De gegevensbeveiligingsnormen van de betaalkaartindustrie (PCI DSS) werden door de PCI Security Standards Council (SSC) opgesteld om de gegevens van de kaarthouder te beschermen. Elke ondernemer die kaarttransacties accepteert, moet zich aan deze normen houden om zaken te kunnen doen met creditcardmaatschappijen, banken en betalingsverwerkers.
Als het systeem van een ondernemer wordt gekraakt of gehackt en gevoelige informatie wordt gestolen, kan de ondernemer aansprakelijk worden gesteld en kan deze worden onderworpen aan:
- Boetes van de kaartmaatschappijen.
- Forensisch onderzoek.
- Uitgevende banken die de kosten van heruitgifte verhalen (met inbegrip van mogelijke fraudeverliezen en uitgaven voor fraudecontrole).
- Procesvoering.
- Overheidsboetes.
Sommige bekende bedrijven zijn het slachtoffer geworden van veelbesproken inbreuken die ook schade aan hun reputatie en merk hebben toegebracht. Als je PCI-compliant bent, is het veel minder waarschijnlijk dat je getroffen wordt door een inbreuk en veel minder waarschijnlijk dat bij een dergelijke inbreuk gevoelige informatie wordt gestolen, omdat er dan niets te stelen valt.
Alle hardware en software die Lightspeed Payments je biedt is PCI-compliant, maar er zijn bepaalde stappen die je moet nemen om er zeker van te zijn dat je verantwoord omgaat met gevoelige kaartinformatie.
Omgaan met gevoelige kaartinformatie
Hoewel kaartinformatie moet worden vastgelegd om een transactie te autoriseren, mag gevoelige kaartinformatie niet worden opgeslagen nadat autorisatie heeft plaatsgevonden. Bepaalde informatie mag worden opgeslagen als daar een geldige zakelijke reden voor is, zoals de naam van de kaarthouder of de vervaldatum van de kaart. Kaartinformatie die als gevoelig wordt beschouwd, mag echter nooit worden opgeslagen. De enige uitzondering op deze regel is het primaire rekeningnummer (PAN) op de voorkant van de kaart, dat alleen mag worden opgeslagen als het onleesbaar is gemaakt. Daarom kun je in Lightspeed alleen de laatste 4 cijfers van een creditcardnummer zien; de rest is onleesbaar gemaakt.
De volgende informatie op een creditcard wordt beschouwd als gevoelige informatie:
Richtlijnen voor het werken met gevoelige informatie
Als je met gevoelige kaartinformatie moet werken, zijn er stappen die je kunt nemen om het risico tot een minimum te beperken:
- Verstuur nooit onbeveiligde kaartnummers (PAN's) via berichttechnologieën (zoals e-mail, instant messaging, chat, sms, enz.).
- Toegangscontroles invoeren, zoals fysieke sloten of wachtwoorden, om de toegang te beperken tot degenen die dat absoluut nodig hebben.
- Toewijzing van een unieke identificatie (ID) aan elke persoon met toegang. Dit zorgt ervoor dat acties op kritieke gegevens en systemen worden uitgevoerd door, en kunnen worden herleid tot, bekende en bevoegde gebruikers.
- Bescherm apparaten die betaalkaartgegevens vastleggen via directe fysieke interactie met de kaart tegen manipulatie en vervanging. Dit omvat periodieke inspecties van het oppervlak van POS-apparaten om manipulatie op te sporen en training van personeel om op verdachte activiteiten te letten.
- Een formeel beveiligingsbewustzijnsprogramma uitvoeren om al het personeel bewust te maken van het belang van de beveiliging van kaarthoudergegevens.
- Potentieel personeel screenen vóór aanwerving om het risico op aanvallen van interne bronnen te minimaliseren. Aanbevolen screening omvat het controleren van hun eerdere arbeidsverleden, strafblad, kredietverleden en referenties.
Lightspeed neemt PCI-naleving serieus
Lightspeed onderneemt rigoureuze stappen om naleving van PCI DSS te handhaven. Onze technische benadering van beveiliging is ontworpen om zowel jou als je klanten te beschermen.
- Wij leveren uitsluitend PCI-conforme hardware en software en onderhouden een PCI-conform platform.
- Lightspeed is de vastgelegde ondernemer voor elke transactie. Wij handelen namens jou met de banken.
- Wij houden ons aan de toonaangevende PCI-normen om ons netwerk te beheren, onze web- en klanttoepassingen te beveiligen en beleidsregels voor onze hele organisatie vast te stellen.
- Het geïntegreerde betalingssysteem van Lightspeed biedt end-to-end-encryptie voor elke transactie op het verkooppunt en tokeniseert gegevens op het moment dat deze onze servers bereiken.
De wereld van PCI DSS is altijd in ontwikkeling en veranderingen in de vereisten kunnen van tijd tot tijd plaatsvinden. Lightspeed Payments blijft op de hoogte van alle veranderingen en houdt de sector in de gaten zodat jij dat niet hoeft te doen.
Voor meer informatie:
Het handhaven van PCI-naleving kan inhouden dat je regelmatig beoordelingen ondergaat en in de loop van een jaar documenten moet indienen, en dat je op de hoogte moet zijn en blijven van veranderingen in de sector. Lightspeed regelt dat allemaal voor jou, maar als je benieuwd bent naar wat dat inhoudt, vind je hieronder een kort overzicht. Als je genoegen neemt met de wetenschap dat wij het allemaal onder controle hebben, kun je het gedeelte Wat Lightspeed voor je doet gerust links laten liggen.
PCI-niveaus
De eerste stap om PCI-compliant te worden is vaststellen aan welk niveau van normen je moet voldoen. Er zijn vier niveaus, maar de drempels om onder een bepaald niveau te vallen kunnen per kaartmaatschappij verschillen. De niveaus en drempels voor de vier grote kaartmaatschappijen zijn als volgt:
| Visa | Mastercard | AMEX | Discover | |
|
Niveau 1 |
Geldt voor elke ondernemer:
|
Geldt voor elke ondernemer:
|
Geldt voor elke ondernemer:
|
Geldt voor elke ondernemer:
|
| Niveau 2 |
|
|
|
|
| Niveau 3 |
|
|
|
Alle andere ondernemers. |
| Niveau 4 |
|
Alle andere ondernemers. | N.v.t. | N.v.t. |
Zodra je hebt vastgesteld onder welk niveau je valt, kun je bepalen wat jouw vereisten zijn voor PCI-naleving.
Ondernemers die onder niveau 2, 3 en 4 vallen, moeten jaarlijks een zelfbeoordelingsvragenlijst (SAQ) invullen. De SAQ bestaat uit een reeks ja- of nee-vragen over de beveiligingsvereisten voor je bedrijf. Aangezien verschillende soorten bedrijven verschillende vereisten hebben, zijn er verschillende varianten van de SAQ. Raadpleeg de volgende tabel om te bepalen welke vragenlijst op jouw bedrijf van toepassing is:
| Vragenlijst | Hoe accepteer je creditcards? |
|
A |
Ondernemers 'kaart-niet-aanwezig' (e-commerce of post/telefoonbestelling) die alle kaarthoudergegevensfuncties volledig hebben uitbesteed aan door PCI DSS gevalideerde externe dienstverleners, zonder elektronische opslag, verwerking of overdracht van kaarthoudergegevens op de systemen of in de gebouwen van de ondernemer. Niet van toepassing op face-to-face kanalen. |
| A-EP | E-commerce-ondernemers die alle betalingsverwerking uitbesteden aan door PCI DSS gevalideerde derde partijen, en die (een) website(s) hebben die niet direct kaarthoudergegevens ontvangen, maar die de veiligheid van de betalingstransactie kunnen beïnvloeden. Geen elektronische opslag, verwerking of overdracht van kaarthoudergegevens op de systemen of in de gebouwen van de ondernemer. Alleen van toepassing op e-commerce kanalen. |
| B | Ondernemers die alleen het volgende gebruiken:
|
| B-IP | Ondernemers die alleen standalone, door PTS goedgekeurde betaalterminals gebruiken met een IP-verbinding met de betalingsverwerker, zonder opslag van elektronische kaarthoudergegevens. Niet van toepassing op e-commercekanalen. |
| C-VT | Ondernemers die handmatig één enkele transactie per keer via een toetsenbord invoeren in een op internet gebaseerde virtuele terminaloplossing die wordt geleverd en gehost door een door PCI DSS gevalideerde externe dienstverlener. Geen opslag van elektronische kaarthoudergegevens. Niet van toepassing op e-commercekanalen. |
| C | Ondernemers met betalingssystemen met internetverbinding, geen elektronische opslag van kaarthoudergegevens. Niet van toepassing op e-commercekanalen. |
| P2PE-HW | Ondernemers die alleen hardware betaalterminals gebruiken die zijn opgenomen in en worden beheerd via een gevalideerde, in de PCI SSC-lijst opgenomen P2PE-oplossing, zonder opslag van elektronische kaarthoudergegevens. Niet van toepassing op e-commercekanalen. |
| D | Alle ondernemers die niet in de beschrijvingen van de bovenstaande typen zijn opgenomen. |
Lightspeed Payments houdt zich aan de PCI-nalevingsvereisten van niveau 1. Dit omvat het indienen van jaarlijkse verslagen over de naleving (ROC's) en attesten van naleving (AOC's) en het uitvoeren van driemaandelijkse kwetsbaarheidsscans van het netwerk door een goedgekeurde scanleverancier (ASV), naast andere mogelijke vereisten.
De zorgvuldigheid waarmee Lightspeed Payments aan deze vereisten voldoet, betekent dat je als klant van Lightspeed Payments ook compliant bent.
OPMERKING: als je Lightspeed Restaurant gebruikt met een externe betalingsverwerker, moet je contact opnemen met die verwerker om je PCI-naleving te bespreken.
Meer informatie over PCI DSS vind je bij de PCI Security Standards Council, en je kunt de specifieke vereisten voor elk van de grote creditcardmaatschappijen op hun websites bekijken:
- American Express - www.americanexpress.com/datasecurity
- Discover - www.discovernetwork.com/fraudsecurity/disc.html
- JCB International - http://partner.jcbcard.com/security/jcbprogram
- MasterCard - www.mastercard.com/sdp
- Visa Inc. www.visa.com/cisp