Print

Veelgestelde vragen over PCI DSS

Waar staat PCI DSS voor?
PCI DSS staat voor Payment Card Industry Data Security Standard. Dit is een internationale beveiligingsstandaard, opgesteld door de diverse betaalkaartmaatschappijen. De standaard probeert betaalkaartgegevens te beschermen en zo misbruik van kaartgegevens, en daarmee schade, te voorkomen. PCI DSS stelt eisen aan het verwerken, doorsturen en opslaan van kaartgegevens. Alle bedrijven die creditcards en internationale debetpassen accepteren, moeten voldoen aan het veiligheidsvoorschrift PCI DSS. Dit wordt jaarlijks getoetst en helpt fraude te voorkomen.

Hoe wordt getoetst of ondernemingen voldoen aan PCI DSS?
Om het klanten zo gemakkelijk mogelijk te maken, heeft PaySquare een online vragenlijst opgesteld waarmee klanten jaarlijks kunnen aantonen of ze aan het veiligheidsvoorschrift PCI DSS voldoen. De vragen zijn van toepassing op de bedrijfssituatie van de klant. Sommige klanten moeten een beoordeling op locatie (laten) uitvoeren. Nadat een beoordeling op locatie heeft plaatsgevonden, kan de onderneming het beoordelingsrapport via een online PCI DSS-tool indienen bij PaySquare.

Welke ondernemingen moeten een PCI DSS-beoordeling op locatie uitvoeren?
Bij ondernemingen met meer dan zes miljoen Visa-transacties per jaar, en ondernemingen met meer dan zes miljoen MasterCard®- & Maestro-transacties per jaar, vindt ieder jaar een beoordeling op locatie plaats. Ook wel een on-site assessment genoemd. Ondernemingen die door Visa of Mastercard zijn aangemerkt als ‘Level 1 merchant’ moeten ook jaarlijks een on-site assessment laten uitvoeren.

Ondernemingen die kaarthouderdata opslaan, moeten een online vragenlijst SAQ-D invullen en netwerkscans aanleveren. Veel ondernemers hebben moeite met het invullen van deze ingewikkelde vragenlijst. Kan of wil een ondernemer de vragenlijst niet zelf invullen, dan kan hij een gespecialiseerd bedrijf inschakelen en eventueel ook een on-site assessment door dat bedrijf laten uitvoeren.

Wie voert een beoordeling op locatie uit?
Er zijn erkende externe partijen die een toetsing op locatie kunnen uitvoeren. Deze worden Qualified Security Assessors (QSA’s) genoemd. Bedrijven kunnen er ook voor kiezen een interne auditor in te schakelen. De regelgeving hiervoor kan per betaalkaartmaatschappij verschillen. Raadpleeg daarom de website van de betreffende maatschappij voor de exacte voorwaarden.

Wat zijn Qualified Security Assessors (QSA’s)?
Q&A’s zijn erkende externe partijen die een PCI DSS-toetsing op locatie kunnen uitvoeren. Kijk voor een overzicht van QSA’s op www.pcisecuritystandards.org. U kunt ook kiezen voor een van de partijen waar PaySquare mee samenwerkt, namelijk VOC-Consultancy en Verizon.

Welke partijen kunnen helpen om PCI-compliant te worden?
PaySquare heeft partnerships met B2U, VOC-Consultancy en Verizon.

B2U
B2U maakt webwinkels veilig met het beveiligingsprogramma McAfee SECURE. Dit programma is makkelijk in gebruik te nemen, doordat het geen aanpassingen vergt aan de website, het hostingplatform of de programmatuur. Dit komt doordat het programma zonder hardware en software werkt. Mc Afee SECURE controleert webwinkels continu op beveiligingslekken en geldt als een van de meest bekende en vertrouwde beveiligingskeurmerken in de wereld. B2U kan u met McAfee SECURE helpen om te voldoen aan de eisen van PCI DSS. Klanten van PaySquare krijgen 50% korting op de setup kosten. Meer informatie vindt u op www.paysquare.hackersafe.nl. Ook kunt u bellen naar 0297 381 300 of mailen naar hackersafe@b2u.nl.

VOC-Consultancy
VOC-Consultancy levert informatiebeveiliging en compliance-managementoplossingen voor de zakelijke en publieke sector. De beveiliging van data en de compliance-diensten helpen om te voldoen aan de eisen van PCI DSS. VOC is gevestigd in Utrecht en bestaat uit zeer ervaren experts op het gebied van PCI DSS.
VOC-Consultancy is tevens een Qualified Security Assessor (QSA) wat betekent dat ze acquirers, processoren, Payment Service Providers (PSP’s) en (web)winkeliers kan ondersteunen en begeleiden om PCI DSS-compliant te worden. Het doel van VOC-Consultancy is om risico’s voor (web)winkeliers, banken en service providers te minimaliseren. Meer informatie vindt u op www.voc-consultancy.nl.

Verizon
Kijk voor meer informatie op www.verizon.nl.

Wat wordt onder betaalkaartgegevens verstaan?
Kaartgegevens omvatten het creditcardnummer al dan niet in combinatie met naam, adres, CVC2/CVV2 en/of vervaldatum.

Wat is CVC2/CVV2?
Op de achterzijde van creditcards, in de buurt van de invulstrook voor de handtekening, staat een veiligheidscode van drie cijfers. Men noemt deze code het Card Verification Number, ook CVV2- of de CVC2-code genaamd. Wanneer een online betaling plaatsvindt, wordt naar deze drie cijfers gevraagd. Dit toont aan dat degene die de bestelling plaatst de kaart werkelijk in handen heeft.

Wat moet ik weten over CVC2/CVV2?
PaySquare adviseert (en in veel gevallen verplicht) klanten om de CVC2/CVV2 te vragen bij transacties waarbij de creditkaart niet wordt getoond. CVC2/CVV2 mag alleen worden opgeslagen om de authorisatie uit te voeren en mag niet langer worden bewaard dan strikt noodzakelijk. Deze gegevens moeten altijd verwijderd worden. Het gaat om zo’n cruciaal kaartgegeven, dat de betaalkaartmaatschappijen aan de onjuiste opslag ervan aparte boetes hebben gekoppeld, vanaf € 25.000,-.

Welke nadelen heeft het opslaan van kaartgegevens?
Kaartgegevens kunnen ontvreemd worden. Als dat gebeurt, brengt dat een aanzienlijke reputatieschade en financiële sancties met zich mee, waar u als kaartaccepterende onderneming voor aansprakelijk bent. Daarom zult u de gegevens moeten beveiligen volgens de strenge internationale beveiligingsstandaard PCI DSS. Ook is de validatie van uw compliance (het naleven van de regels) een ingewikkelde, tijdrovende en vaak kostbare aangelegenheid. Daarom kunt u beter zelf geen gegevens opslaan, maar kiezen voor een Payment Service Profider (PSP) die de gegevens voor u beheert.

Hoe zorg ik voor een veilige webwinkel?
PaySquare heeft partnerships met Payment Service Providers (PSP’s) die u kunnen helpen bij het opzetten van een veilige webwinkel. Hier vindt u een overzicht van PSP’s.
Een PSP verwerkt transacties zodat de webwinkel zelf niet in aanraking komt met kaartgegevens. Zo hoeft uw onderneming geen kaartgegevens op te slaan. Als u creditcards via de betaalpagina van een PSP accepteert, is het frauderisico veel kleiner (door onder andere fraudemodules, 3D Secure, en dergelijke).

Wat houdt 3D Secure in?
3D Secure wordt gebruikt bij online aankopen. Het is een technologie die het mogelijk maakt om alle partijen in de betaalketen te bevestigen dat de koper zijn eigen creditcardgegevens heeft ingegeven. Hiertoe wordt een veiligheidsprocedure uitgevoerd. Dankzij deze technologie krijgt de koper een tijdelijke, geverifieerde elektronische handtekening waarmee hij de betaling ultiem bevestigt. Deze handtekening is een cijfercode via digipass, een wachtwoord of een sms-code. Na de veiligheidscheck wordt de koper teruggeleid naar de webshop.

Wat doet een Payment Service Profider (PSP)?
Een PSP verwerkt transacties en beheert kaartgegevens. Daarnaast bieden PSP’s meestal diverse diensten aan, zoals de acceptatie van andere betaalmiddelen dan creditcards, fraudepreventietools, een internetkassa, inzicht in betalingen, etc. PSP’s zijn allemaal gebonden aan de internationale beveiligingsstandaard PCI DSS en valideren hun compliance (het naleven van de regels) periodiek. Daartoe hebben zij aanzienlijk geïnvesteerd in de beveiliging van hun netwerken, bedrijfspanden, personeel en dergelijke.

Wat is compliance?
Compliance is Engels voor naleving (van een norm of wet). Wie PCI DSS-compliant is, voldoet aan de normen van de internationale beveiligingsstandaard PCI DSS.

Wat is het verschil tussen PCI en PCI DSS?
PCI staat voor Payment Card Industry. Deze organisatie is oorspronkelijk opgericht door de grote betaalkaartmaatschappijen en beheert verschillende beveiligingsstandaarden voor de betaalkaartindustrie. De belangrijkste hiervan is de Data Security Standard (DSS). In de volksmond wordt PCI DSS vaak afgekort tot PCI.

Verschil tussen opslaan, verwerken, doorsturen en inzien?
We spreken vaak over het opslaan van kaartgegevens. De PCI DSS-voorschriften gelden echter ook voor partijen die kaartgegevens verwerken, doorsturen of kunnen inzien. Verder is het van toepassing op zowel vluchtige als permanente opslag van kaartgegevens.

Wat is valideren?
Alle partijen die met kaartgegevens in aanraking (kunnen) komen, moeten voldoen aan de veiligheidsvoorschriften die beschreven staan in de PCI DSS (alleen kaarthouders zijn uitgezonderd). Iedere partij is verplicht om aan te tonen dat ze voldoet aan deze voorschriften. Dat aantonen heet valideren. De wijze waarop kan van bedrijf tot bedrijf verschillen. De meest gangbare vormen zijn een zelfbeoordeling (Self Assessment) of een validatie door een QSA (Qualified Security Assessor).

Hoe moet ik valideren?
Allereerst hangt dit af van het soort gegevens dat uw onderneming opslaat en op welke manier. Wanneer u geen kaartgegevens opslaat in elektronische vorm, bent u het eenvoudigst af: u kunt volstaan met de vragenlijst SAQ-A. Als uw onderneming die vragenlijst op tijd invult en aan de regels voldoet, ontvangt u een Attestation of Compliance. Dit moet jaarlijks herhaald worden. U bevestigt met de Verklaring van Naleving dat alles naar waarheid is ingevuld.

Slaat uw onderneming wel gegevens op in elektronische vorm? Dan moet u de vragenlijst SAQ-D invullen, met de bijbehorende Attestation of Compliance (Verklaring van Naleving). Ook moet u dan elk kwartaal een geslaagde netwerkscan overleggen. De andere vragenlijsten SAQ-B en SAQ-C zijn van toepassing op Point Of Sale-merchants (ondernemingen waar de verkoop plaatsvindt aan een balie of kassa).

Wat te doen als ik verlies of misbruik van gegevens vermoed?
Dit wordt ook wel datacompromittatie genoemd en houdt in: manipulatie, diefstal of verlies van data en/of systemen of de controle daarover, ten behoeve van misbruik. Zodra u het vermoeden heeft dat onbevoegden toegang hebben gehad of toegang kunnen hebben gehad tot kaartgegevens, bent u verplicht PaySquare meteen op de hoogte te stellen. Wij kunnen u dan met raad en daad bijstaan om eventuele schade te beperken.

Verwijderen van gegevens
Als u in het verleden kaartgegevens in elektronische vorm heeft opgeslagen en nu kiest voor een oplossing waarbij dat niet meer hoeft, doet u er zeer verstandig aan de oude gegevens te verwijderen. Wij raden u aan hiervoor contact op te nemen met een expert. Het wissen van elektronische gegevensdragers is vakwerk.

Hoe zit het met acceptatie van kaartgegevens per e-mail?
Wij raden acceptatie per e-mail ten zeerste af. Het is namelijk per definitie elektronisch en valt dus onder e commerce. Dat betekent dat uw onderneming moet valideren volgens de ingewikkelde vragenlijst SAQ-D, netwerkscans moet opsturen en misschien zelfs een beoordeling op locatie moet laten uitvoeren.

Hoe zit het met de Wet bescherming persoonsgegevens?
Ondernemingen die over betaalkaartdata beschikken, beschikken vaak ook over persoonsgegevens. Volgens de Wet bescherming persoonsgegevens bent u onder andere verplicht de gegevens op een deugdelijke wijze te beschermen. De wetgever is echter minder expliciet in de wijze waarop u moet beveiligen. U hoeft ook niet te valideren. Op de website van de Rijksoverheid vindt u meer informatie over de Wet bescherming persoonsgegevens.

Meer informatie?
Heeft u nog vragen of wilt u meer informatie? Download dan onze whitepaper PCI DSS of raadpleeg www.pcisecuritystandards.org. Onze medewerkers helpen u ook graag verder. Mail naar pci@nl.paysquare.eu of bel 088 385 73 33. Ook voor vragen over de online vragenlijst (Self Assessment Questionaire) kunt u ons bellen of mailen. Wij zijn u graag van dienst.