Alles wat u moet weten over PCI DSS-compliance

Als uw bedrijf moet voldoen aan PCI-DSS, en u geen idee heeft waar het over gaat, dan geven we u hier 5 gemakkelijk te begrijpen antwoorden die u zullen helpen te begrijpen waar PCI-DSS over gaat zodat u deze nieuwe uitdaging met succes aangaat.

 

5 gemakkelijk te begrijpen vragen

 

1. Wat is PCI-DSS?

De Payment Card Industry Data Security Standard (PCI DSS) is een beveiligingsstandaard die is ontwikkeld om transacties met betaalkaarten te beschermen en wordt beheerd door de PCI Security Standards Council (PCI SSC). De Council, opgericht in 2006 door de vijf grootste creditcardaanbieders: MasterCard, Visa, Discover, Amex en JCB International, zorgt ervoor dat dienstverleners en handelaren (verkopers en organisaties) de creditcardgegevens van hun klanten beschermen tijdens transacties en wanneer deze worden opgeslagen.

PCI-compatibel zijn is geen wettelijke vereiste. Het is echter ten zeerste aan te raden dat handelaren die kaartbetalingen accepteren, de regels volgen die zijn vastgesteld door de PCI SSC om mogelijke gegevensinbreuken te voorkomen en om hoge niet-nalevingskosten te voorkomen. De vereisten om PCI-compatibel te worden, zijn gerelateerd aan hoe uw bedrijf werkt.

2. Wat moet ik doen om te voldoen aan PCI DSS?

 

Er zijn verschillende niveaus van PCI-compliance die afhankelijk zijn van het aantal betalingen dat uw bedrijfsprocessen per jaar (periode van 12 maanden) afhandelen. Er is één onderdeel dat over de hele linie nodig blijft, en dat is dat een bedrijf echt 100% PCI-compliance moet bereiken en onderhouden, om de gegevens van zichzelf en hun klanten veilig te houden.

De PCI-standaard omvat 6 hoofddoelstellingen die zijn onderverdeeld in 12 vereisten die hieronder worden beschreven:

Bouw en onderhoud een veilig netwerk en systemen.

1. Installeer en onderhoud een firewallconfiguratie om kaarthoudergegevens te beschermen.
2. Gebruik geen door de leverancier geleverde standaardwaarden voor systeemwachtwoorden en andere beveiligingsparameters.

Bescherm kaarthoudergegevens.

3. Bescherm opgeslagen kaarthoudergegevens.
4. Versleutel de overdracht van kaarthoudergegevens via open, openbare netwerken.

Een programma voor kwetsbaarheidsbeheer onderhouden.

5. Bescherm alle systemen tegen malware en werk antivirussoftware of -programma’s regelmatig bij.
6. Ontwikkel en onderhoud veilige systemen en applicaties.

Implementeer krachtige maatregelen voor toegangscontrole.

7. Beperk de toegang tot kaarthoudergegevens door zakelijke noodzaak om te weten.
8. Identificeer en verifieer toegang tot systeemcomponenten.
9. Beperk fysieke toegang tot kaarthoudergegevens.

Bewaak en test regelmatig netwerken.

10. Volg en bewaak alle toegang tot netwerkbronnen en kaarthoudergegevens.
11. Test regelmatig beveiligingssystemen en -processen.

Houd een informatiebeveiligingsbeleid.

12. Houd een beleid aan dat informatiebeveiliging voor al het personeel aanpakt.

In sommige gevallen is een volledig PCI DSS-auditproces niet vereist, maar wordt een zelfbeoordelingsvragenlijst (SAQ) uitgevoerd. Er zijn verschillende soorten SAQ’s, afhankelijk van welk niveau van toepassing is op uw bedrijf.
Bedrijven moeten de juiste PCI DSS Self-Assessment Questionnaire (SAQ) invullen en bewijzen dat het bedrijf een kwetsbaarheidsscan heeft voltooid en met goed gevolg heeft afgelegd bij een PCI SSC Approved Scanning Vendor (ASV).

Als u opheldering wilt over de informatie hier, bezoek dan de website van de PCI Security Standards Council.

 

3. Op wie is PCI Compliance van toepassing?

 

PCI-compliance is van toepassing op ELKE organisatie of handelaar (inclusief internationale handelaars/organisaties) die kaarthoudergegevens opslaat, verwerkt of verzendt. Sommige soorten bedrijven die over het algemeen worden bereikt door de PCI-DSS-standaard zijn e-commerce, de online betalingsdiensten, banken, supermarkten, reisbureaus en betalingsverwerkers.

 

4. Wat gebeurt er als u niet PCI-compatibel ben?

 

Zoals eerder vermeld, is PCI-compatibel zijn niet wettelijk verplicht, maar uw bedrijf kan worden getroffen door het verlies van contracten, reputatieschade en boetes als de gegevens van uw klanten worden geschonden. Op de lange termijn kost het uw bedrijf veel minder om te voldoen aan de PCI DSS-vereisten.

Het grootste risico dat bedrijven lopen als ze zich niet aan PCI-DSS houden, is het wantrouwen van hun klanten en partners omdat ze geen belang hebben gehecht aan veiligheid. De PCI-DSS-standaard bevat zeer goede aanbevelingen om uw bedrijf te beveiligen. Het risico dat de vertrouwelijkheid, integriteit en toegang tot informatie in het gedrang komt, wordt geminimaliseerd. Uw klanten en zakenpartners zullen u zeer dankbaar zijn voor het niet openbaar maken van hun informatie.

 

5. Hoe vaak is PCI-DSS-validatie vereist?

 

De handelaren moeten jaarlijks naleving aantonen door middel van een zelfbeoordelingsvragenlijst (SAQ) of een Report of Compliance (ROC) en het bijbehorende Attention of Compliance-document (AoC).

De naleving vereist het opzetten en onderhouden van een PCI-programma dat geschikt commercieel beleid, procedures en technologieën omvat om voortdurende naleving te garanderen door de voortdurende bescherming van betaalkaartgegevens.

De PCI-DSS-standaard en uw bedrijf passen zich voortdurend aan nieuwe marktbehoeften aan. Reden waarom er een continu proces wordt ontwikkeld waarin jaar na jaar nieuwe acties en beveiligingsmaatregelen worden geëvalueerd, gecorrigeerd en geïmplementeerd.

 

Over de auteur:
Natalia Morando is een security professional in PCI en heeft meer dan 12 jaar ervaring.