De gegevensbeveiligingsnormen van de betaalkaartenbranche (PCI DSS, Payment Card Industry Data Security Standards) werden vastgesteld door de raad voor beveiligingsnormen (SSC, Security Standards Council) van de PCI om gegevens van kaarthouders te beschermen. Elke winkelier die kaarttransacties accepteert moet voldoen aan deze normen om zaken te kunnen doen met de creditcardmaatschappijen, banken en betalingsverwerkers.

In het geval dat er inbreuk wordt gemaakt op het systeem van een eigenaar of dat het wordt gehackt en gevoelige informatie wordt gestolen, kan de betreffende eigenaar aansprakelijk worden gesteld en onderworpen worden aan:

• Boetes van de kaartmaatschappijen.
• Forensisch onderzoek.
• Uitgevende banken die kosten voor heruitgifte inhouden (waaronder mogelijke verliezen als gevolg van fraude en kosten voor fraudebewaking).
• Procesvoering.
• Boetes van de overheid.

Een aantal bekende bedrijven heeft geleden onder veelvuldig gepubliceerde inbreuken, welke ook tot reputatie- en merkschade hebben geleid. Als je conform bent met PCI heb je minder kans dat je te maken krijgt met een inbreuk en nog minder kans dat bij een dergelijke inbreuk gevoelige informatie wordt gestolen, omdat die informatie niet aanwezig is.

Alle hardware en software die Lightspeed Payments aan jou verstrekt, is conform PCI, hoewel je bepaalde stappen moet zetten om te zorgen dat je verantwoord omgaat met gevoelige kaartinformatie.

Omgaan met gevoelige kaartinformatie

Hoewel kaartinformatie moet worden vastgelegd om een transactie te autoriseren, mag gevoelige kaartinformatie niet worden bewaard nadat een dergelijke autorisatie heeft plaatsgevonden. Bepaalde informatie mag worden bewaard als daar een geldige bedrijfsreden voor is, zoals de naam van de kaarthouder of de vervaldatum van de kaart. Kaartinformatie die als gevoelig wordt beschouwd kan echter nooit worden bewaard. De enige uitzondering op deze regel is het primaire rekeningnummer (PAN) op de voorkant van de kaart. Dit mag uitsluitend worden bewaard als het onleesbaar is gemaakt. Om deze reden kun je uitsluitend de 4 laatste cijfers van een creditcardnummer bekijken in Lightspeed. De rest van de cijfers is onleesbaar gemaakt.

De volgende informatie op een creditcard wordt als gevoelige informatie beschouwd:

1. Creditkaartnummer (PAN). Dit nummer mag worden opgeslagen als het maar onleesbaar is. Gewoonlijk zijn alleen de laatste vier cijfers zichtbaar wanneer dit nummer wordt opgeslagen.
2. Vervaldatum. Mag worden opgeslagen als daar een geldige zakelijke reden voor is.
3. Naam van de kaarthouder. Mag worden opgeslagen als daar een geldige zakelijke reden voor is.
4. CVV2. Dit nummer mag nooit worden opgeslagen. 

Richtlijnen voor het werken met gevoelige informatie

Als je met gevoelige kaartinformatie moet werken, zijn er stappen die je kunt zetten om het risico te minimaliseren:

• Verstuur nooit onbeschermde kaartnummers (PAN's) via berichtentechnologieën (bijvoorbeeld e-mail, instant messaging, chat, sms, enz.)
• Implementeer maatregelen omtrent toegangsbeheer, zoals fysieke sloten of wachtwoorden om toegang te beperken tot personen die deze absoluut nodig hebben.
• Wijs een unieke identificatie (ID) toe aan iedere persoon met toegang. Dit zorgt ervoor dat acties met kritieke gegevens en systemen worden ondernomen door, en kunnen worden teruggeleid naar, bekende en bevoegde gebruikers.
• Bescherm apparaten die betaalkaartgegevens vastleggen via directe fysieke interactie met de kaart tegen vervalsing en vervanging. Hieronder vallen periodieke inspecties van POS-apparaatoppervlakken om vervalsing te detecteren en training van personeel, zodat medewerkers verdachte activiteiten kunnen herkennen.
• Implementeer een formeel veiligheidsbewustwordingsprogramma om al het personeel bewust te maken van het belang van de beveiliging van gegevens van kaarthouders.
• Screen potentiële personeelsleden voordat je ze aanneemt om het risico op aanvallen door interne bronnen te minimaliseren. Aanbevolen screening omvat het controleren van hun arbeidsverleden, of ze al dan niet een strafblad hebben, hun kredietgeschiedenis en referenties.

Hoe Lightspeed je helpt PCI-conform te blijven

Lightspeed neemt rigoureuze stappen om te blijven voldoen aan PCI DSS. Onze technische benadering van beveiliging is ontwikkeld om zowel jou als je klanten te beschermen.

• We leveren uitsluitend hardware en software aan die PCI-conform zijn en onderhouden een PCI-conform platform. 
• Lightspeed is de officiële eigenaar voor elke transactie. Wij handelen namens jou alles af met de banken.
• We voldoen aan toonaangevende PCI-normen om ons netwerk te beheren, onze web- en cliëntapplicaties te beveiligen en beleid op te stellen voor onze organisatie.
• Het geïntegreerde betalingssysteem van Lightspeed biedt end-to-end-versleuteling voor elke transactie op het verkooppunt en zet gegevens om in tokens op het moment dat deze onze servers bereiken.

De wereld van PCI DSS is voortdurend in ontwikkeling en dus kunnen wijzigingen in de vereisten van tijd tot tijd noodzakelijk zijn. Lightspeed Payments blijft goed op de hoogte van wijzigingen en houdt de sector in de gaten, zodat jij dat niet hoeft te doen.

Het behouden van PCI-compliance kan periodieke beoordelingen en het invullen van documenten gedurende het jaar omvatten, evenals je bewust worden van en bijblijven met wijzigingen in de branche. Lightspeed neemt dit alles op zich, maar als je graag meer wilt weten over wat dit inhoudt, kun je het korte overzicht hieronder raadplegen.

• De eerste stap naar PCI-compliance is het identificeren van het niveau van de normen waaraan je moet voldoen. Er zijn vier niveaus, maar de drempels die bepalen dat je onder een bepaald niveau valt kunnen variëren per kaartprovider. De niveaus en drempels voor de vier grootste kaartbedrijven luiden als volgt:

  Niveau	Visa	Mastercard	AMEX	Discover
  1	meer dan 6 miljoen Visa-transacties per jaar verwerkt. te maken heeft gehad met een beveiligingsinbreuk waarbij gegevens openbaar zijn gemaakt op basis van vaststelling door Visa onder Niveau 1 valt.	meer dan 6 miljoen Mastercard-transacties per jaar verwerkt. te maken heeft gehad met een beveiligingsinbreuk waarbij gegevens openbaar zijn gemaakt op basis van vaststelling door Mastercard onder Niveau 1 valt. voldoet aan de criteria voor Niveau 1 van Visa.	ten minste 2,5 miljoen AMEX-transacties per jaar verwerkt. op basis van vaststelling door AMEX onder Niveau 1 valt.	ten minste 6 miljoen Discover-transacties per jaar verwerkt. als Niveau 1 wordt beschouwd door een ander merk of een andere verkrijger. op basis van vaststelling door Discover onder Niveau 1 valt.
  2	1 tot 6 miljoen Visa-transacties per jaar verwerkt.	1 tot 6 miljoen Mastercard-transacties per jaar verwerkt. voldoet aan de criteria voor Niveau 2 van Visa.	50.000 tot 2,5 miljoen AMEX-transacties per jaar verwerkt.	tussen de 1 en 6 miljoen Discover-transacties per jaar verwerkt.
  3	tussen de 20.000 en 1 miljoen e-commercetransacties van Visa per jaar verwerkt.	tussen de 20.000 en 1 miljoen e-commercetransacties van Mastercard per jaar verwerkt. voldoet aan de criteria voor Niveau 3 van Visa.	minder dan 50.000 AMEX-transacties per jaar verwerkt.	Alle andere eigenaren.
  4	minder dan 20.000 e-commercetransacties van Visa per jaar verwerkt. tot maximaal 1 miljoen Visa-transacties per jaar verwerkt.	Alle andere eigenaren.	N.v.t.	N.v.t.

• Zodra je het niveau waaronder je valt hebt geïdentificeerd, kun je je vereisten voor PCI-compliance bepalen.

  Eigenaren die onder niveaus 2, 3 en 4 vallen zijn verplicht om een jaarlijkse vragenlijst voor zelfbeoordeling in te vullen (self-assessment questionnaire, SAQ). De SAQ bestaat uit een reeks ja/nee-vragen die gaan over de beveiligingsvereisten van jouw bedrijf. Omdat verschillende soorten bedrijven verschillende vereisten hebben, zijn er meerdere varianten van de SAQ.

  Raadpleeg de volgende tabel om te bepalen welke vragenlijst op jouw bedrijf van toepassing is:

  Vragenlijst	Op welke manier aanvaard jij creditcards?	Opmerking
  A	Kaart-niet-aanwezig-eigenaren (e-commerce, telefonische bestelling of bestelling per mail) die alle gegevensfuncties van kaarthouders hebben uitbesteed aan PCI-DSS-gevalideerde, externe serviceproviders, zonder elektronische opslag, verwerking of overdracht van kaarthoudergegevens op de systemen of locaties van de eigenaar.	Niet van toepassing op face-to-face-kanalen.
  A-EP	E-commerce-eigenaren die alle betalingsverwerking uitbesteden aan PCI DSS-erkende derden en die een website (of websites) heeft waarop niet rechtstreeks kaarthoudergegevens worden ontvangen, maar waarmee de beveiliging van de betalingstransactie wel kan worden beïnvloed. Geen elektronische opslag, verwerking of overdracht van kaarthoudergegevens op de systemen of locaties van de eigenaar.	Uitsluitend van toepassing op e-commercekanalen.
  B	Eigenaren die uitsluitend gebruikmaken van: stempelmachines zonder elektronische opslag van kaarthoudergegevens; en/of onafhankelijke, uitbel-terminals zonder elektronische opslag van kaarthoudergegevens.	Niet van toepassing op e-commercekanalen.
  B-IP	Eigenaren die uitsluitend gebruikmaken van onafhankelijke, PTS-gecertificeerde betaalterminals met een IP-verbinding met de betalingsverwerker, zonder elektronische opslag van kaarthoudergegevens.	Niet van toepassing op e-commercekanalen.
  C-VT	Eigenaren die elke transactie handmatig via een toetsenbord invoeren in een virtuele internetterminaloplossing die wordt geleverd en beheerd door een externe PCI DSS-erkende serviceprovider. Geen elektronische opslag van kaarthoudergegevens.	Niet van toepassing op e-commercekanalen.
  C	Eigenaren met betalingsapplicatiesystemen die zijn verbonden met het internet, geen elektronische opslag van kaarthoudergegevens.	Niet van toepassing op e-commercekanalen.
  P2PE-HW	Eigenaren die uitsluitend gebruikmaken van hardwarebetaalterminals die zijn inbegrepen bij en worden beheerd door een erkende PCI SSC-vermelde P2PE-oplossing, zonder elektronische opslag van kaarthoudergegevens.	Niet van toepassing op e-commercekanalen.
  D	Alle eigenaren die niet zijn opgenomen in de beschrijvingen voor de bovenstaande typen.

• Lightspeed Payments voldoet aan de vereisten van Niveau 1 voor PCI-compliance. Dit omvat onder meer het invullen van jaarlijkse rapporten over compliance (reports on compliance, ROC's) en verklaringen van compliance (attestations of compliance, AOC's) en het uitvoeren van driemaandelijkse netwerkkwetsbaarheidsscans door een erkende leverancier van scans (approved scanning vendor, ASV) en andere mogelijke vereisten.

  Alle hardware en software die Lightspeed Payments aan jou verstrekt, is conform PCI, hoewel je bepaalde stappen moet zetten om te zorgen dat je verantwoord omgaat met gevoelige kaartinformatie.

• Als bedrijf dat creditcards accepteert, moet je een PCI DSS Self-Assessment Questionnaire (SAQ) invullen om aan te tonen dat informatiebeveiliging een topprioriteit is. De Payment Card Industry Data Security Standards (PCI DSS) zijn van essentieel belang voor de bescherming van consumenten tegen identiteitsdiefstal en creditcardfraude.

  Het PCI-compliance-kader is een reeks normen die door het consortium van grote creditcardmaatschappijen zijn ingevoerd om ervoor te zorgen dat alle eigenaren gegevens veilig verwerken, opslaan en verzenden. Ook moet je jaarlijks een beoordeling of rapport indienen waarin je bevestigt dat je de beveiliging onder controle hebt.

  Als je gebruik maakt van een externe betalingsverwerker, moet je contact opnemen met die verwerker om je PCI-compliance te bespreken.

  Je vindt meer informatie over PCI DSS via de raad voor beveiligingsnormen (SSC) van de PCI. Je kunt de specifieke vereisten voor elk van de grootste creditcardmaatschappijen terugvinden op de betreffende websites:

  • American Express
  • Discover
  • JCB International
  • MasterCard
  • Visa Inc

Wat nu?