Articles

PCI FAQs

Welkom bij PCI Compliance Guide.

klik op de onderstaande links voor antwoorden op veelgestelde vragen.

Q1: Wat is PCI?
Q2: op wie is de PCI DSS van toepassing?
Q3: Waar Kan ik de PCI Data Security Standard (PCI DSS) vinden?
Q4: Wat zijn de PCI-conformiteitsniveaus en hoe worden deze bepaald?
Q5: wat moet een kleine tot middelgrote onderneming (handelaar van Niveau 4) doen om aan de PCI DSS-vereisten te voldoen?
Q6: Hoe werkt het nemen van creditcards via de telefoon met PCI?
Q7: als ik alleen creditcards via de telefoon accepteer, is PCI DSS nog steeds op mij van toepassing?
Q8: moeten organisaties die externe processors gebruiken PCI DSS-compliant zijn?
Q9: mijn bedrijf heeft meerdere locaties, is elke locatie vereist om PCI compliance te valideren?
Q10: wij doen alleen e-commerce. Welke SAQ moeten we gebruiken?
Q11: mijn bedrijf slaat geen creditcardgegevens op, dus PCI compliance is niet van toepassing op ons, toch?
Q12: zijn debetkaarttransacties in het kader van PCI?
Q13: ben ik PCI-compatibel als ik een SSL-certificaat heb?
Q14: mijn bedrijf wil creditcardgegevens opslaan. Welke methoden kunnen we gebruiken?
Q15: Wat zijn de sancties bij niet-naleving?
Q16: wat wordt gedefinieerd als “gegevens van kaarthouders”?
Q17: Wat is de definitie van ‘handelaar’?
Q18: Wat is een dienstverlener?
Q19: Wat is een betalingsaanvraag?
Q20: Wat is een betalingsgateway?
Q21: Wat is PA-DSS?
Q22: kan het volledige creditcardnummer worden afgedrukt op de kopie van het ontvangstbewijs van de consument?
Q23: heb ik kwetsbaarheidsscanning nodig om naleving te valideren?
Q24: Wat is een kwetsbaarheidsscan?
Q25: hoe vaak moet ik een kwetsbaarheidsscan hebben?
Q26: wat als mijn bedrijf weigert mee te werken?
Q27: als ik thuis een bedrijf run, ben ik dan een serieus doelwit voor hackers?
Q28: Wat moet ik doen als ik gecompromitteerd ben?
Q29: hebben staten wetten die meldingen van inbreuken op Gegevens aan de betrokken partijen vereisen?

Q1: Wat is PCI?

A: de Payment Card Industry Data Security Standard (PCI DSS) is een reeks beveiligingsstandaarden die ervoor moeten zorgen dat alle bedrijven die creditcardgegevens accepteren, verwerken, opslaan of verzenden, een veilige omgeving behouden.

De Payment Card Industry Security Standards Council (PCI SSC) werd op 7 September 2006 opgericht om de voortdurende ontwikkeling van de beveiligingsstandaarden van de Payment Card Industry (PCI) te beheren, met de nadruk op het verbeteren van de beveiliging van betaalrekeningen gedurende het hele transactieproces. De PCI DSS wordt beheerd en beheerd door de PCI SSC (www.pcisecuritystandards.org), een onafhankelijke instantie die werd opgericht door de belangrijkste betaalkaartmerken (Visa, MasterCard, American Express, Discover en JCB.). Het is belangrijk op te merken dat de betaalmerken en acquirers verantwoordelijk zijn voor het afdwingen van de naleving, niet de PCI Raad. Een kopie van de PCI DSS is hier beschikbaar.

Back to Top

Q2: op wie is de PCI DSS van toepassing?

A: de PCI DSS is van toepassing op elke organisatie, ongeacht de omvang of het aantal transacties, die gegevens van kaarthouders accepteert, verzendt of opslaat.

terug naar boven

Q3: Waar Kan ik de PCI Data Security Standard (PCI DSS) vinden?

A: de huidige PCI DSS-documenten zijn te vinden op de website van de PCI Security Standards Council.

Back to Top

Q4: Wat zijn de PCI compliance ‘levels’ en hoe worden deze bepaald?

A: alle handelaren zullen vallen in een van de vier merchant niveaus op basis van Visa transactievolume over een periode van 12 maanden. Het transactievolume is gebaseerd op het totale aantal Visa-transacties (inclusief credit, debit en prepaid) van een handelaar die zaken doet als (“DBA”). In gevallen waarin een handelsvennootschap meer dan één DBA heeft, moeten Visumverkopers rekening houden met het totale volume van de transacties die door de bedrijfsentiteit zijn opgeslagen, verwerkt of verzonden om het validatieniveau te bepalen. Als de gegevens niet worden geaggregeerd, zodat de bedrijfsentiteit geen gegevens van kaarthouders opslaat, verwerkt of verzendt namens meerdere DBA ‘ s, blijven acquirers rekening houden met het afzonderlijke transactievolume van de DBA om het validatieniveau te bepalen.

Handelaarsniveau zoals gedefinieerd door Visa:

Merchant Level Description
1 elke merchant — ongeacht het acceptatiekanaal — verwerking over 6m visa transacties per jaar. Elke handelaar die Visa, naar eigen goeddunken, bepaalt moet voldoen aan de niveau 1 merchant eisen om het risico voor het Visa-systeem te minimaliseren.
2 elke handelaar — ongeacht het acceptatiekanaal — verwerkt 1m tot 6M Visumtransacties per jaar.
3 elke handelaar die 20.000 tot 1 miljoen Visa e-commerce transacties per jaar verwerkt.
4 elke handelaar die minder dan 20.000 visa e-commerce transacties per jaar verwerkt, en alle andere handelaren — ongeacht het acceptatiekanaal — die tot 1m Visa transacties per jaar verwerken.

* elke handelaar die een inbreuk heeft geleden die resulteerde in een compromis met accountgegevens, kan worden geëscaleerd naar een hoger validatieniveau.

Back to Top

Q5: Wat moet een kleine tot middelgrote onderneming (handelaar van Niveau 4) doen om aan de PCI DSS-vereisten te voldoen?

A: om aan de vereisten van PCI te voldoen, moet een handelaar de volgende stappen uitvoeren:

  • Bepaal welke self-assessment Questionnaire (SAQ) uw bedrijf moet gebruiken om compliance te valideren. Zie de grafiek hieronder om u te helpen selecteren. (Klik op de kaart om te vergroten.)
    PCI 3.0 SAQ Chart
  • vul de Zelfbeoordelingsvragenlijst in volgens de instructies die deze bevat.
  • voltooi en verkrijg bewijs van een passerende kwetsbaarheidsscan met een PCI SSC Approved Scanning Vendor (ASV). Opmerking scannen is niet van toepassing op alle handelaren. Het is vereist voor SAQ A-EP, SAQ B-IP, SAQ C, SAQ D-Merchant en SAQ D-Service Provider.
  • vul de relevante conformiteitsverklaring in zijn geheel in (in het SAQ-instrument).
  • stuur de SAQ, het bewijs van een geslaagde scan (indien van toepassing) en de verklaring van overeenstemming, samen met alle andere gevraagde documentatie, naar uw overnemende partij.

Lees onze blogpost, ” The PCI Basics/Quick Guide-Wat moeten kleine handelaren doen om PCI Compliance te bereiken?”

Back to Top

Q6: Hoe werkt het nemen van creditcards via de telefoon met PCI?

A: de volgende post, ” Hoe werkt het nemen van Creditcards via de telefoon met PCI?”verklaart uw PCI compliance verantwoordelijkheden bij het nemen van creditcardgegevens via de telefoon (bijvoorbeeld in een callcenter). Merk op dat hoewel dit bericht werd gepubliceerd in 2014, het is nog steeds relevant met de huidige versie van de PCI DSS.

terug naar boven

Q7: Als ik alleen creditcards via de telefoon accepteer, is PCI DSS dan nog steeds op mij van toepassing?

A: Ja. Alle bedrijven die gegevens van betaalkaarthouders opslaan, verwerken of verzenden, moeten PCI-Compliant zijn.

terug naar boven

Q8: moeten organisaties die externe processors gebruiken PCI DSS-compliant zijn?

A: Ja. Alleen het gebruik van een derde partij sluit een bedrijf niet uit van PCI DSS compliance. Het kan de blootstelling aan risico ‘ s verminderen en bijgevolg de moeite om de naleving te valideren, verminderen. Dit betekent echter niet dat ze de PCI DSS kunnen negeren.

terug naar boven

Q9: Mijn bedrijf heeft meerdere locaties, is elke locatie vereist om PCI compliance te valideren?

A: als uw bedrijfslocaties onder hetzelfde belastingnummer worden verwerkt, hoeft u doorgaans slechts één keer per jaar voor alle locaties te valideren. En, kwartaal passerende netwerkscans door een PCI SSC goedgekeurde Scanningleverancier (ASV) voor elke locatie indienen, indien van toepassing.

terug naar boven

Q10: we doen alleen e-commerce. Welke SAQ moeten we gebruiken?

A: Het hangt af van hoe uw winkelwagen is ingesteld. Zie PCI SAQ 3.1: E-Commerce opties uitgelegd.

terug naar boven

Q11: Mijn bedrijf slaat geen creditcardgegevens op, dus PCI compliance is niet van toepassing op ons, toch?

A: als u creditcards of betaalkaarten accepteert als een vorm van betaling, dan is PCI compliance op u van toepassing. De opslag van kaartgegevens is riskant, dus als u geen kaartgegevens opslaat, is het gemakkelijker om veilig en compliant te worden.

Back to Top

Q12: zijn debetkaarttransacties in het kader van PCI?

A: In-scope kaarten omvatten alle debet -, credit-en pre-paid kaarten die zijn voorzien van een van de vijf card association/merklogo ‘ s die deelnemen aan de PCI SSC – American Express, Discover, JCB, MasterCard en Visa International.

terug naar boven

Q13: ben ik PCI-compatibel als ik een SSL-certificaat heb?

A: Nee. SSL-certificaten beveiligen een webserver niet tegen schadelijke aanvallen of inbraken. SSL-certificaten met hoge zekerheid bieden het eerste niveau van klantbeveiliging en-geruststelling, zoals hieronder, maar er zijn andere stappen om PCI-compliance te bereiken. Zie vraag ” Wat moet een small-to-medium sized business (level 4 merchant) doen om aan de PCI-vereisten te voldoen?”

  • een veilige verbinding tussen de browser van de klant en de webserver
  • validatie dat de websiteoperators een legitieme, wettelijk verantwoordelijke organisatie zijn

zie gerelateerde blogpost, “PCI DSS v3.1 en SSL: wat u nu moet doen.”
Terug naar boven

Q14: mijn bedrijf wil creditcardgegevens opslaan. Welke methoden kunnen we gebruiken?

A: de meeste handelaren die creditcardgegevens moeten opslaan, doen dit voor terugkerende facturering. De beste manier om creditcardgegevens op te slaan voor terugkerende facturering is door gebruik te maken van een derde partij creditcard kluis en tokenization provider. Door gebruik te maken van een kluis worden de kaartgegevens uit uw bezit verwijderd en krijgt u een “token” terug die kan worden gebruikt voor terugkerende facturering. Door een derde partij te gebruiken, verplaats je het risico van het opslaan van kaartgegevens naar iemand die gespecialiseerd is in het doen van dat en heeft alle van de beveiligingscontroles op zijn plaats om de kaartgegevens veilig te houden.

als u de kaartgegevens zelf moet opslaan, is uw bar voor zelfbeoordeling zeer hoog en MOET u mogelijk een QSA (Qualified Security Assessor) ter plaatse laten komen en een audit uitvoeren om ervoor te zorgen dat u alle controles hebt die nodig zijn om aan de PCI DSS-specificaties te voldoen.

zie gerelateerde blogpost, ” kunnen we kaartgegevens veilig opslaan voor terugkerende facturering?”

Back to Top

Q15: wat zijn de sancties bij niet-naleving?

A: de betalingsmerken kunnen, naar eigen goeddunken, een verwervende bank een boete van $5.000 tot $100.000 per maand opleggen voor PCI compliance schendingen. De banken zullen hoogstwaarschijnlijk deze boete doorgeven totdat het uiteindelijk de handelaar raakt. Bovendien zal de bank waarschijnlijk ook uw relatie beëindigen of transactiekosten verhogen. Sancties worden niet openlijk besproken of op grote schaal gepubliceerd, maar ze kunnen catastrofaal zijn voor een klein bedrijf. Het is belangrijk om vertrouwd te zijn met uw merchant account overeenkomst, die uw blootstelling moet schetsen.

Lees meer over de boetes voor niet-naleving in onze blogpost, ” Hoe kan uw PCI Compliance-inspanningen uiteindelijk uw bedrijf geld besparen?”

Back to Top

Q16: Wat wordt gedefinieerd als’kaarthoudergegevens’?

A: de PCI Security Standards Council (SSC) definieert “kaarthoudergegevens” als het volledige primaire rekeningnummer (PAN) of het volledige PAN, samen met een van de volgende elementen:

  • naam van de kaarthouder
  • vervaldatum
  • servicecode

gevoelige authenticatiegegevens, die ook moeten worden beschermd, inclusief volledige magnetische stripgegevens, CAV2, CVC2, CVV2, CID, PINs, PIN blokken en meer.

Back to Top

Q17: Wat is de definitie van ‘merchant’?

A: Voor de doeleinden van de PCI DSS wordt een handelaar gedefinieerd als elke entiteit die betaalkaarten met de logo ‘ s van een van de vijf leden van PCI SSC (American Express, Discover, JCB, MasterCard of Visa) accepteert als betaling voor goederen en/of diensten. Merk op dat een handelaar die betaalkaarten accepteert als betaling voor goederen en/of diensten ook een dienstverlener kan zijn, als de verkochte diensten resulteren in het opslaan, verwerken of verzenden van kaarthoudergegevens namens andere handelaren of dienstverleners. Bijvoorbeeld, een ISP is een handelaar die betaalkaarten accepteert voor maandelijkse facturering, maar is ook een dienstverlener als het hosts handelaren als klanten. Bron: PCI SSC

Back to Top

Q18: Wat is een dienstverlener?

A: de PCI SSC definieert een dienstverlener op deze manier:
“zakelijke entiteit die geen betaalmerk is en die rechtstreeks betrokken is bij de verwerking, opslag of overdracht van gegevens van kaarthouders. Dit geldt ook voor bedrijven die diensten leveren die de veiligheid van kaarthoudergegevens controleren of kunnen beïnvloeden.”(Bron: www.pcisecuritystandards.org)

de rol van ” handelaar als dienstverlener “wordt door de PCI-SSC verder gespecificeerd als” een handelaar die betaalkaarten accepteert als betaling voor goederen en/of diensten…indien de verkochte diensten resulteren in het opslaan, verwerken of verzenden van gegevens van kaarthouders namens andere handelaren of dienstverleners.”Lees meer over hoe u als serviceprovider compliance kunt bereiken. Zie onze blogpost, ” PCI Compliance and the Service Provider.”

Back to Top

Q19: Wat is een betalingsaanvraag?

A: Wat is een betalingsaanvraag in verband met PCI-naleving? De term betalingsaanvraag heeft een zeer brede betekenis in PCI. Een betalingsaanvraag is alles dat kaartgegevens elektronisch opslaat, verwerkt of verzendt. Dit betekent dat alles van een Point of Sale systeem (bijvoorbeeld, Verifone swipe terminals, ALOHA terminals, enz.) in een restaurant naar een Website e-commerce winkelwagentje (bijvoorbeeld, CreLoaded, osCommerce, etc) zijn allemaal geclassificeerd als betaling toepassingen. Daarom wordt elk stukje software dat is ontworpen om creditcardgegevens aan te raken, beschouwd als een betalingsaanvraag.

terug naar boven

Q20: Wat is een betalingsgateway?

A: Betaling gateways verbinden een handelaar aan de bank of processor die fungeert als de front-end verbinding met de kaart merken. Ze worden gateways genoemd omdat ze veel ingangen uit een verscheidenheid van verschillende toepassingen nemen en deze ingangen naar de juiste bank of processor leiden. Gateways communiceren met de bank of processor via inbelverbindingen, webverbindingen of particuliere huurlijnen.

terug naar boven

Q21: Wat is PA-DSS?

A: PA-DSS verwijst naar de beveiligingsstandaard voor betalingsapplicaties die wordt onderhouden door de PCI Security Standards Council (SSC) om het kritieke probleem van de beveiliging van betalingsapplicaties aan te pakken. De vereisten binnen de PA-DSS zijn ontworpen om ervoor te zorgen dat verkopers producten leveren die de inspanningen van handelaren ondersteunen om PCI DSS-naleving te handhaven en de opslag van gevoelige Kaarthouder-gegevens te elimineren.

de PCI SSC beheert het programma om de naleving van betalingsapplicaties te valideren ten opzichte van de PA-DSS, en publiceert en onderhoudt een lijst van PA-DSS gevalideerde applicaties. Zie PCI beveiligingsstandaarden voor meer informatie. Zie ook onze blog post over het kritische verschil tussen de PCI DSS en PA-DSS hier.

terug naar boven

Q22: kan het volledige creditcardnummer worden afgedrukt op de kopie van het ontvangstbewijs van de consument?

A: PCI DSS-eis 3.3 stelt ” Maskerpaneel wanneer deze wordt weergegeven (de eerste zes en de laatste vier cijfers zijn het maximum aantal cijfers dat moet worden weergegeven).”Hoewel de eis het afdrukken van het volledige kaartnummer of de vervaldatum op ontvangstbewijzen (de merchant copy of de consumer copy) niet verbiedt, houdt u er rekening mee dat PCI DSS geen voorrang heeft op andere wetten die bepalen wat op ontvangstbewijzen kan worden afgedrukt (zoals de U. S. Fair and Accurate Credit Transactions Act (FACTA) of andere toepasselijke wetten).

zie de cursieve noot onder PCI DSS-eis 3.3 ” Noot: Deze eis komt niet in de plaats van strengere eisen die gelden voor het weergeven van kaarthoudergegevens—bijvoorbeeld wettelijke of merkvereisten voor betaalkaarten voor ontvangstbewijzen in verkooppunten (POS). Alle papieren ontvangstbewijzen opgeslagen door handelaren moeten voldoen aan de PCI DSS, met name eis 9 met betrekking tot fysieke beveiliging”. Bron: PCI SSC

terug naar boven

Q23: heb ik kwetsbaarheidsscanning nodig om naleving te valideren?

A: Als u in aanmerking komt voor bepaalde Self-assessment Questions (SAQs) of als u gegevens van kaarthouders elektronisch opslaat na autorisatie, is een driemaandelijkse scan door een PCI SSC Approved Scanning Vendor (ASV) vereist om de naleving te handhaven. Als je in aanmerking komt voor een van de volgende SAQ ‘ s Onder versie 3.x van de PCI DSS, dan moet u een passerende ASV-scan hebben:

  • SAQ A-EP
  • SAQ B-IP
  • SAQ C
  • SAQ d-Merchant
  • SAQ D-Service Provider

Back to Top

Q24: Wat is een kwetsbaarheidsscan?

A: Een kwetsbaarheidsscan omvat een geautomatiseerde tool die de systemen van een handelaar of serviceprovider controleert op kwetsbaarheden. De tool zal een niet-opdringerige scan uitvoeren om op afstand netwerken en webapplicaties te beoordelen op basis van de Externe Internet protocol (IP)-adressen die door de handelaar of serviceprovider worden verstrekt. De scan identificeert kwetsbaarheden in besturingssystemen, diensten en apparaten die kunnen worden gebruikt door hackers om het particuliere netwerk van het bedrijf te richten. Zoals verstrekt door een goedgekeurde Scanverkopers (ASV ‘ s) zoals ControlScan, vereist de scan niet dat de handelaar of serviceprovider software op hun systemen installeert, en er worden geen denial-of-service-aanvallen uitgevoerd. Meer informatie over kwetsbaarheidsscans vindt u hier.

terug naar boven

Q25: hoe vaak moet ik een kwetsbaarheidsscan hebben?

A: om de 90 dagen/eenmaal per kwartaal moeten degenen die aan de bovenstaande criteria voldoen een doorlaatscan indienen. Handelaren en dienstverleners dienen conformiteitsdocumentatie (succesvolle scanrapporten) in te dienen volgens het tijdschema dat door hun overnemende partij is vastgesteld. Scans moeten worden uitgevoerd door een PCI SSC Approved Scanning Vendor (ASV), zoals ControlScan.

zie gerelateerde blogpost, ” Internal vs. External Vulnerability Scans: waarom je beide nodig hebt.”

Back to Top

Q26: wat als mijn bedrijf weigert mee te werken?

A: PCI is op zichzelf geen wet. De standaard is gemaakt door de grote kaartmerken Visa, MasterCard, Discover, AMEX en JCB. Naar goeddunken van hun acquirers/serviceproviders kunnen handelaren die niet voldoen aan PCI DSS worden onderworpen aan boetes, kosten voor kaartvervanging, dure forensische audits, merkschade, enz., mocht er een inbreuk plaatsvinden.

voor een beetje vooraf moeite en kosten om te voldoen aan de PCI DSS, helpt u aanzienlijk uw risico te verminderen van het geconfronteerd worden met deze uiterst onaangename en dure gevolgen. Ontdek hoe ControlScan helpt PCI DSS te vereenvoudigen.

Back to Top

Q27: als ik thuis een bedrijf run, ben ik dan een serieus doelwit voor hackers?

A: Ja. Thuisgebruikers zijn misschien wel de meest kwetsbare gewoon omdat ze meestal niet goed beschermd. Door een ‘pad van de minste weerstand’—model aan te nemen, zullen indringers zich vaak richten op thuisgebruikers—vaak profiteren van hun always-on breedbandverbindingen en typische programma ‘ s voor thuisgebruik zoals chat, internetspelletjes en P2P-toepassingen voor het delen van bestanden. ControlScan ‘ s scanservice stelt thuisgebruikers en netwerkbeheerders in staat om beveiligingsproblemen op hun desktop-of laptopcomputers te identificeren en op te lossen.

zie gerelateerde blogpost, ” 5 Best Practices for Securing Your Small Biz.”

Back to Top

Q28: Wat moet ik doen als ik gecompromitteerd ben?

A: hoewel veel datalekken met betaalkaarten gemakkelijk te voorkomen zijn, kunnen en gebeuren ze nog steeds bij bedrijven van alle groottes.

als uw kleine of middelgrote onderneming heeft ontdekt dat het is geschonden, zijn er veel goede middelen om u te helpen met de volgende stappen. Wij bevelen het volgende aan::

  • Department of Justice, Best Practices for Victim Response and Reporting of Cyber Incidents
  • PCI Council, Responding to a Data Breach – A How-To Guide for Incident Management
  • Electronic Transactions Association (ETA), Data Breach Response: a Nine-Step Guide for small Merchants

Back to Top

Q29: hebben staten wetten die meldingen van datalek aan de betrokken partijen vereisen?

A: absoluut. Californië is de katalysator voor het melden van datalekken aan de betrokken partijen. De staat heeft in 2003 zijn wet op de kennisgeving van inbreuken ten uitvoer gelegd en nu heeft bijna elke staat een soortgelijke wet.

vanaf 12 April 2017, NCSL.org rapporten: achtenveertig Staten, het District of Columbia, Guam, Puerto Rico en de Maagdeneilanden hebben wetgeving uitgevaardigd die particuliere, overheids-of educatieve entiteiten verplicht om personen op de hoogte te stellen van inbreuken op de beveiliging van informatie met betrekking tot persoonlijk identificeerbare informatie.

terug naar boven