Tim Haver Droeze
Maak je voor je zakelijke betalingen veel gebruik van creditcards? Dan heb je vast al weleens de term ‘PCI-compliant’ gehoord.
Tim Haver DroezeMaar wat betekent het nu eigenlijk en is dat ook voor jouw zakelijke creditcards van belang?
De afkorting PCI staat voor Payment Card Industry. Het verwijst eigenlijk naar de onderlinge afspraken tussen verschillende grote partijen in de creditcardindustrie. De voorwaarden waaraan een PCI-compliant creditcard moet voldoen, werden in 2006 vastgesteld. De grote partijen die hiertoe het initiatief namen waren VISA, American Express, JCB International en Discover.
Het doel hierbij was om de data van de gebruiker van de creditcard zo veel mogelijk te beschermen en de veiligheid van de transacties zo veel mogelijk te waarborgen. De verantwoordelijkheid van die bescherming ligt dus in eerste instantie en voor een groot deel bij de creditcard aanbieders.
Het is voor een creditcardbedrijf belangrijk om PCI-compliant te zijn. Dit draagt bij aan het vertrouwen dat de consument heeft tijdens het gebruik van de creditcards. Als gebruiker van de creditcard is het een geruststellend idee dat er alles aan gedaan is om de gegevens van hem of haar als kaarthouder zo veel mogelijk te beschermen.
Het maakt bij het toepassen van alle beveiligingsnormen niet uit hoeveel transacties er per jaar zijn. Ook de hoogte van de verwerkte bedragen heeft daarop geen invloed. Het is dus altijd van toepassing op het moment dat een bedrijf creditcardgegevens verwerkt, opslaat en verzendt.
De regels zijn dus niet alleen in het belang van de aanbieders, maar ook bedoeld als bescherming van de consument. Als je gebruik maakt van een creditcard dan wil je zeker weten dat je persoonlijke gegevens en de transacties die je doet, veilig zijn.
Een aanbieder van een creditcard is PCI-compliant als er aan een aantal opgestelde voorwaarden is voldaan.
Deze voorwaarden hebben voornamelijk betrekking op de beveiligingsnormen voor het verwerken van de data bij transacties. Op het moment dat je deze voorwaarden toepast en creditcards aanbiedt die aan deze voorwaarden voldoen, ben je als uitgever van creditcards dus PCI-compliant.
Het onderhoud en de ontwikkeling van de PCI Data Security Standard (PCI DSS) is in handen van de . Dit orgaan heeft een groot aantal voorwaarden opgesteld waaraan een bedrijf moet voldoen om PCI-compliant te zijn.
Er zijn twaalf hoofdvereisten, aangevuld met achtenzeventig basisvereisten. Daarnaast is er nog eens sprake van vierhonderd testprocedures. Met dit uitgebreide pakket probeert de industrie datalekken te voorkomen. Het leidt tevens tot een betere bescherming van de gegevens van de kaarthouder.
De twaalf hoofdvereisten die de industrie heeft vastgesteld voor het veilig gebruik van creditcards zijn de volgende:
1. Het gebruik van firewalls voor het beschermen van gevoelige informatie en gegevens.
2. Sterke wachtwoordbeveiliging toepassen.
3. De gegevens van de kaarthouders optimaal beschermen.
4. Het versleuteld verzenden van kaarthoudergegevens via netwerken. De beveiliging van de gegevens van de kaarthouder zijn het meest belangrijk. Dit betekent dat er versleuteling van de gegevens plaatsvindt tijdens iedere transactie.
5. Zorgen voor antivirussoftware die ook nog eens regelmatig geüpdatet wordt.
6. Het beveiligingssysteem bijwerken, patchen en onderhouden.
7. Een beperkte toegang verlenen tot gevoelige kaarthoudergegevens.
8. Werken met unieke identificatiefactoren voor de personen die toegang hebben tot de gegevens.
9. Het beperken van de mogelijkheid van fysieke toegang tot gegevens van de kaarthouders.
10. Het maken en beheren van toegangslogboeken.
11. Regelmatig testen op de kwetsbaarheid van het systeem.
12. Het uitvoeren van risicobeoordelingen en deze documenteren.
Tot slot is een veelgebruikte beveiligingstechniek de zogeheten tokenisatie technologie. Tijdens het gebruik krijgt de betreffende creditcard een unieke token, waardoor deze kaart niet meer te identificeren is. Ook de gegevens zijn dan niet meer herleidbaar naar een bepaalde creditcard. Een andere veiligheidsmaatregel bestaat uit het gebruik van speciale servers die gevoelige informatie op een verantwoorde en veilige manier opslaan.
Al deze beveiligingsmaatregelen maken het voor hackers moeilijk om de gevoelige informatie van de creditcards te ontcijferen.
De mogelijke nadelige gevolgen van het niet voldoen aan de gestelde beveiligingsnormen, zijn voor een creditcardaanbieder groot. Ze zijn dan kwetsbaarder voor aanvallen van hackers en daarbij is er minder vertrouwen in de aanbieder. Zowel bij andere financiële instellingen zoals banken, als bij de consument.
Het is dus niet alleen voor de gebruiker van de creditcard van belang om vertrouwen in de aanbieder te hebben. Het is voor de aanbieder ook belangrijk om aan te tonen dat ze een volledig beveiligde creditcard aanbieden.
Er zijn geen wettelijke regels die bepalen dat een creditcardaanbieder PCI-compliant moet zijn. Toch hechten de financiële instellingen wereldwijd veel waarde aan het volgen van de opgestelde richtlijnen. Mocht er een datalek voorkomen dan is de PCI Security Standards Council gerechtigd om hiervoor een flinke boete uit te delen.
Dat is niet verwonderlijk gezien het feit dat het wereldwijd om heel veel transacties gaat en bovendien om gevoelige, persoonlijke informatie.
Om aan te tonen dat een creditcardbedrijf PCI-compliant is, moet het een jaarlijkse Self-Assessment Questionnaire (SAQ) invullen. Naast deze vragenlijst vindt er ook een kwartaalcontrole plaats om te zien of het bedrijf de PCI-beveiligingsscan kan doorstaan.
In de SAQ staan onder andere vragen die betrekking hebben op de aanwezige beveiligingsniveaus. In verschillende categorieën wordt beoordeeld hoe de creditcardgegevens van klanten door een bedrijf worden verwerkt.
Overweeg je een zakelijke creditcard in eigen beheer uit te geven? De PCI-compliant Circula Creditcard zorgt ervoor dat transacties met virtuele en fysieke VISA-creditcards automatisch worden omgezet in declaraties in de Circula app. Dit maakt het boekhoudproces gemakkelijker, omdat de boekhoudafdeling alleen nog maar de bon hoeft toe te voegen aan de automatisch gegenereerde declaraties in de app.
Kortom, ben je op zoek naar een zakelijke PCI-compliant creditcard waarmee je medewerkers eenvoudig en veilig kunnen betalen? Neem contact met ons op om de toepassingsmogelijkheden te bespreken. Of vraag aan.
