PCI-compliance: wat is het en wat moet je weten?

Helen Huyton is Merchant Data Security Analyst bij Adyen. Ze duikt met ons in de wereld van PCI-compliance. Wat moet je hierover weten en hoe word je snel en gemakkelijk compliant?

Disclaimer: Dit artikel is een richtlijn en moet niet worden gebruikt als definitief voorschrift. Consulteer altijd met je acquirer of een Payment Card Industry Data Security Standards (PCI DSS) Qualified Security Assessor (QSA) voor meer duidelijkheid. De hieronder gegeven adviezen zijn het relevantste voor bedrijven die minder dan 6 miljoen transacties per jaar doen.

Naarmate de wereldbevolking groeit, neemt ook de hoeveelheid data die elke dag verwerkt wordt toe. Om even wat schaal aan te brengen, van alle wereldwijde data werd 90% vorig jaar gegenereerd, en het gaat alleen maar sneller. Dit is een fascinerend gegeven en interessant voor de toekomst, daar de omvang van deze gegevens alleen maar zal toenemen.

Volgens PCI SSC (internationale beveiligingsstandaard) zijn de gemiddelde kosten voor een datalek 3,8 miljoen dollar. Als groeiend bedrijf is het daarom belangrijk om te weten hoe je met de beveiliging van cruciale klantgegevens om moet gaan. Toch kan het lastig zijn om je te uitgebreid te verdiepen in datalekken, en lijkt tijd beter besteedt aan groei en andere successen.

Maar een datalek kan grote gevolgen hebben. Wanneer consumenten jouw bedrijf niet vertrouwen, word je daar hard op afgerekend. Daarom is het belangrijk om zorgvuldig met de gegevens van kaarthouders om te gaan. Gelukkig kan dat in een aantal simpele stappen.

In dit artikel bespreken we hoe belangrijk het is om als groeiend bedrijf gegevensbeveiliging serieus te nemen. We laten je de stappen zien die je kunt nemen om jouw databeveiliging waterdicht te maken, ook op de lange termijn.


PCI in een notendop: Wat is de PCI-compliance en wat kun jij doen?

Wat is PCI-compliance?

  • Naam: Payment Card Industry Data Security Standards (PCI DSS).
  • Ogericht door: Payment Card Industry Security Standards Council (PCI SSC).
  • Goal: Prevent the theft of cardholder details.

Wat kun jij doen?

Om compliant te worden, moet je je aan richtlijnen houden die van toepassing zijn op jouw bedrijf. Deze zijn opgesteld door PCI DSS. Daarnaast zul je een aantal formulieren in moeten vullen. Om erachter te komen welke richtlijnen voor jou van toepassing zijn, kun je gebruik maken van de ‘Self Assessment Questionnaire A (ook wel: SAQ A).

De basis van SAQ A bestaat uit drie best practices, op het gebied van beveiliging, die belangrijk zijn om te volgen.

  1. Gebruik geen vooraf ingestelde gebruikersnamen of wachtwoorden en vermijd standaardinstellingen.
  2. Gebruik sterke wachtwoorden en unieke gebruikers-ID's. Wachtwoorden moeten minimaal 7 karakters hebben (cijfers, letters en speciale karakters).
  3. Blijf op de hoogte van nieuwe software-updates zodra ze uitkomen.

Hoe kunnen wij jouw bedrijf helpen?

Please note that you have to complete the SAQ A yourself but we’re always here to help guide you in the right direction when it comes to compliance and filling in these forms. Feel free to get in touch using our contact form and check out our PCI FAQ.

Het SAQ A formulier kunnen wij helaas niet voor je invullen, maar we helpen je graag in de goede richting. Heb je vragen over compliance of de formulieren? Neem dan contact met ons op of check de PCI FAQ.


Een korte introductie: PCI DSS

Om de gegevens van kaarthouders te beschermen, fraude te beperken en de kans op een datalek (bijvoorbeeld door een cyberaanval) te verkleinen, implementeerde PCI SSC een aantal technische en operationele richtlijnen. Deze gelden voor bedrijven die gegevens van kaarthouders verzamelen, verwerken, opslaan, of verzenden, en worden ook wel PCI DSS (Payment Card Industry Data Security Standards) genoemd.

Ieder bedrijf dat kaartbetalingen accepteert moet voldoen aan de standaarden van PCI DSS. Ook al is PCI DSS niet opgenomen in de wet, de standaard geldt toch overal ter wereld.

Ieder bedrijf moet jaarlijks voldoen aan PCI DSS door een officieel validatie-document in te vullen. Organisaties die niet aan deze vereisten voldoen, kunnen flinke boetes krijgen. \

Wanneer je PCI-compliant bent, wordt de kans op een datalek door een cyberaanval klein. Maar mocht je als bedrijf toch te maken krijgen met een cyberaanval dan kunnen cardschemes PCI-boetes aanzienlijk verlagen, of zelfs kwijtschelden, wanneer je kunt aantonen dat je alles hebt gedaan om PCI DSS-compliant te worden.

Word PCI DSS-compliant in 7 stappen

1. Beoordeel de gegevensstroom van kaarthouders

Maak een uitgebreid diagram waarin je de stroom van gegevens van kaarthouders in beeld brengt. Dit geldt ook ook applicaties, systemen en mensen die met kaartgegevens werken (inclusief serviceproviders). Je kunt dit diagram maken met behulp van jouw IT-team.

2. Beoordeel je omgeving

Identificeer mensen, processen en technologieën die de veiligheid van gegevens van kaarthouders eventueel zouden kunnen beïnvloeden. Meer informatie vind je hier.

3. Beoordeel de huidige situatie

Beoordeel jouw huidige niveau van PCI-naleving volgens SAQ A. Degene die de beoordeling doet, moet wel voldoende kennis in huis hebben over jouw bedrijf en de omgeving waarin jullie werken.

4. Wijzig waar nodig

Misschien kom je erachter dat jouw bedrijf niet aan alle criteria voldoet. Neem dan de tijd om noodzakelijke beveiligingsverbeteringen door te voeren.

5. Vul de zelfevaluatievragenlijst (SAQ) A in

Dit formulier kan alleen ingevuld en ondertekend worden door een professional op het gebied van beveiliging. Jouw Chief Security Officer of Chief Technology Officer is bijvoorbeeld bevoegd.

6. Dien het document in bij Adyen

Het ingevulde formulier kun je bij ons indienen.

7. Stel continue monitoring in

Zorg ervoor dat je het hele jaar toezicht blijft houden op je beveiliging en de naleving daarvan. PCI DSS is namelijk niet een eenmalige toetsing, maar een continu proces.

Een veilige website voor veilige data

Wanneer een cybercrimineel ongevraagd toegang tot jouw website krijgt, kan deze de klant gemakkelijk misleiden. De attacker kan bijvoorbeeld andere content maken voor de drop-in of een IFrame plaatsen over jouw bestaande IFrame. In deze gevallen kunnen betalingen nog steeds voltooid worden, maar er wordt dan ongemerkt een kopie van de gegevens van kaarthouders naar de attacker gestuurd.

Om het risico op deze ongewenste situaties te verkleinen, is het belangrijk om de vereisten, zoals uiteengezet in SAQ A, te implementeren.

Het formulier voor PCI invullen

Misschien is het in eerste instantie nogal overweldigend, maar de stappen die je moet nemen, zijn helemaal niet ingewikkeld. Een van de laatste stappen is het invullen van een zelfevaluatievragenlijst. Het is goed om dit als eerste te doen, want je betalingsprovider kan dit niet voor je doen.

Afhankelijk van de integratie hebben we verschillende documenten nodig. Als je al klant bent van Adyen kun je hierover meer lezen in onze documentatie. Daar vind je een volledig overzicht van de formulieren die je tijdens jouw integratie in moet vullen. Als jouw bedrijf jaarlijks minder dan 6 miljoen transacties per regio verwerkt, dan kom volstaat het om een SAQ in te vullen.

Waarschijnlijk staat met de honderd-en-één dingen op de to-do list voor jouw bedrijf PCI-compliance niet helemaal bov ernaan. Maar compliant zijn is helemaal niet zo moeilijk. Wij bieden verschillende encryptie oplossingen (de versleuteling) en een veilig PCI-compliant platform.

Op deze manier heb je geen toegang tot de raw data. Dat wil zeggen, de niet-versleutelde gegevens van kaarthouders zijn in jouw systeem niet toegankelijk . Zo is het gemakkelijker om te voldoen aan PCI DSS, en verklein je de kans op een datalek significant.

De volgende stap voor PCI

We wachten nu op de nieuwe versie van PCI (versie 4) die later dit jaar wordt uitgebracht. Zoals altijd houden wij alle wijzigingen en updates op het gebied van compliance-richtlijnen nauwgezet in de gaten. We werken uitgebreid samen met alle betrokken partijen om de wereld van betalingen veiliger te maken.

Lees verder

PCI DSS compliance guide

Alles wat je moet weten over PCI compliance staat in onze documentatiegids.

Lees de gids

Over de auteur: Helen Huyton helpt klanten met haar expertise over PCI DSS in risico's minimaliseren, informeren over welke documenten er nodig zijn, en klanten te helpen om te voldoen aan de standaarden om PCI compliant te zijn.



Are you looking for test card numbers?

Would you like to contact support?