Als uw bedrijf kaartbetalingen accepteert, is het belangrijk om een ​​robuust beveiligingsplatform te hebben om uw klanten te beschermen. De kaartbetalingssector zag een toename van kaartbetalingsfraude en ontwikkelde de Payment Card Industry Data Security Standard (PCI DSS) om de beveiliging van kaartbetalingen te verbeteren.

Gelanceerd in 2006, is PCI DSS van toepassing op alle bedrijven die betaalkaartinformatie verwerken, opslaan of verzenden. Als uw bedrijf betalingen accepteert van MasterCard, Visa, American Express, Discover of JCB, moet uw bedrijf volledig PCI DSS-compatibel zijn.

Waarom zouden kleine bedrijven het PCI DSS-systeem gebruiken? Het PCI DSS-systeem wordt beheerd door de PCI Security Standards Council, een onafhankelijke instantie die is opgericht door de belangrijkste creditcarduitgevers die adviseert:

  • Naleving van de PCI DSS betekent dat uw systemen beveiligd zijn en dat klanten u kunnen vertrouwen met hun gevoelige betaalkaartinformatie.
  • Vertrouwen betekent dat uw klanten vertrouwen hebben in zakendoen met u.
  • Zelfverzekerde klanten hebben meer kans om terugkerende klanten te zijn en om u aan anderen aan te bevelen.
  • Compliance is een continu proces, geen eenmalige gebeurtenis. Het helpt bij het voorkomen van beveiligingsinbreuken en diefstal van betaalkaartgegevens, niet alleen vandaag, maar in de toekomst.

De PCI Security Standards Council zegt: "U hebt hard gewerkt om uw bedrijf op te bouwen - zorg ervoor dat u uw succes beveiligt door de betaalkaartgegevens van uw klanten te beveiligen. Uw klanten zijn afhankelijk van u om hun informatie veilig te houden - hun vertrouwen terug te betalen met naleving van de PCI-beveiligingsnormen. "

Als uw bedrijf PCI DSS niet ondersteunt, waarschuwt de PCI Security Standards Council:

  • Gecompromitteerde gegevens hebben een negatieve invloed op consumenten, handelaren en financiële instellingen.
  • Eén incident kan uw reputatie en uw vermogen om effectief zaken te doen, in de toekomst ernstig beschadigen.
  • Accountgegevens kunnen leiden tot catastrofaal verlies van verkoop, relaties en reputatie in uw community, en een gedeprimeerde aandelenkoers als de uwe een openbaar bedrijf is.
  • Mogelijke negatieve gevolgen omvatten ook: rechtszaken, verzekeringsclaims, geannuleerde rekeningen, boetes van betaalkaartuitgevers en overheidsboetes.

Het compliantieproces van PCI DSS

De meeste bedrijven vallen in de categorie Merchant Level 4, die is gedefinieerd als de verwerking van minder dan 20.000 Visa-transacties per jaar.

U kunt ervoor zorgen dat uw bedrijf volledig compliant is door deze stappen te volgen:

  1. Identificeer welk validatietype uw bedrijf zou moeten gebruiken onder PCI DSS. Dit zal bepalen welke Self Assessment Questionnaire (SAQ) uw bedrijf moet voltooien.
  2. Nadat de zelfbeoordelingsvragenlijst is voltooid, moet u aantonen dat uw bedrijf kwetsbaarheidsscans heeft gepasseerd door een van de PCI SSC goedgekeurde scanningsleveranciers. Dit wordt vereist door bedrijven in de categorie Niveau 4 die een klantgerichte website hebben, zoals alle e-commercebedrijven zullen hebben. Een volledige lijst van goedgekeurde scanverkopers vindt u op de website PCI Security Standards Council:
  3. Voltooi de attestering van naleving, die zich in de SAQ-tool bevindt. Meer informatie vindt u op de website PCI Security Standards Council:
  4. Dien uw SAQ in en bewijs dat uw bedrijf kwetsbaarheden heeft gescand en alle aanvullende documentatie die uw acquirer heeft aangevraagd. Uw acquirer wordt het bedrijf dat verantwoordelijk is voor de verwerking van uw betaalkaart.

Het is belangrijk om te begrijpen dat een beveiligingssysteem op uw website - meestal SSL (Secure Sockets Layer) - dat wel doet niet betekent dat uw bedrijf voldoet aan PCI DSS omdat de twee beveiligingssystemen anders zijn. SSL biedt bezoekers van uw website een beveiligingslaag die informatie codeert die wordt doorgegeven tussen hun computer en de servers van uw bedrijf.

Dit omvat alle creditcard- of bankpasgegevens die ze invoeren in het betaalsysteem van uw bedrijf, maar biedt geen bescherming voor de betaling die wordt gedaan. Dit is waar PCI DSS-compliance binnenkomt. Uw bedrijf moet ervoor zorgen dat het een geldig SSL-certificaat heeft van een van de toonaangevende leveranciers zoals Thawte of VeriSign en heeft ook de huidige naleving van PCI DSS.

Voor kleinere bedrijven die volledige PCI DSS behalen, lijkt naleving behoorlijk ontmoedigend. Gelukkig zijn er een aantal bedrijven die nalevingsdiensten en hulpmiddelen bieden die uw bedrijf kan gebruiken om het hele proces veel gemakkelijker te maken.

Een hulpmiddel is QualysGuard PCI Compliance. Het cloudgebaseerde systeem biedt een gestroomlijnd proces dat ook de zekerheid biedt dat uw netwerk zeer veilig is. De QualysGuard PCI-webtoepassing leidt u door het PCI-nalevingsproces met zijn eenvoudig te volgen stapsgewijze aanpak en compliance-tips.

Nadat uw bedrijf het SSL-certificaat heeft verkregen en ook volledig voldoet aan PCI DSS, moet uw bedrijf waakzaam blijven ten aanzien van op kaarten gebaseerde fraude. Naarmate er meer beveiligingsinitiatieven zijn ontwikkeld, zoals PCI DSS en Chip & PIN, zijn de incidenten van kaartfraude afgenomen, maar uw bedrijf moet een gedetailleerde kennis hebben van wat u moet doen als u vermoedt dat er fraude heeft plaatsgevonden. Visa heeft een handig document 'Wat te doen als uw site is aangetast', waarin nauwkeurig wordt gekeken naar de soorten kaartfraude waar u op moet letten en wat u moet doen als u denkt dat er een kaartfraude heeft plaatsgevonden. Als uw bedrijf nog niet PCI DSS compliant is, zet dit dan bovenaan uw agenda.