Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS

PCI DSS: Creditcard-naleving

Startpagina Woordenlijst PCI DSS: Creditcard-naleving

Als jouw bedrijf creditcardtransacties verwerkt en niet PCI DSS-compliant is, moet je verder lezen om mogelijke juridische gevolgen te voorkomen.

PCI DSS is de Payment Card Industry Data Security Standard. Het beschermt creditcardgebruikers door te eisen dat handelaren aan bepaalde criteria voldoen om creditcardtransacties binnen hun bedrijf te verwerken.

PCI DSS: Creditcard-naleving

Wat is PCI DSS-naleving?

De Payment Card Industry Data Security Standard (PCI DSS) is een informatiebeveiligingsraamwerk dat is ontwikkeld, gepubliceerd en beheerd door de Payment Card Industry Security Standards Council. PCI DSS regelt expliciet de beveiliging rondom creditcardtransacties en andere vormen van kaartbetalingen (credit-gedekte debetkaarten, online aankopen, enzovoort).

De PCI Council, opgericht door American Express, Discover Financial Services, JCB International, Visa en Mastercard, beheert informatiebeveiliging in de steeds veranderende betaalverwerkingssector.

Nu creditcard- en online betalingen de norm zijn geworden in de afgelopen decennia, is de PCI Council opgericht om technische en compliance-maatregelen te adresseren die handelaren en betaalverwerkers kunnen implementeren om klantgegevens te beschermen, diefstal en fraude te voorkomen en het consumentenvertrouwen in creditcardbetalingen te behouden.

PCI DSS is geen wettelijke vereiste om betalingen te verwerken. In plaats daarvan wordt het ingesteld door de PCI Council op verzoek van de grote creditcardmaatschappijen. Deze aanbieders controleren de betalingsnetwerken en hebben zeggenschap over de vereiste waaraan een handelaar of betaalverwerker moet voldoen om deze netwerken te mogen gebruiken. Handelaren of andere verwerkers die PCI DSS niet volgen, kunnen te maken krijgen met steeds strengere sancties of zelfs volledig hun mogelijkheid verliezen om creditcards als betaalmiddel te accepteren.

PCI DSS 4.0-naleving: Wat is er nieuw?

PCI DSS 4.0 introduceert belangrijke wijzigingen die invloed hebben op creditcard-naleving voor bedrijven die kaartbetalingen verwerken. De bijgewerkte standaard legt de nadruk op een flexibelere en meer op maat gemaakte aanpak van naleving, waardoor organisaties beveiligingsmaatregelen kunnen afstemmen op hun specifieke omgeving. Ook worden de vereisten voor multi-factor authentication, encryptie en continue monitoring van systemen aangescherpt om de beveiliging van creditcardverwerking te verbeteren.

Bovendien verplicht PCI DSS 4.0 tot grondigere testprocedures, waaronder kwetsbaarheidsscans en penetratietesten, om een robuuste naleving van betaalkaartnormen te waarborgen. Bedrijven die PCI DSS-compliant willen blijven, moeten op de hoogte blijven van deze nieuwe richtlijnen om kaarthoudergegevens effectief te beschermen en zware boetes bij niet-naleving te voorkomen.

Wat zijn PCI-niveaus en hoe beïnvloeden ze audits?

Alle handelaren of betaalverwerkers die creditcardbetalingen willen accepteren, moeten een Report on Compliance hebben dat de naleving aantoont. Het Report on Compliance is jaarlijks vereist via nalevingsaudits. Audits zijn onderzoeken die intern of door een Qualified Security Assessor (QSA), geregistreerd en gecertificeerd door de PCI Council, worden uitgevoerd. Of een bedrijf een externe audit of een interne audit moet ondergaan, hangt af van de beoordeling van de organisatie volgens PCI-criteria.

De vier nalevingsniveaus zijn gebaseerd op de hoeveelheid transacties die jaarlijks wordt gepubliceerd en zijn als volgt:

  • Niveau 4: Het laagste niveau, handelaren op niveau 4 verwerken minder dan 20.000 transacties per jaar.
  • Niveau 3: Op dit niveau verwerken handelaren tussen de 20.000 en 1 miljoen transacties.
  • Niveau 2: Op niveau 2 verwerken handelaren tussen de 1 en 6 miljoen transacties per jaar.
  • Niveau 1: De grootste retailers en handelaren, niveau 1 is van toepassing op handelaren die meer dan 6 miljoen transacties per jaar verwerken.

Handelaren op niveau 1 zijn verplicht externe beoordelingen door QSAs te ondergaan. Degenen op niveau 2, 3 en 4 kunnen echter een zelfevaluatie uitvoeren, samen met een Self-Assessment Questionnaire. Handelaren op niveau 3 en hoger die een beveiligingsincident meemaken, kunnen tijdelijk aan de vereisten van hogere niveaus moeten voldoen.

Wat zijn de 12 vereisten van PCI DSS?

De kern van naleving is het voldoen aan 12 primaire vereisten. Deze vereisten zijn als volgt:

  1. Gebruik firewalls: Een IT-perimeter moet beschikken over een geschikte beveiligingsfirewall om ongeautoriseerde toegang te voorkomen. Naleving vereist dat handelaren en verwerkers firewalls implementeren en onderhouden.
  2. Wachtwoordbeveiliging: Organisaties moeten beschikken over veilige en conforme identity & access management en/of beveiligde toegangstools om te bepalen hoe gebruikers met hun infrastructuur omgaan. Dit omvat het beschermen van wachtwoorden en het implementeren van formele rolgebaseerde toegangscontrole.
  3. Bescherm kaarthoudergegevens: Organisaties moeten encryptie en cryptografie toepassen om gebruikersgegevens in rust en onderweg te beschermen.
  4. Versleutelen van verzonden gegevens: Handelaren moeten specifiek alle betaalinformatie die over netwerken wordt verzonden, versleutelen en gegevens mogen nooit naar een onbekende locatie worden gestuurd.
  5. Gebruik anti-malwaresoftware: Hoewel anti-malware altijd nuttig is, vereist PCI DSS anti-malware op betaalapparaten, point-of-sale (POS)-systemen of elke infrastructuur die betaal- of klantinformatie bevat.
  6. Correct bijgewerkte software: Firewalls, anti-malware en andere systeemsoftware of firmware moeten regelmatig worden bijgewerkt.
  7. Beperk gegevens­toegang: Handelaren moeten logische beperkingen instellen tegen ongeautoriseerde toegang tot gegevens. Dit omvat beperkte toegang van buiten de organisatie tot gesegmenteerde toegang intern.
  8. Unieke toegangs-ID’s: Elke gebruiker die toegang heeft tot betaalinformatie moet een unieke en veilige ID hebben voor authenticatie, autorisatie en monitoring.
  9. Beperk fysieke toegang: Naast digitale toegangsbeperking wordt van handelaren verwacht dat zij fysieke toegang tot systemen met betaalinformatie monitoren en beperken. Dit betekent het beveiligen van datacenters en werkplekken, het monitoren van toegang op alle apparaten en het gebruik van camera’s en beveiligingskeypads om verantwoording te waarborgen.
  10. Onderhoud logs van toegang: Elke interactie met betaalinformatie moet toestemming van het systeem of een leidinggevende omvatten. PCI DSS vereist echter dat bedrijven loggingtools implementeren om alle gebruikersactiviteiten, inclusief gegevens­toegang, te volgen.
  11. Implementeer kwetsbaarheidsscans en penetratietesten: Naleving omvat regelmatige kwetsbaarheidsscans en penetratietesten om zwakke plekken op te sporen.
  12. Gebruik documentatie: Naast loggingtools moet een compliant bedrijf ook documentatiebeleid hebben. Dit omvat het documenteren van beleid en procedures rondom naleving, upgrades en storingen.

Wat zijn de sancties voor niet-naleving van PCI DSS?

Het is belangrijk om te weten dat PCI DSS geen wettelijke vereiste is om zaken te doen. Het is echter wel een vereiste om creditcardbetalingen te accepteren.

PCI DSS-sancties zelf worden niet gepubliceerd of openbaar gemaakt, maar niet-naleving (vooral datalekken die daaruit voortvloeien) kan leiden tot zware boetes.

Sancties kunnen het volgende omvatten:

  • Boetes tussen $5.000 en $100.000 per maand bij herhaalde overtredingen. Grotere, niveau 1-handelaren met aanzienlijke problemen kunnen meer toezicht en hogere boetes verwachten.
  • Schade aan de merchant account. Een bedrijf kan het moeilijk of duur vinden om creditcardbetalingen te blijven accepteren vanwege hogere kosten of een risicoprofiel.
  • Opschorting of verlies van betaalverwerking. Kaartmaatschappijen kunnen besluiten dat de overtreding van de regels ernstig genoeg is om het volledige verlies van privileges te rechtvaardigen.

Wat zijn de voordelen en beste practices voor PCI DSS-naleving?

Handelaren die werken aan het behalen of behouden van hun naleving kunnen een aantal beste practices volgen:

  • Gebruik een PCI-conforme aanbieder voor betaalverwerking: Wanneer een bedrijf zijn eigen verwerking niet uitvoert om goederen of diensten te verkopen, is de beste eerste stap om samen te werken met een conforme aanbieder. Aanbieders zoals Square of PayPal kunnen zelfs kleinere bedrijven eenvoudige en veilige betaalverwerking bieden.
  • Gebruik PCI-conforme bestandsoverdracht en opslag: Bedrijven die wél hun eigen betaalverwerking uitvoeren, wordt geadviseerd om conforme bestandsoverdrachtdiensten te gebruiken. Leveranciers die conforme documentmanagementdiensten bieden, bestandsoverdrachtfuncties zoals PCI-conforme managed file transfer of secure file transfer protocol, en beveiligde e-mail, kunnen naleving vereenvoudigen en ervoor zorgen dat bedrijfs- en IT-leiders zich kunnen richten op belangrijkere zaken.
  • Neem training en informatie over naleving op: Helaas is de zwakste schakel in de meeste beveiligings- en nalevingssystemen de mens, grotendeels door een gebrek aan kennis van protocollen. Een compliant bedrijf moet grondige, volledige en continu ontwikkelende opleidingsprogramma’s hebben om teamleden te ondersteunen en hen te leren hoe ze de organisatie binnen de regelgeving houden.
  • Voer regelmatige beveiligingstests en monitoring uit: Elk bedrijf dat klantcreditgegevens verwerkt of opslaat, moet ook een regelmatig testprogramma hebben. Dit omvat continue monitoring, kwetsbaarheidsscans en penetratietesten. Jaarlijkse tests, minimaal, ondersteunen de naleving.

Vooruitdenken naar PCI DSS 4.0-naleving

Hoewel veel organisaties denken dat zij niet verantwoordelijk zijn voor naleving, zorgt de opkomst van online winkelen en e-commerce, waar creditcardbetalingen dominant zijn, ervoor dat steeds meer organisaties zich verdiepen in PCI-vereisten.

Wil je meer weten over PCI DSS 4.0-naleving en hoe cloudtechnologie jouw PCI DSS-nalevingsinspanningen kan ondersteunen? Meld je dan aan voor een korte demo van het Kiteworks-platform en ontdek hoe het al jouw contentcommunicatie samenbrengt, volgt, beheert en beveiligt.

 

Terug naar Risk & Compliance Woordenlijst

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo
Share
Tweet
Share
Explore Kiteworks