PCI-naleving - KamilTaylan.blog
24 juni 2021 21:22

PCI-naleving

Wat is PCI-naleving?

Naleving van de betaalkaartindustrie (PCI) wordt opgelegd door PCI Security Standards Council.

Belangrijkste leerpunten

  • Bedrijven die de Payment Card Industry Data Security Standards (PCI DSS) volgen en behalen, worden als PCI-compatibel beschouwd.
  • De PCI Security Standards Council is verantwoordelijk voor het ontwikkelen van de PCI DSS.
  • PCI DSS heeft 12 hoofdvereisten, 78 basisvereisten en 400 testprocedures om ervoor te zorgen dat organisaties PCI-compatibel zijn.
  • PCI-compliant zijn, vermindert datalekken, beschermt de gegevens van kaarthouders, voorkomt boetes en verbetert de merkreputatie.
  • PCI-naleving is niet wettelijk verplicht, maar wordt op grond van een precedent van de rechtbank als verplicht beschouwd.

Inzicht in PCI-compliance

De precedent van de rechtbank als verplicht beschouwd.

Over het algemeen is PCI-compliance een kerncomponent van het beveiligingsprotocol van elk creditcardbedrijf. Het wordt over het algemeen opgelegd door creditcardmaatschappijen en besproken in creditcardnetwerkovereenkomsten.

De PCI Standards Council is verantwoordelijk voor de ontwikkeling van de standaarden voor PCI-compliance. Deze standaarden zijn van toepassing op de verwerking door verkopers en zijn ook uitgebreid om vereisten voor belangrijke entiteiten die ook worden geassocieerd met standaardisering in de creditcardindustrie zijn The Card Association Network en het National Automated Clearing House (NACHA).

Vereisten voor PCI-naleving

PCI-nalevingsnormen vereisen dat verkopers en andere bedrijven creditcardgegevens op een veilige manier behandelen, zodat de kans kleiner wordt dat kaarthouders gevoelige financiële rekeninginformatie gestolen worden. Als handelaren creditcardgegevens niet verwerken volgens de PCI-normen, kan de kaartinformatie worden gehackt en voor een groot aantal frauduleuze acties worden gebruikt. Bovendien kan gevoelige informatie over de kaarthouder worden gebruikt bij  identiteitsfraude.

PCI-compliant zijn, betekent dat u zich consequent houdt aan een reeks richtlijnen die zijn opgesteld door de PCI Standards Council. PCI-conformiteit wordt geregeld door de PCI Standards Council, een organisatie die in 2006 is opgericht met als doel de beveiliging van creditcards te beheren.

De door de Raad ontwikkelde eisen staan ​​bekend als de Payment Card Industry Data Security Standards (PCI DSS). PCI DSS heeft 12 hoofdvereisten, 78 basisvereisten en meer dan 400 testprocedures. De richtlijnen worden ook beschouwd als best practices op het gebied van beveiliging. De 12 belangrijkste vereisten zijn onder meer:

  1. Implementeer firewalls om gegevens te beschermen
  2. Passende wachtwoordbeveiliging
  3. Bescherm kaarthoudergegevens
  4. Versleuteling van verzonden kaarthoudergegevens
  5. Gebruik antivirussoftware
  6. Update software en onderhoud beveiligingssystemen
  7. Beperk de toegang tot gegevens van kaarthouders
  8. Unieke ID’s toegewezen aan mensen met toegang tot gegevens
  9. Beperk fysieke toegang tot gegevens
  10. Creëer en controleer toegangslogboeken
  11. Test beveiligingssystemen regelmatig
  12. Maak een beleid dat is gedocumenteerd en dat kan worden gevolgd

De meest recente versie van PCI DSS is uitgebracht in mei 2018 en wordt versie 3.2.1 genoemd. Over het algemeen schetsen de zes doelstellingen en 12 vereisten een reeks stappen die creditcardverwerkers voortdurend moeten volgen. Bedrijven wordt eerst gevraagd om hun netwerken en systemen te beoordelen, die betrekking hebben op de informatietechnologie-infrastructuur, bedrijfsprocessen en creditcardafhandelingsprocedures.

Voordelen van PCI-compliance

Voortdurend onderhoud en beoordeling van eventuele hiaten in de beveiliging zijn ook erg belangrijk om de diefstal van gevoelige kaarthouderinformatie, zoals  socialezekerheids  en rijbewijsnummers, waar mogelijk te voorkomen.

Bedrijven zijn verplicht om regelmatig nalevingsrapporten te verstrekken als onderdeel van hun kaartverwerkingsovereenkomsten. Monitoring, beoordelingen en audits van de gegevensbeveiligingsnormen van de betaalkaartindustrie vormen allemaal een belangrijk onderdeel van de beveiligingsafdeling van een bedrijf.

Alle bedrijven die creditcardgegevens verwerken, zijn verplicht om PCI-naleving te handhaven zoals voorgeschreven door hun kaartverwerkingsovereenkomsten. PCI-compliance is de industriestandaard en zaken zonder deze kunnen leiden tot aanzienlijke boetes voor het overtreden van overeenkomsten en nalatigheid. Zonder PCI-compliance zijn bedrijven ook zeer kwetsbaar voor diefstal, fraude en datalekken.

95%

Het percentage cybersecurity inbreuken dat wordt veroorzaakt door menselijke fouten.

De voordelen van compliance zijn onder meer het verminderde risico op datalekken, het beschermen van kaarthoudergegevens, waardoor kansen op identiteitsdiefstal worden vermeden. Het is een goede gewoonte voor bedrijven om compliant te zijn, aangezien het eventuele boetes in verband met datalekken vermindert, de merkreputatie van een bedrijf ten goede komt, klanten tevreden en zeker houdt dat ze zaken doen met een verantwoordelijk bedrijf, wat leidt tot merkloyaliteit.

In de eerste helft van 2020 waren er 36 miljard records blootgelegd door datalekken.86 procent van de inbreuken was financieel gemotiveerd en aangezien de wereldwijde markt voor informatiebeveiliging in 2020 naar verwachting 170 miljard dollar zal bereiken, is het financiële risico zelfs nog groter. Het beschermen van kaarthoudergegevens is niet alleen goed voor het bedrijf, maar is ook de juiste keuze om ervoor te zorgen dat mensen niet negatief worden geschaad of financieel verlies lijden.

PCI-naleving en datalekken

PCI-compliance helpt frauduleuze activiteiten te voorkomen en datalekken te beperken. Verizon geeft een jaarlijkse beoordeling van de betalingsveiligheid in zijn “Verizon Payment Security Report”. Het rapport van 2019 wijdt een hele sectie aan PCI DSS, genaamd “The state of PCI DSS compliance, 2019: And 12 key requirements.” Enkele PCI DSS-hoogtepunten uit het “Verizon 2019 Betalingsbeveiligingsrapport” zijn onder meer:

  • 36,7% van de organisaties onderhield actief PCI DSS-programma’s in 2018.
  • De regio Azië-Pacific deed het beter dan Amerika, Europa, het Midden-Oosten en Afrika.
  • Vanuit brancheperspectief blijft hospitality wat achter bij andere sectoren.

Veelgestelde vragen over PCI-naleving

Wat betekent PCI-compatibel?

PCI-compatibel betekent dat elk bedrijf of elke organisatie die de privégegevens van kaarthouders accepteert, verzendt of opslaat, voldoet aan de verschillende veiligheidsmaatregelen die zijn uiteengezet door de PCI Security Standard Council om ervoor te zorgen dat de gegevens veilig en privé worden bewaard.

Is PCI-naleving wettelijk vereist?

Er is geen regelgevend mandaat dat PCI-naleving vereist, maar het wordt door een precedent van de rechtbank als verplicht beschouwd.

Hoe kom ik aan PCI-compliant?

Om PCI-compliant te worden, moet u eerst bepalen welke zelfbeoordelingsvragenlijst u moet volgen om compliant te worden. Nadat u de vragenlijst hebt voltooid, moet u een doorgaande kwetsbaarheidsscan invullen en bewaren bij een PCI SSC Approved Scanning Vendor. Scannen is slechts van toepassing op enkele verkopers. U moet dan het attest van overeenstemming invullen. De laatste stap is het indienen van alle bovenstaande informatie.

Wie moet PCI-compatibel zijn?

Elk bedrijf of elke organisatie die de privégegevens van kaarthouders accepteert, verzendt of opslaat.

Het komt neer op

PCI-compliance verwijst naar de technische en operationele normen die zijn opgesteld door de PCI Security Standards Council en die organisaties moeten implementeren en onderhouden. Het doel om PCI-compliant te zijn, is om kaarthoudergegevens te beschermen en is van toepassing op elke organisatie die die gegevens accepteert, verzendt of opslaat. PCI-compliant zijn is een goede bedrijfspraktijk omdat het de veiligheid van consumentengegevens voorop stelt en ook een organisatie ten goede komt door een positieve merkreputatie.