Iedereen die creditcardbetalingen doet, moet zich houden aan PCI DSS – en kan boetes krijgen als ze niet slagen
PCI DSS is een cyberbeveiligingsstandaard die wordt ondersteund door alle grote creditcard- en betalingsverwerkingsbedrijven en die erop is gericht creditcard- en bankpasnummers veilig te houden. PCI DSS staat voor Payment Card Industry Data Security Standard. De standaard, die wordt beheerd door de Payment Card Industry Security Standards Council, stelt cyberbeveiligingscontroles en zakelijke praktijken vast die elk bedrijf dat creditcardbetalingen accepteert, moet implementeren. Bedrijven kunnen aantonen dat ze de standaard hebben geïmplementeerd door te voldoen aan de rapportagevereisten die in de standaard zijn vastgelegd; die organisaties die niet aan de eisen voldoen, of die de norm schenden, kunnen een boete krijgen.
Waar wordt PCI DSS voor gebruikt?
Creditcard- en bankpasnummers zijn waarschijnlijk de meest waardevolle cijfers achter elkaar: iedereen die er toegang toe heeft, kan onmiddellijk frauduleuze aankopen doen en geld van gebruikersaccounts halen. Omdat banken en andere creditcarduitgevers hun klanten in deze situaties over het algemeen terugbetalen, hebben zij er belang bij dat de creditcardnummers veilig blijven terwijl ze door het economische ecosysteem worden overgedragen.
De PCI Security Standards Council is opgericht door deze spelers uit de branche om ervoor te zorgen dat transacties met creditcardnummers zo veilig mogelijk zijn. De Raad stelt verschillende beveiligingsnormen vast die organisaties in verschillende bedrijfstakken moeten toepassen: PCI PTS dekt bijvoorbeeld fabrikanten van op PIN gebaseerde apparaten en PCI PA-DSS regelt softwareontwikkelaars die code schrijven die kaarthoudergegevens beheert.
Op wie is PCI DSS van toepassing?
PCI DSS is de meest uiteenlopende norm van de Raad. Het is van toepassing op ‘elke entiteit die kaarthoudergegevens opslaat, verwerkt en / of doorgeeft’, wat betekent dat elke organisatie die creditcardbetalingen accepteert – dat wil zeggen vrijwel elke organisatie die iets verkoopt of donaties accepteert – zich moet houden aan de standaard.
Naleving van PCI DSS vormt een basis van beveiliging en is zeker geen garantie tegen hacking. Zoals we zullen zien, kan compliance behoorlijk complex zijn en het is moeilijk om met zekerheid te zeggen dat elk aspect van de beveiliging van een organisatie 100% van de tijd compliant is. Sommigen hebben betoogd dat de creditcard- en betalingsbedrijven die deel uitmaken van de PCI Security Standards Council, PCI DSS gebruiken om de beveiligingstaken en de financiële last van inbreuken op de detailhandelaars te schuiven.
Wanneer is PCI DSS verplicht geworden?
PCI DSS-naleving werd verplicht met de uitrol van versie 1.0 van de standaard op 15 december 2004. (PCI DSS 3.2 is de huidige versie van de standaard en 4.0 is in de maak.) Maar we moeten hier even pauzeren om te praten over wat we betekenen in deze context “verplicht”. PCI DSS is een beveiligingsstandaard, geen wet. Naleving ervan wordt verplicht gesteld door de contracten die handelaren ondertekenen met de kaartmerken (Visa, MasterCard, enz.) En met de banken die hun betalingsverwerking daadwerkelijk afhandelen. www.123creditcardvergelijk.nl online kopen.
En, zoals we zullen zien, wordt voor de meeste bedrijven naleving van de norm bereikt door zelfgerapporteerde vragenlijsten in te vullen. Voor die handelaren wordt PCI DSS-naleving achteraf vooral ‘verplicht’: als er een inbreuk optreedt die kan worden herleid tot het niet correct implementeren van de standaard, kan de handelaar worden gesanctioneerd door hun betalingsverwerkers en de kaartmerken. Van verkopers kan worden verlangd dat ze een beoordeling ondergaan (en betalen) om ervoor te zorgen dat ze hun beveiliging hebben verbeterd, die we later in dit artikel in meer detail zullen bespreken; mogelijk moeten zij ook boetes betalen. Van zeer grote bedrijven kan worden verlangd dat zij door derden uitgevoerde beoordelingen ondergaan, ook al hebben zij geen inbreuk geleden. Viabuy is bekend.
PCI DSS boetes
Wanneer verkopers een contract ondertekenen met een betalingsverwerker, gaan ze ermee akkoord boetes op te leggen als ze de PCI DSS-naleving niet naleven. Boetes kunnen variëren van betalingsverwerker tot betalingsverwerker en zijn hoger voor bedrijven met een hoger betalingsvolume. Het kan moeilijk zijn om een typisch goed bedrag vast te pinnen, maar IS Partners biedt een aantal bereiken in een blogpost. Zo worden boetes beoordeeld per maand van niet-naleving en worden de kosten per maand voor langere perioden verhoogd, dus een bedrijf kan $ 5.000 per maand betalen als ze drie maanden niet voldoen, maar $ 50.000 per maand als ze gaan zoals zeven maanden lang. Bovendien kunnen boetes van $ 50 tot $ 90 worden opgelegd voor elke klant die op de een of andere manier door een datalek wordt getroffen.
Houd er nogmaals rekening mee dat dit geen “boetes” zijn, in dezelfde zin dat u bijvoorbeeld zou betalen voor het overtreden van bepaalde overheidsvoorschriften
