Het beveiligen van creditcardinformatie is cruciaal voor je bedrijf. Je klanten rekenen erop dat je hun gegevens beschermt tegen diefstal en fraude en elke verwerkte transactie moet in overeenstemming zijn met de branchestandaarden om jou en je klanten te beschermen.

Wat is PCI-naleving?

De gegevensbeveiligingsnormen van de betaalkaartindustrie (PCI DSS) werden door de PCI Security Standards Council (SSC) opgesteld om de gegevens van de kaarthouder te beschermen. Elke ondernemer die kaarttransacties accepteert, moet zich aan deze normen houden om zaken te kunnen doen met creditcardmaatschappijen, banken en betalingsverwerkers.

Waarom is PCI-naleving zo belangrijk?

Als het systeem van de ondernemer gehackt wordt en gevoelige informatie wordt gestolen, kan de ondernemer aansprakelijk worden gesteld en onderworpen worden aan:

• boetes van de kaartmaatschappijen;
• forensisch onderzoek;
• uitgevende banken die de kosten van heruitgifte verhalen (met inbegrip van mogelijke fraudeverliezen en uitgaven voor fraudecontrole);
• procesvoering;
• overheidsboetes.

Bekende bedrijven die ooit zijn gehackt, hebben langdurige reputatieschade opgelopen, met als gevolg een lagere omzet en afgenomen consumentenvertrouwen.

PCI-naleving helpt je te beschermen tegen zulke aanvallen en zorgt ervoor dat jij en je bedrijf, in het geval van een beveiligingsschending, beschermd zijn. Als je bedrijf PCI-conform is, is de waarschijnlijkheid dat je slachtoffer wordt van een beveiligingsschending een stuk lager en is het nog onwaarschijnlijker dat een eventuele beveiligingsschending zal leiden tot diefstal van gevoelige informatie.

PCI-naleving handhaven

Alle hardware en software die Lightspeed Payments je biedt is PCI-conform, maar er zijn bepaalde stappen die je moet nemen om er zeker van te zijn dat je verantwoord omgaat met gevoelige informatie.

De gegevens die worden overgedragen bij een betaling moeten opgeslagen en versleuteld worden voor PCI-naleving. Als ondernemer kun je de gevoelige gegevens van de kaarthouders niet opslaan zonder deze te versleutelen. Dit heeft betrekking op het koppelen van creditcardnummers aan klantaccountprofielen en het opslaan van creditcardinformatie op een fysieke locatie, zoals een kladblok of memoblaadje.

Begrijpen wat als gevoelige informatie wordt gezien

De volgende informatie op een creditcard wordt beschouwd als gevoelige informatie:

1. Kaartnummer (PAN): Dit nummer mag worden opgeslagen als het versleuteld is. Doorgaans zijn alleen de laatste 4 cijfers zichtbaar als dit nummer is opgeslagen.
2. Vervaldatum: deze datum mag worden opgeslagen als daar een geldige bedrijfsreden voor is.
3. Naam van de kaarthouder: de klantnamen mogen worden opgeslagen als daar een geldige bedrijfsreden voor is.
4. CVV2: dit nummer mag nooit worden opgeslagen.

Richtlijnen voor het werken met gevoelige informatie

Als je met gevoelige kaartinformatie moet werken, zijn er stappen te ondernemen om het risico op een beveiligingsschending te beperken.

• Verstuur nooit onbeveiligde kaartnummers (PAN's) via berichttechnologieën (zoals e-mail, instant messaging, chat, sms, enz.).
• Toegangscontroles invoeren, zoals fysieke sloten of wachtwoorden, om de toegang te beperken tot degenen die dat absoluut nodig hebben.
• Toewijzing van een unieke identificatie (ID) aan elke persoon met toegang. Dit zorgt ervoor dat acties op kritieke gegevens en systemen worden uitgevoerd door, en kunnen worden herleid tot, bekende en bevoegde gebruikers.
• Bescherm apparaten die betaalkaartgegevens vastleggen via directe fysieke interactie met de kaart tegen manipulatie en vervanging. Dit omvat periodieke inspecties van het oppervlak van POS-apparaten om manipulatie op te sporen en training van personeel om op verdachte activiteiten te letten.
• Een formeel beveiligingsbewustzijnsprogramma uitvoeren om al het personeel bewust te maken van het belang van de beveiliging van kaarthoudergegevens.
• Potentieel personeel screenen vóór aanwerving om het risico op aanvallen van interne bronnen te minimaliseren. Aanbevolen screening omvat het controleren van hun eerdere arbeidsverleden, strafblad, kredietverleden en referenties.

Hoe Lightspeed je helpt om de PCI-naleving te handhaven

Lightspeed neemt PCI-naleving serieus en onderneemt rigoureuze stappen om de naleving van PCI DSS te handhaven. Onze technische beveiligingsaanpak is ontworpen om jou en je klanten te beschermen.

• Wij leveren uitsluitend PCI-conforme hardware en software en onderhouden een PCI-conform platform.
• Lightspeed is de vastgelegde ondernemer voor elke transactie. Wij handelen namens jou met de banken.
• Wij houden ons aan de toonaangevende PCI-normen om ons netwerk te beheren, onze web- en klanttoepassingen te beveiligen en beleidsregels voor onze hele organisatie vast te stellen.
• Het geïntegreerde betalingssysteem van Lightspeed biedt end-to-end-encryptie voor elke transactie op het verkooppunt en versleutelt de gegevens zodra ze op onze servers binnenkomen.

Daarnaast krijg je, wanneer je je voor het eerst aanmeldt bij Lightspeed Payments, de optie om je in te schrijven bij Viking Cloud; onze partner in de handhaving van PCI-naleving. Deze service is gratis voor alle Lightspeed Payments-gebruikers.

Het handhaven van PCI-naleving kan inhouden dat je regelmatig beoordelingen ondergaat en in de loop van een jaar documenten moet indienen, en dat je op de hoogte moet zijn en blijven van veranderingen in de sector. Lightspeed regelt dat allemaal voor jou, maar als je benieuwd bent naar wat dat inhoudt, vind je hieronder een kort overzicht.

• PCI-nalevingsniveaus

  De eerste stap om PCI-conform te worden, is vaststellen aan welk niveau van normen je moet voldoen. Er zijn vier niveaus, maar de drempels om onder een bepaald niveau te vallen kunnen per kaartmaatschappij verschillen. De niveaus en drempels voor de vier grote kaartmaatschappijen zijn als volgt voor ondernemers:

  Niveau	Visa	Mastercard	AMEX	Discover
  N1	6 miljoen of meer Visa-transacties per jaar verwerken. Waarvan de gegevens zijn gecompromitteerd door een beveiligingslek. Door Visa zijn vastgesteld als niveau 1.	6 miljoen of meer Mastercard-transacties per jaar verwerken. Waarvan de gegevens zijn gecompromitteerd door een beveiligingslek. Door Mastercard zijn vastgesteld als niveau 1. Voldoen aan de criteria van niveau 1 van Visa.	2,5 miljoen of meer AMEX-transacties per jaar verwerken. Door AMEX zijn vastgesteld als niveau 1.	6 miljoen of meer Discover-transacties per jaar verwerken. Door een ander merk of een verwerver als niveau 1 worden beschouwd. Door Discover zijn vastgesteld als niveau 1.
  N2	1 tot 6 miljoen Visa-transacties per jaar verwerken.	1 tot 6 miljoen Mastercard-transacties per jaar verwerken. Voldoen aan de criteria van niveau 2 van Visa.	50.000 tot 2,5 miljoen AMEX-transacties per jaar verwerken.	1 tot 6 miljoen Discover-transacties per jaar verwerken.
  N3	Tussen 20.000 en 1 miljoen Visa e-commercetransacties per jaar verwerken.	Tussen 20.000 en 1 miljoen Mastercard e-commercetransacties per jaar verwerken. Voldoen aan de criteria van niveau 3 van Visa.	Minder dan 50.000 AMEX-transacties per jaar verwerken.	Alle andere ondernemers.
  N4	Minder dan 20.000 Visa e-commercetransacties per jaar verwerken. Tot 1 miljoen Visa-transacties per jaar verwerken.	Alle andere ondernemers.	N.v.t.	N.v.t.

• PCI-nalevingsvereisten

  Zodra je hebt vastgesteld onder welk niveau je valt, kun je bepalen wat jouw vereisten zijn voor PCI-naleving.

  Ondernemers die onder niveau 2, 3 en 4 vallen, moeten jaarlijks een zelfbeoordelingsvragenlijst (SAQ) invullen. De SAQ bestaat uit een reeks ja/nee-vragen over de beveiligingsvereisten voor je bedrijf. Aangezien verschillende soorten bedrijven verschillende vereisten hebben, zijn er verschillende varianten van de SAQ.

  Raadpleeg de volgende tabel om te bepalen welke vragenlijst van toepassing is op je bedrijf:

  Vragenlijst	Hoe accepteer je creditcards?	Opmerking
  A	Ondernemers 'kaart-niet-aanwezig' (e-commerce of post/telefoonbestelling) die alle kaarthoudergegevensfuncties volledig hebben uitbesteed aan door PCI DSS gevalideerde externe dienstverleners, zonder elektronische opslag, verwerking of overdracht van kaarthoudergegevens op de systemen of in de gebouwen van de ondernemer.	Niet van toepassing op persoonlijke kanalen.
  A-EP	E-commerce-ondernemers die alle betalingsverwerking uitbesteden aan door PCI DSS gevalideerde derde partijen, en die (een) website(s) hebben die niet direct kaarthoudergegevens ontvangen, maar die de veiligheid van de betalingstransactie kunnen beïnvloeden. Geen elektronische opslag, verwerking of overdracht van kaarthoudergegevens op de systemen of in de gebouwen van de ondernemer.	Alleen van toepassing op e-commercekanalen.
  B	Ondernemers die alleen het volgende gebruiken: Afdrukmachines zonder elektronische opslag van kaarthoudergegevens; en/of Standalone, uitbelterminals zonder opslag van elektronische kaarthoudergegevens.	Niet van toepassing op e-commercekanalen.
  B-IP	Ondernemers die alleen standalone, door PTS goedgekeurde betaalterminals gebruiken met een IP-verbinding met de betalingsverwerker, zonder opslag van elektronische kaarthoudergegevens.	Niet van toepassing op e-commercekanalen.
  C-VT	Ondernemers die handmatig één enkele transactie per keer via een toetsenbord invoeren in een op internet gebaseerde virtuele terminaloplossing die wordt geleverd en gehost door een door PCI DSS gevalideerde externe dienstverlener. Geen opslag van elektronische kaarthoudergegevens.	Niet van toepassing op e-commercekanalen.
  C	Ondernemers met betalingssystemen met internetverbinding, geen elektronische opslag van kaarthoudergegevens.	Niet van toepassing op e-commercekanalen.
  P2PE-HW	Ondernemers die alleen hardwarebetaalterminals gebruiken die zijn inbegrepen in en worden beheerd via een gevalideerde, in de PCI SSC-lijst opgenomen P2PE-oplossing, zonder opslag van elektronische kaarthoudergegevens.	Niet van toepassing op e-commercekanalen.
  D	Alle ondernemers die niet in de beschrijvingen van de bovenstaande typen zijn opgenomen.

• Lightspeed Payments en hardware-naleving

  Lightspeed Payments houdt zich aan de PCI-nalevingsvereisten van niveau 1. Dit omvat het indienen van jaarlijkse verslagen over de naleving (ROC's) en attesten van naleving (AOC's) en het uitvoeren van driemaandelijkse kwetsbaarheidsscans van het netwerk door een goedgekeurde scanleverancier (ASV), naast andere mogelijke vereisten.

  Alle hardware en software die Lightspeed Payments je biedt is PCI-conform, maar er zijn bepaalde stappen die je moet nemen om er zeker van te zijn dat je verantwoord omgaat met gevoelige kaartinformatie.

• PCI DSS-vereisten

  Als bedrijf dat creditcards accepteert, ben je verplicht een PCI DSS-zelfbeoordelingsvragenlijst (SAQ) te voltooien om aan te tonen dat informatiebeveiliging de hoogste prioriteit heeft. De gegevensbeveiligingsnormen van de betaalkaartindustrie (PCI DSS) zijn cruciaal om klanten te beschermen tegen identiteitsdiefstal en creditcardfraude.

  Het kader voor PCI-naleving is een set standaarden die door een samenwerkingsverband van de grootste creditcardaanbieders is geïmplementeerd om ervoor te zorgen dat alle ondernemers gegevens veilig verwerken, opslaan en verzenden. Het verplicht je ook om jaarlijkse beoordelingen of rapporten in te dienen waaruit blijkt dat je beveiligingsmaatregelen in orde zijn.

  Als je gebruik maakt van een externe betalingsverwerker, dien je contact met deze op te nemen om je PCI-naleving te bespreken.

  Meer informatie over PCI DSS vind je bij de PCI Security Standards Council, en je kunt de specifieke vereisten voor elk van de grote creditcardmaatschappijen op hun websites bekijken:

  • American Express
  • Discover
  • JCB International
  • MasterCard
  • Visa Inc

Wat nu?