De Payment Card Industry Data Security Standard (PCI-DSS) is een belangrijke veiligheidsstandaard voor organisaties die gegevens van kaarthouders opslaan en verwerken. Doel van de norm: gegevens beschermen, fraude beperken en de kans op een datalek verkleinen.
Gedigitaliseerd betalingsverkeer is nog altijd in opkomst: het aantal digitale transacties neemt toe. Dat maakt beveiliging extra belangrijk. Vooral de gegevens van creditcardgebruikers moeten goed worden beschermd.
De grootste aanbieders van creditcards hebben hier samen een standaard voor opgezet. Elke organisatie die gegevens van kaarthouders verwerkt en opslaat, moet aantonen dat deze data volgens de strengste eisen zijn beveiligd.
Vanzelfsprekend is ook SimpledCard PCI DSS gecertificeerd. In dit artikel leggen we uit waarom PCI DSS zo belangrijk is, en hoe je zelf aan de standaard kunt voldoen.
Wat is de PCI-DSS?
PCI DSS is opgesteld door Mastercard, VISA, American Express, JCB en Diners. Het is een onafhankelijke, internationale beveiligingsstandaard om de gegevens van kaarthouders te beschermen in het digitale betalingsverkeer.
Of organisaties zich aan PCI DSS houden, wordt gecontroleerd door de Payment Card Industry Security Standards Council (PCI SSC). Het doel is om creditcards en pinpassen te beveiligen tegen gegevensdiefstal en fraude.
De PCI SSC implementeerde hier verschillende technische en operationele richtlijnen voor. Hier komen we later in dit artikel op terug.
De PCI SSC heeft geen wettelijke bevoegdheid en kan dus niet afdwingen dat organisaties de standaard naleven. Maar om creditcard- en pinpastransacties online te kunnen verwerken, is een PCI DSS-certificering wel een must.
Wat is een PCI DSS certificering?
Een PCI DSS-certificering garandeert de veiligheid van kaartgegevens in je organisatie. Je krijgt een PCI DSS-certificering door aan de eisen van de PCI SSC te voldoen.
De eisen gaan onder andere over een aantal best practices, zoals:
❯ Firewalls installeren;
❯ Gegevens versleuteld overdragen;
❯ Antivirussoftware gebruiken ;
❯ De toegang tot kaarthoudergegevens beperken;
❯ De toegang tot netwerkbronnen controleren.
Het certificaat toont aan dat je bedrijf een intensieve audit heeft doorlopen, en dat je aantoonbaar strikte maatregelen neemt om de gegevens van kaarthouders te beschermen.
Ben je als organisatie PCI DSS-compliant, dan laat je aan klanten zien dat ze bij jou veilig transacties kunnen verrichten. Bovendien zijn de boetes die je krijgt als je de eisen niet naleeft, een goede reden om gegevensbeveiliging serieus te nemen.
Een PCI-certificering wordt gezien als de beste manier om gevoelige gegevens te beveiligen. Dat helpt je om een langdurige, vertrouwensvolle relatie met klanten op te bouwen.
Hoe krijg je een PCI DSS-certificering?
De PCI SSC stelt twaalf eisen aan de verwerking van kaarthoudergegevens en het onderhouden van een beveiligd netwerk. Ze zijn verdeeld over zes doelstellingen en wegen allemaal even zwaar. Je moet dus aan alle eisen voldoen om een PCI DSS-certificering te krijgen.
❯ Bouw en onderhoud een veilig netwerk
1.Een firewallconfiguratie installeren en onderhouden om gegevens van kaarthouders te beschermen.
2. Gebruik geen standaardwaarden voor systeemwachtwoorden en andere beveiligingsparameters die door de leverancier zijn verstrekt.
❯ Bescherm kaarthouder gegevens
3. Bescherm opgeslagen kaarthoudergegevens.
4. Versleuteling van de overdracht van kaarthoudergegevens over open, openbare netwerken.
❯ Implementeer een programma voor kwetsbaarheidsbeheer
5. Gebruik antivirussoftware of -programma’s en werk die regelmatig bij.
6. Ontwikkelen en onderhouden van veilige systemen en toepassingen.
❯ Gebruik sterke toegangsmaatregelen
7. Beperk de toegang tot gegevens van kaarthouders.
8. Wijs een unieke ID toe aan elke persoon met toegang tot de computer.
9. De fysieke toegang tot kaarthoudergegevens beperken.
❯ Monitor en test netwerken regelmatig
10. Alle toegang tot netwerkbronnen en kaarthoudergegevens volgen en bewaken.
11. Regelmatig testen van beveiligingssystemen en -processen.
❯ Onderhoud een informatie veiligheidsbeleid
12. Een beleid handhaven dat informatiebeveiliging voor al het personeel regelt
Om het certificaat te behouden, moet je er elk jaar opnieuw aan voldoen. Lukt dat niet, dan kun je als organisatie op flinke boetes rekenen.
Wanneer je PCI-compliant bent, is de kans op een datalek door een cyberaanval klein. Mocht je bedrijf hier toch mee te maken krijgen, dan kunnen cardschemes je PCI-boetes flink verlagen – mogelijk worden ze zelfs kwijtgescholden. Je moet wel aantonen dat je alles hebt gedaan om PCI DSS-compliant te zijn.
SimpledCard en de PCI DSS-veiligheidsstandaard
Zoals gezegd voldoet SimpledCard aan de PCI DSS-standaard. En dus ook aan de eisen die de belangrijkste creditcardmaatschappijen stellen aan processen, procedures en de beveiligde opslag van kaarthoudergegevens.
Wat we concreet doen? Een paar voorbeelden:
❯ We gebruiken geen vooraf ingestelde gebruikersnamen of wachtwoorden en vermijden standaardinstellingen te allen tijde.
❯ Er moeten altijd sterke wachtwoorden en unieke gebruikers-ID’s worden gebruikt. Wachtwoorden moeten minimaal zeven karakters hebben (cijfers, letters en speciale karakters).
❯ Onze software is altijd up-to-date en we informeren onze medewerkers en klanten hierover.
Als klant van SimpledCard kun je er dus op vertrouwen dat je gegevens versleuteld zijn opgeslagen dat je veilig transacties kunt uitvoeren. Zo bouwen we met onze klanten aan duurzame samenwerkingen, met vertrouwen als basis.
Nog vragen aan de hand van dit artikel? Neem gerust contact op met ons team financieel experts en zij beantwoorden al je vragen over PCI-DSS, PCI-DSS certificering en/of andere kwesties.
Door SimpledCard
Blijf op de hoogte
Onze laatste blogartikelen, zakelijke ontwikkelingen en financieel nieuws. Rechtstreeks in je inbox.
sales@simpledcard.com
Haarlemmerstraat 124 E-F
