Hoi, hoe kunnen we je helpen?

Over PCI-compliance

De gegevensbeveiligingsnormen van de betaalkaartenbranche (PCI DSS, Payment Card Industry Data Security Standards) werden vastgesteld door de raad voor beveiligingsnormen (SSC, Security Standards Council) van de PCI om gegevens van kaarthouders te beschermen. Elke winkelier die kaarttransacties accepteert moet voldoen aan deze normen om zaken te kunnen doen met de creditcardmaatschappijen, banken en betalingsverwerkers.

In het geval dat er inbreuk wordt gemaakt op het systeem van een eigenaar of dat het wordt gehackt en gevoelige informatie wordt gestolen, kan de betreffende eigenaar aansprakelijk worden gesteld en onderworpen worden aan:

  • Boetes van de kaartmaatschappijen.
  • Forensisch onderzoek.
  • Uitgevende banken die kosten voor heruitgifte inhouden (waaronder mogelijke verliezen als gevolg van fraude en kosten voor fraudebewaking).
  • Procesvoering.
  • Boetes van de overheid.

Een aantal bekende bedrijven heeft geleden onder veelvuldig gepubliceerde inbreuken, welke ook tot reputatie- en merkschade hebben geleid. Als je conform bent met PCI heb je minder kans dat je te maken krijgt met een inbreuk en nog minder kans dat bij een dergelijke inbreuk gevoelige informatie wordt gestolen, omdat die informatie niet aanwezig is.

Alle hardware en software die Lightspeed Payments aan jou verstrekt, is conform PCI, hoewel je bepaalde stappen moet zetten om te zorgen dat je verantwoord omgaat met gevoelige kaartinformatie.

Omgaan met gevoelige kaartinformatie

Hoewel kaartinformatie moet worden vastgelegd om een transactie te autoriseren, mag gevoelige kaartinformatie niet worden bewaard nadat een dergelijke autorisatie heeft plaatsgevonden. Bepaalde informatie mag worden bewaard als daar een geldige bedrijfsreden voor is, zoals de naam van de kaarthouder of de vervaldatum van de kaart. Kaartinformatie die als gevoelig wordt beschouwd kan echter nooit worden bewaard. De enige uitzondering op deze regel is het primaire rekeningnummer (PAN) op de voorkant van de kaart. Dit mag uitsluitend worden bewaard als het onleesbaar is gemaakt. Om deze reden kun je uitsluitend de 4 laatste cijfers van een creditcardnummer bekijken in Lightspeed. De rest van de cijfers is onleesbaar gemaakt.

De volgende informatie op een creditcard wordt als gevoelige informatie beschouwd:

Screen_Shot_2019-01-28_at_11.39.16_AM.png

Richtlijnen voor het werken met gevoelige informatie

Als je met gevoelige kaartinformatie moet werken, zijn er stappen die je kunt zetten om het risico te minimaliseren:

  • Verstuur nooit onbeschermde kaartnummers (PAN's) via berichtentechnologieën (bijvoorbeeld e-mail, instant messaging, chat, sms, enz.)
  • Implementeer maatregelen omtrent toegangsbeheer, zoals fysieke sloten of wachtwoorden om toegang te beperken tot personen die deze absoluut nodig hebben.
  • Wijs een unieke identificatie (ID) toe aan iedere persoon met toegang. Dit zorgt ervoor dat acties met kritieke gegevens en systemen worden ondernomen door, en kunnen worden teruggeleid naar, bekende en bevoegde gebruikers.
  • Bescherm apparaten die betaalkaartgegevens vastleggen via directe fysieke interactie met de kaart tegen vervalsing en vervanging. Hieronder vallen periodieke inspecties van POS-apparaatoppervlakken om vervalsing te detecteren en training van personeel, zodat medewerkers verdachte activiteiten kunnen herkennen.
  • Implementeer een formeel veiligheidsbewustwordingsprogramma om al het personeel bewust te maken van het belang van de beveiliging van gegevens van kaarthouders.
  • Screen potentiële personeelsleden voordat je ze aanneemt om het risico op aanvallen door interne bronnen te minimaliseren. Aanbevolen screening omvat het controleren van hun arbeidsverleden, of ze al dan niet een strafblad hebben, hun kredietgeschiedenis en referenties.

Lightspeed neemt PCI-compliance serieus

Lightspeed neemt rigoureuze stappen om te blijven voldoen aan PCI DSS. Onze technische benadering van beveiliging is ontwikkeld om zowel jou als je klanten te beschermen.

  • We leveren uitsluitend hardware en software aan die PCI-conform zijn en onderhouden een PCI-conform platform.  
  • Lightspeed is de officiële eigenaar voor elke transactie. Wij handelen namens jou alles af met de banken.
  • We voldoen aan toonaangevende PCI-normen om ons netwerk te beheren, onze web- en cliëntapplicaties te beveiligen en beleid op te stellen voor onze organisatie.
  • Het geïntegreerde betalingssysteem van Lightspeed biedt end-to-end-versleuteling voor elke transactie op het verkooppunt en zet gegevens om in tokens op het moment dat deze onze servers bereiken.

De wereld van PCI DSS is voortdurend in ontwikkeling en dus kunnen wijzigingen in de vereisten van tijd tot tijd noodzakelijk zijn. Lightspeed Payments blijft goed op de hoogte van wijzigingen en houdt de sector in de gaten, zodat jij dat niet hoeft te doen.

Voor meer informatie:

Het behouden van PCI-compliance kan periodieke beoordelingen en het invullen van documenten gedurende het jaar omvatten, evenals je bewust worden van en bijblijven met wijzigingen in de branche. Lightspeed neemt dit alles op zich, maar als je graag meer wilt weten over wat dit inhoudt, kun je het korte overzicht hieronder raadplegen. Als je genoegen neemt met het feit dat wij dit voor je regelen, kun je het gedeelte Wat Lightspeed voor je doet gerust negeren.

  • PCI-niveaus

    De eerste stap naar PCI-compliance is het identificeren van het niveau van de normen waaraan je moet voldoen. Er zijn vier niveaus, maar de drempels die bepalen dat je onder een bepaald niveau valt kunnen variëren per kaartprovider. De niveaus en drempels voor de vier grootste kaartbedrijven luiden als volgt:

      Visa Mastercard AMEX Discover

    Niveau 1

    Is van toepassing op iedere eigenaar die:

    • meer dan 6 miljoen Visa-transacties per jaar verwerkt.
    • te maken heeft gehad met een beveiligingsinbreuk waarbij gegevens openbaar zijn gemaakt.
    • op basis van vaststelling door Visa onder Niveau 1 valt.

    Is van toepassing op iedere eigenaar die:

    • meer dan 6 miljoen Mastercard-transacties per jaar verwerkt.
    • te maken heeft gehad met een beveiligingsinbreuk waarbij gegevens openbaar zijn gemaakt.
    • op basis van vaststelling door Mastercard onder Niveau 1 valt.
    • voldoet aan de criteria voor Niveau 1 van Visa.

    Is van toepassing op iedere eigenaar die:

    • ten minste 2,5 miljoen AMEX-transacties per jaar verwerkt.
    • op basis van vaststelling door AMEX onder Niveau 1 valt.

    Is van toepassing op iedere eigenaar die:

    • ten minste 6 miljoen Discover-transacties per jaar verwerkt.
    • als Niveau 1 wordt beschouwd door een ander merk of een andere verkrijger.
    • op basis van vaststelling door Discover onder Niveau 1 valt.
     
    Niveau 2
    • 1 tot 6 miljoen Visa-transacties per jaar verwerkt.
    • 1 tot 6 miljoen Mastercard-transacties per jaar verwerkt.
    • voldoet aan de criteria voor Niveau 2 van Visa.
    • 50.000 tot 2,5 miljoen AMEX-transacties per jaar verwerkt.
    • tussen de 1 en 6 miljoen Discover-transacties per jaar verwerkt.
    Niveau 3
    • tussen de 20.000 en 1 miljoen e-commercetransacties van Visa per jaar verwerkt.
    • tussen de 20.000 en 1 miljoen e-commercetransacties van Mastercard per jaar verwerkt.
    • voldoet aan de criteria voor Niveau 3 van Visa.
    • minder dan 50.000 AMEX-transacties per jaar verwerkt.
    Alle andere eigenaren.
    Niveau 4
    • minder dan 20.000 e-commercetransacties van Visa per jaar verwerkt.
    • tot maximaal 1 miljoen Visa-transacties per jaar verwerkt.
    Alle andere eigenaren. N.v.t. N.v.t.

    Zodra je het niveau waaronder je valt hebt geïdentificeerd, kun je je vereisten voor PCI-compliance bepalen.

    Eigenaren die onder niveaus 2, 3 en 4 vallen zijn verplicht om een jaarlijkse vragenlijst voor zelfbeoordeling in te vullen (self-assessment questionnaire, SAQ). De SAQ bestaat uit een reeks ja/nee-vragen die gaan over de beveiligingsvereisten van jouw bedrijf. Omdat verschillende soorten bedrijven verschillende vereisten hebben, zijn er meerdere varianten van de SAQ. Raadpleeg de volgende tabel om te bepalen welke vragenlijst op jouw bedrijf van toepassing is:

    Vragenlijst Op welke manier aanvaard jij creditcards?

    A

    Kaart-niet-aanwezig-eigenaren (e-commerce, telefonische bestelling of bestelling per mail) die alle gegevensfuncties van kaarthouders hebben uitbesteed aan PCI-DSS-gevalideerde, externe serviceproviders, zonder elektronische opslag, verwerking of overdracht van kaarthoudergegevens op de systemen of locaties van de eigenaar. Niet van toepassing op face-to-face-kanalen.
    A-EP E-commerce-eigenaren die alle verwerkingen van betalingen uitbesteden aan PCI DSS-erkende derden en die een website (of websites) heeft waarop niet rechtstreeks kaarthoudergegevens worden ontvangen, maar waarmee de beveiliging van de betalingstransactie wel kan worden beïnvloed. Geen elektronische opslag, verwerking of overdracht van kaarthoudergegevens op de systemen of locaties van de eigenaar. Uitsluitend van toepassing op e-commercekanalen.
    B Eigenaren die uitsluitend gebruikmaken van:
    • stempelmachines zonder elektronische opslag van kaarthoudergegevens; en/of
    • onafhankelijke, uitbel-terminals zonder elektronische opslag van kaarthoudergegevens.
    Niet van toepassing op e-commercekanalen.
    B-IP Eigenaren die uitsluitend gebruikmaken van onafhankelijke, PTS-gecertificeerde betaalterminals met een IP-verbinding met de betalingsverwerker, zonder elektronische opslag van kaarthoudergegevens. Niet van toepassing op e-commercekanalen.
    C-VT Eigenaren die elke transactie handmatig via een toetsenbord invoeren in een virtuele internetterminaloplossing die wordt geleverd en beheerd door een externe PCI DSS-erkende serviceprovider. Geen elektronische opslag van kaarthoudergegevens. Niet van toepassing op e-commercekanalen.
    C Eigenaren met betalingsapplicatiesystemen die zijn verbonden met het internet, geen elektronische opslag van kaarthoudergegevens. Niet van toepassing op e-commercekanalen.
    P2PE-HW Eigenaren die uitsluitend gebruikmaken van hardwarebetaalterminals die zijn inbegrepen bij en worden beheerd door een erkende PCI SSC-vermelde P2PE-oplossing, zonder elektronische opslag van kaarthoudergegevens. Niet van toepassing op e-commercekanalen.
    D Alle eigenaren die niet zijn opgenomen in de beschrijvingen voor de bovenstaande typen.

    Lightspeed Payments voldoet aan de vereisten van Niveau 1 voor PCI-compliance. Dit omvat onder meer het invullen van jaarlijkse rapporten over compliance (reports on compliance, ROC's) en verklaringen van compliance (attestations of compliance, AOC's) en het uitvoeren van driemaandelijkse netwerkkwetsbaarheidsscans door een erkende leverancier van scans (approved scanning vendor, ASV) en andere mogelijke vereisten.

    De toewijding van Lightspeed Payments aan het voldoen aan deze vereisten, betekent dat jij als een klant van Lightspeed Payments hier ook aan voldoet.

    LET OP: als je gebruikmaakt van Lightspeed Retail met een externe betalingsverwerker, moet je contact opnemen met de betreffende verwerker om jouw PCI-compliance te bespreken.

    Je vindt meer informatie over PCI DSS via de raad voor beveiligingsnormen (SSC) van de PCI. Je kunt de specifieke vereisten voor elk van de grootste creditcardmaatschappijen terugvinden op de betreffende websites:

Was dit artikel nuttig?

Aantal gebruikers dat dit nuttig vond: 1 van 1