Aanmelden 

Een gids voor PCI-compliance

Payment Card Industry Data Security Standards (PCI DSS) zijn de minimale vereisten voor de beveiliging van gegevens. Deze stapsgewijze gids bevat informatie over compliance en hoe Stripe daarbij kan helpen.

Avatar-foto van Mike Dahn
Mike Dahn

Mike Dahn is bij Stripe eindverantwoordelijke voor beleidsmatige relaties op het gebied van beveiliging. Eerder was hij werkzaam als trainer, auditor en implementatiedeskundige op het gebied van PCI.

  1. Inleiding
  2. Overzicht van de PCI-gegevensbeveiligingsstandaard (PCI DSS)
    1. Verwerking van kaartgegevens
    2. Beveiligde opslag van gegevens
    3. Jaarlijkse validatie
  3. Stapsgewijze gids voor PCI DSS v3.2.1-compliance
    1. 1. Ken je vereisten
    2. 2. Gegevensstromen in kaart brengen
    3. 3. Controleer beveiligingscontroles en -protocollen
    4. 4. Bewaken en handhaven
  4. Hoe Stripe organisaties helpt de PCI-vereisten na te leven en te handhaven
  5. Conclusie
    1. PCI-compliance helpt. Alleen niet genoeg.
  6. Meer informatie over Stripe 

Sinds 2005 zijn er meer dan 11 miljard gegevensarchieven van consumenten op straat beland als gevolg van meer dan 8500 gegevenslekken. Dit zijn de nieuwste cijfers van de Privacy Rights Clearinghouse, een organisatie die rapporteert over gegevenslekken en beveiligingsinbreuken die nadelig zijn voor consumenten (vanaf 2005 tot heden).

Om de veiligheid van klantgegevens en het vertrouwen in betaalomgevingen te verbeteren is er een minimale standaard voor gegevensbeveiliging opgesteld. Visa, Mastercard, American Express, Discover en JCB hebben in 2006 de Payment Card Industry Security Standards Council (PCI SSC) opgericht om beveiligingsstandaarden op te stellen en te beheren voor bedrijven die creditcardgegevens verwerken. Voordat de PCI SSC werd opgericht, hadden deze vijf creditcardmaatschappijen allemaal hun eigen programma voor beveiligingsstandaarden, met elk ongeveer dezelfde vereisten en doelstellingen. Ze besloten daarom hun krachten te bundelen in de PCI SSC om met één standaardbeleid, de PCI Data Security Standards (ook wel PCI DSS genoemd), consumenten en banken een minimaal beschermingsniveau te bieden in het huidige internettijdperk.

De PCI DSS kan complex en moeilijk zijn

Als je op grond van je businessmodel kaartgegevens moet verwerken, ben je mogelijk verplicht om aan elk van de meer dan 300 beveiligingscontroles van de PCI DSS te voldoen. De PCI Council heeft meer dan 1800 pagina's aan officiële documenten over de PCI DSS gepubliceerd, en meer dan 300 pagina's waarin wordt uitgelegd welke formulieren je moet gebruiken bij het valideren van de compliance. Alleen al het lezen van alle documenten zou je meer dan 72 uur kosten.

Hieronder vind je een stapsgewijze gids waarmee we de validatie en handhaving van de PCI-compliance iets begrijpelijker hopen te maken.

Overzicht van de PCI-gegevensbeveiligingsstandaard (PCI DSS)

De PCI DSS is de wereldwijde beveiligingsstandaard voor alle entiteiten die kaarthoudergegevens en/of gevoelige authenticatiegegevens opslaan, verwerken of overdragen. De PCI DSS schrijft een minimaal beschermingsniveau voor consumenten voor en helpt fraude en gegevenslekken terug te dringen in de hele betaalomgeving. De standaard is van toepassing op elke organisatie die betaalkaarten accepteert of verwerkt.

PCI DSS-compliance omvat drie hoofdonderdelen:

  1. Verwerking van binnenkomende creditcardgegevens van klanten. Hierbij gaat het erom dat gevoelige kaartgegevens veilig worden verzameld en overgedragen.
  2. Beveiligde opslag van gegevens. Dit staat beschreven in de 12 beveiligingsdomeinen van de PCI-standaard, zoals encryptie, doorlopende bewaking en beveiligingstesten voor de toegang tot kaartgegevens.
  3. Jaarlijkse validatie van het gebruik van de verplichte beveiligingscontroles. Het gaat hierbij om formulieren, vragenlijsten, externe diensten voor het scannen op kwetsbaarheden en controles door derden (zie de onderstaande stapsgewijze gids voor een tabel met de vier vereistenniveaus).

Verwerking van kaartgegevens

Bij sommige businessmodellen moeten gevoelige creditcardgegevens direct worden verwerkt bij het accepteren van betalingen, terwijl dat bij andere modellen niet het geval is. Bedrijven die wel kaartgegevens moeten verwerken (bijvoorbeeld als ze niet naar tokens omgezette PAN's accepteren op een betaalpagina), moeten mogelijk voldoen aan elk van de meer dan 300 beveiligingscontroles in de PCI DSS. Zelfs als kaartgegevens slechts heel even op de servers staan, moet het bedrijf beveiligingssoftware en -hardware kopen, implementeren en onderhouden.

Als een bedrijf niet per se gevoelige creditcardgegevens hoeft te verwerken, is het beter om dat ook niet te doen. Oplossingen van derden (bijvoorbeeld Stripe Elements) kunnen de gegevens veilig accepteren en opslaan, waardoor de complexiteit, kosten en risico's aanzienlijk afnemen. Aangezien de kaartgegevens dan nooit op de servers van het bedrijf staan, hoeft het bedrijf slechts 22 beveiligingscontroles te bevestigen, waarvan de meeste vrij eenvoudig zijn, zoals het gebruik van sterke wachtwoorden.

Beveiligde opslag van gegevens

Als een organisatie creditcardgegevens verwerkt of opslaat, moet het bereik van de omgeving van de kaarthoudergegevens (CDE, Cardholder Data Environment) worden gedefinieerd. De PCI DSS definieert de CDE als de mensen, processen en technologieën die creditcardgegevens opslaan, verwerken of overdragen, of elk systeem dat met deze omgeving verbonden is. Aangezien alle meer dan 300 beveiligingsvereisten in de PCI DSS van toepassing zijn op de CDE, is het belangrijk om de betaalomgeving goed te scheiden van de rest van het bedrijf, zodat het bereik van de PCI-validatie zoveel mogelijk wordt beperkt. Kan een organisatie het CDE-bereik niet beperken door middel van nauwkeurig gescheiden segmenten, dan zijn de PCI-beveiligingscontroles van toepassing op elk systeem, elke laptop en elk apparaat in het bedrijfsnetwerk. En dat wil je echt niet.

Jaarlijkse validatie

Ongeacht de wijze waarop kaartgegevens worden geaccepteerd, zijn organisaties verplicht om jaarlijks een PCI-validatieformulier in te vullen. De manier waarop de PCI-compliance wordt gevalideerd, hangt af van een aantal factoren, die we hieronder op een rijtje hebben gezet. Hier volgen drie scenario's waarin een organisatie kan worden gevraagd de PCI-compliance aan te tonen:

  • Betalingsverwerkers kunnen PCI-compliance vereisen als onderdeel van hun verplichte rapportage aan de betaalkaartmaatschappijen.
  • Zakelijke partners kunnen PCI-compliance vereisen als voorwaarde om zakelijke overeenkomsten aan te gaan.
  • Platformbedrijven (met een technologie die online transacties onder meerdere afzonderlijke groepen gebruikers mogelijk maakt) kunnen door klanten worden gevraagd de veilige verwerking van gegevens aan te tonen.

De nieuwste set beveiligingsstandaarden, PCI DSS-versie 3.2.1, omvat 12 hoofdvereisten met meer dan 300 subvereisten die zijn afgestemd op de aanbevolen beveiligingsprocedures.

ONTWIKKEL EN ONDERHOUD BEVEILIGDE NETWERKEN EN SYSTEMEN

  • 1. Installeer en onderhoud een firewallconfiguratie om kaarthoudergegevens te beschermen.
  • 2. Gebruik geen standaard-systeemwachtwoorden en andere beveiligingsparameters die de leverancier heeft verstrekt.

BESCHERM KAAETRTHOUDERGEGEVENS

  • 3. Bescherm opgeslagen kaarthoudergegevens.
  • 4. Versleutel de overdracht van kaarthoudergegevens via open of openbare netwerken.

HANDHAAF EEN BEHEERPROGRAMMA VOOR KWETSBAARHEDEN

  • 5. Bescherm alle systemen tegen malware en werk antivirussoftware regelmatig bij.
  • 6. Ontwikkel en onderhoud beveiligde systemen en apps.

IMPLEMENTEER KRACHTIGE MAATREGELEN VOOR TOEGANGSBEHEER

  • 7. Beperk de toegang tot kaarthoudergegevens tot mensen die deze gegevens nodig hebben om hun werk te doen.
  • 8. Identificeer en autoriseer de toegang tot systeemonderdelen.
  • 9. Beperk de fysieke toegang tot kaarthoudergegevens.

CONTROLEER EN TEST NETWERKEN REGELMATIG

  • 10. Bewaak en controleer alle toegang tot netwerkbronnen en kaarthoudergegevens.
  • 11. Test beveiligingssystemen en -processen regelmatig.

HANDHAAF EEN INFORMATIEBEVEILIGINGSBELEID

  • 12. Handhaaf een informatiebeveiligingsbeleid voor alle medewerkers.

De PCI Council heeft negen verschillende SAQ-formulieren (Self-Assessment Questionnaires) opgesteld om het nieuwe bedrijven die de PCI-compliance willen valideren 'makkelijker te maken'. Deze formulieren vormen een subset van de volledige PCI DSS-vereisten. Maar dan nog is het een hele kunst om erachter te komen welk formulier van toepassing is en of het nodig is een door de PCI Council goedgekeurde auditor in te schakelen die kan verifiëren dat aan elke PCI DSS-beveiligingsvereiste is voldaan. Daar komt nog bij dat de PCI Council de regels om de drie jaar herziet en in de loop van het jaar nieuwe updates uitgeeft, waardoor de dynamische complexiteit nog verder toeneemt.

Stapsgewijze gids voor PCI DSS v3.2.1-compliance

1. Ken je vereisten

De eerste stap bij PCI-compliance is weten welke vereisten van toepassing zijn op je organisatie. Er zijn vier verschillende PCI-complianceniveaus, meestal gebaseerd op het aantal creditcardtransacties dat je bedrijf in een periode van twaalf maanden verwerkt.

Complianceniveau
Van toepassing op
Vereisten
Niveau 1
  1. Organisaties die jaarlijks meer dan 6 miljoen transacties via Visa of Mastercard verwerken, of meer dan 2,5 miljoen transacties via American Express; of
  2. Organisaties die een gegevenslek hebben gehad; of
  3. Organisaties die als 'Niveau 1' worden aangemerkt door een creditcardmaatschappij (Visa, Mastercard, enz.)
  1. Jaarlijks compliancerapport (ROC) van een gekwalificeerde beveiligingsbeoordelaar (QSA), ook wel een Niveau 1-beoordeling op locatie genoemd, of van een interne auditor indien ondertekend door een functionaris van het bedrijf
  2. Elk kwartaal een netwerkscan door een goedgekeurde scanleverancier (ASV)
  3. Bewijs van compliance (AOC) voor beoordelingen ter plaatse. Er zijn specifieke formulieren voor handelaren en dienstverleners
Niveau 2
Organisaties die jaarlijks 1 tot 6 miljoen transacties verwerken
  1. Jaarlijkse PCI DSS-vragenlijst voor zelfbeoordeling (SAQ): in de onderstaande tabel vind je een kort overzicht van de 9 SAQ-typen
  2. Elk kwartaal een netwerkscan door een goedgekeurde scanleverancier (ASV) Bewijs van compliance
  3. Bewijs van compliance (AOC): elk van de 9 SAQ's heeft een eigen AOC-formulier
Niveau 3
  1. Organisaties die jaarlijks 20.000 tot 1 miljoen transacties verwerken
  2. Organisaties die jaarlijks minder dan 1 miljoen transacties verwerken
 Hetzelfde als hierboven
Niveau 4
  1. Organisaties die per jaar 20.000 miljoen transacties verwerken; of
  2. Organisaties die maximaal 1 miljoen transacties per jaar verwerken
 Hetzelfde als hierboven

Er zijn verschillende SAQ-typen voor niveau 2-4, afhankelijk van de gebruikte methode voor betalingsintegratie. Hier volgt een kort overzicht:

SAQ
Beschrijving
A
Handelaren met transacties waarbij de betaalkaart niet aanwezig is (e-commerce of bestellingen via post/telefoon) die alle functionaliteiten voor kaarthoudergegevens hebben uitbesteed aan een externe dienstverlener die voldoet aan PCI DSS. Geen elektronische opslag, verwerking of overdracht van kaarthoudergegevens op systemen of locaties van de handelaar.

Niet van toepassing op fysieke kanalen.
A-EP
E-commercehandelaren die de verwerking van betalingen volledig uitbesteden aan PCI DSS-gevalideerde derden en die een website hebben waarop geen rechtstreekse kaarthoudergegevens binnenkomen, maar die wel van invloed kan zijn op de beveiliging van betaaltransacties. Geen elektronische opslag, verwerking of overdracht van kaarthoudergegevens op systemen of locaties van de handelaar.

Alleen van toepassing op e-commercekanalen.
B
Handelaren die alleen gebruikmaken van:
  • Imprinters zonder elektronische opslag van kaarthoudergegevens; en/of
  • Zelfstandige terminals met uitbelverbinding, zonder elektronische opslag van kaarthoudergegevens.
Niet van toepassing op e-commercekanalen.
B-IP
Handelaren die alleen zelfstandige, PTS-goedgekeurde betaalterminals gebruiken met een IP-verbinding naar de betalingsverwerker. Geen elektronische opslag van kaarthoudergegevens.

Niet van toepassing op e-commercekanalen.
C-VT
Handelaren die met een toetsenbord één transactie tegelijk invoeren in een virtuele online betaalterminal die wordt geleverd en gehost door een PCI DSS-gevalideerde externe dienstverlener. Geen elektronische opslag van kaarthoudergegevens.

Niet van toepassing op e-commercekanalen.
C
Handelaren met betaalapps die verbonden zijn met internet. Geen elektronische opslag van kaarthoudergegevens.

Niet van toepassing op e-commercekanalen.
P2PE
Handelaren die alleen betaalterminals gebruiken die zijn opgenomen in en worden beheerd via een gevalideerde, PCI SSC-geregistreerde P2PE-oplossing (Point-to-Point Encryption). Geen elektronische opslag van kaarthoudergegevens.

Niet van toepassing op e-commercekanalen.
D
SAQ VOOR HANDELAREN: Alle handelaren die niet in de beschrijvingen van de bovenstaande SAQ-typen staan vermeld.

SAQ D VOOR DIENSTVERLENERS: Alle dienstverleners die volgens de definitie van een betaalmerk in aanmerking komen voor het invullen van een SAQ.

2. Gegevensstromen in kaart brengen

Voordat je gevoelige creditcardgegevens kunt beschermen, moet je weten waar ze zijn opgeslagen en hoe ze daar terechtkomen. Je kunt het beste een gedetailleerd overzicht maken van de systemen, netwerkverbindingen en apps die interactie hebben met creditcardgegevens in je organisatie. Afhankelijk van je functie moet je hiervoor waarschijnlijk samenwerken met IT- en beveiligingsteams.

  • Breng eerst elk consumentgericht onderdeel van het bedrijf in kaart waar betaaltransacties plaatsvinden. Je accepteert bijvoorbeeld betalingen via een online winkelwagentje, betaalautomaten in winkels of bestellingen die via de telefoon worden geplaatst.
  • Bepaal vervolgens de verschillende manieren waarop kaarthoudergegevens in het bedrijf worden verwerkt. Het is belangrijk dat je exact weet waar de gegevens zijn opgeslagen en wie er toegang toe heeft.
  • Breng ten slotte de interne systemen of onderliggende technologieën in kaart die in contact komen met betaaltransacties. Hiertoe behoren onder andere je netwerksystemen, datacenters en cloudomgevingen.

3. Controleer beveiligingscontroles en -protocollen

Nadat je alle potentiële contactpunten voor creditcardgegevens in je hele organisatie in kaart hebt gebracht, raden we je aan er samen met IT- en beveiligingsteams op toe te zien dat de juiste beveiligingsconfiguraties en -protocollen worden gebruikt (zie de lijst met 12 beveiligingsvereisten voor PCI DSS hierboven). Deze protocollen, zoals het TLS-protocol (Transport Layer Security), zijn ontwikkeld om de overdracht van gegevens te beveiligen.

De 12 beveiligingsvereisten voor PCI DSS v3.2.1 zijn afgeleid van aanbevolen werkwijzen voor de bescherming van gevoelige gegevens bij allerlei soorten bedrijven. Er is op verschillende punten sprake van overlap met de procedures van de AVG, de HIPAA en andere privacyvereisten en het kan dus zijn dat er in je organisatie al een aantal worden toegepast.

4. Bewaken en handhaven

Het is belangrijk om te weten dat de PCI-compliance geen eenmalige gebeurtenis is. Het is een doorgaand proces dat ervoor zorgt dat je bedrijf de regels ook blijft naleven wanneer gegevensstromen en contactpunten met klanten veranderen. Sommige creditcardmerken kunnen je verplichten driemaandelijkse of jaarlijkse rapporten in te dienen, of een jaarlijkse beoordeling op locatie uit te voeren om de voortdurende compliance te valideren, met name als je elk jaar meer dan 6 miljoen transacties verwerkt.

Voor het handhaven van de PCI-compliance gedurende het hele jaar (en dat elk jaar opnieuw) is vaak ondersteuning van en samenwerking met verschillende afdelingen nodig. Het kan nuttig zijn om intern een vast team samen te stellen dat toezicht houdt op de voortdurende compliance van de vereisten. Hoewel elk bedrijf uniek is, zouden de volgende onderdelen een goed uitgangspunt voor het 'PCI-team' kunnen zijn:

  • Beveiliging: De Chief Security Officer (CSO), Chief Information Security Officer (CISO) en bijbehorende teams zien erop toe dat de organisatie altijd voldoende investeert in de hulpmiddelen en beleidsregels die noodzakelijk zijn voor de beveiliging en privacy van gegevens.
  • Technologie/Betalingen: De Chief Technology Officer (CTO), VP Payments en bijbehorende teams zien erop toe dat de belangrijkste tools, integraties en infrastructuur in overeenstemming met de regels blijven werken tijdens de verdere ontwikkeling van de systemen van de organisatie.
  • Financiën: De Chief Financial Officer (CFO) en het bijbehorende team zorgen dat alle flows voor betaalgegevens die betrekking hebben op betaalsystemen en -partners correct worden geboekt.
  • Juridisch: Het juridische team wijst de weg in de wirwar van PCI DSS-compliancevereisten.

Voor meer informatie over de complexe wereld van PCI-compliance verwijzen we je naar de website van PCI Security Standards Council. Als je alleen deze gids en enkele andere PCI-documenten leest, raden we je aan te beginnen met: geprioriteerde benadering voor PCI DSS, SAQ-instructies en -richtlijnen, veelgestelde vragen over het gebruik van SAQ-selectiecriteria om beoordelingsvereisten op locatie te bepalen en veelgestelde vragen over verplichtingen voor handelaren die apps ontwikkelen voor consumentenapparaten die betaalkaartgegevens accepteren.

Hoe Stripe organisaties helpt de PCI-vereisten na te leven en te handhaven

Stripe zorgt voor een aanzienlijke vereenvoudiging van de PCI-werkzaamheden van bedrijven die kiezen voor integratie met Checkout, Elements, mobiele SDK's en Terminal-SDK's. In Stripe Checkout en Stripe Elements wordt een gehost betaalveld gebruikt voor de verwerking van alle betaalkaartgegevens, zodat de kaarthouder alle gevoelige betaalgegevens invoert in een betaalveld dat rechtstreeks afkomstig is van onze PCI DSS-gevalideerde servers. Met de mobiele en terminal-SDK's van Stripe kan de kaarthouder gevoelige betaalgegevens ook rechtstreeks naar onze PCI DSS-gevalideerde servers verzenden.

Deze veiligere methoden voor het accepteren van kaarten worden toegevoegd aan het PCI-formulier (SAQ) op het Stripe-dashboard, waardoor PCI-validatie met één klik op de knop plaatsvindt. Kleinere organisaties kunnen zo honderden uren aan werk besparen, en grotere organisaties zelfs duizenden uren.

Stripe fungeert als een soort PCI-medewerker voor al onze gebruikers, en kan op diverse manieren hulp bieden (ongeacht het integratietype).

  • We analyseren je integratiemethode en geven je advies over het PCI-formulier dat je moet gebruiken en hoe je met minder tijd en moeite aan de vereisten kunt voldoen.
  • We sturen je op tijd een melding als je wegens een groeiend transactievolume de compliance op een andere manier moet valideren.
  • We bieden grote handelaren (niveau 1) een PCI-pakket dat de benodigde tijd voor PCI-validatie van maanden naar dagen kan terugbrengen. Als je moet werken met een PCI QSA, bijvoorbeeld omdat je creditcardgegevens opslaat of een complexere betaalflow hebt, is het goed om te weten dat er wereldwijd meer dan 350 van dit soort QSA-bedrijven zijn. We kunnen je in contact brengen met diverse auditors die een zeer goed inzicht hebben in de verschillende integratiemethoden van Stripe.

Conclusie

Hoewel de PCI-compliance meestal één keer per jaar wordt beoordeeld en gevalideerd, is het geen eenmalige gebeurtenis, maar een voortdurende reeks beoordelingen en aanpassingen waarvoor veel werk moet worden verzet. Als een bedrijf groeit, groeien de kernactiviteiten en processen van het bedrijf ook mee. En dat betekent dat de compliancevereisten ook veranderen. Een online bedrijf kan bijvoorbeeld fysieke winkels openen, nieuwe markten aanboren of een klantondersteuningscentrum openen. Als er betaalkaartgegevens betrokken zijn bij de nieuwe activiteiten, is het een goed idee om proactief te controleren of dit gevolgen heeft voor de PCI-validatiemethode, en zo nodig de PCI-compliance opnieuw te valideren.

PCI-compliance helpt. Alleen niet genoeg.

Als je bedrijf de PCI DSS-richtlijnen volgt, beschikt het over een noodzakelijke beschermingslaag. Die laag alleen is echter niet genoeg. De PCI DSS omvat belangrijke standaarden voor het verwerken en opslaan van kaarthoudergegevens, maar biedt op zichzelf niet voldoende bescherming voor elke betaalomgeving. Overstappen naar een veiligere methode voor het accepteren van kaarten (zoals Stripe Checkout, Elements en mobiele SDK's) is een veel effectievere manier om je organisatie te beschermen. Dit levert als langdurig voordeel op dat je niet hoeft te vertrouwen op de basisstandaarden van de bedrijfstak en je geen zorgen hoeft te maken over beveiligingscontroles die misschien niet goed werken. Deze benadering biedt flexibele bedrijven een manier om een potentieel gegevenslek te beteugelen en de emotionele, tijdrovende en dure historische benadering van een PCI-validatie te vermijden. Bovendien is een veiligere integratiemethode elke dag van het jaar betrouwbaar.

Handelaarsniveau van Visa
Gemiddelde audittijd

(schatting per jaar)
Gemiddelde audittijd met Stripe Elements, Checkout of mobiele SDK

(schatting per jaar)
Niveau 1
3 tot 5 maanden 2 tot 5 dagen
Niveau 2
1 tot 3 maanden 0 dagen
Niveau 3
1 tot 3 maanden 0 dagen
Niveau 4
1 tot 3 maanden 0 dagen

Direct aan de slag? Neem contact op of maak een account.

Maak direct een account om betalingen te kunnen ontvangen. Contracten of bankgegevens zijn niet vereist. Je kunt ook contact met ons opnemen om een aangepast pakket voor je bedrijf samen te stellen.