. Handhaaf een beleid dat op informatiebeveiliging is gericht

085-3034821