Een gids voor PCI-compliance

Payment Card Industry Data Security Standards (PCI DSS) zijn de minimale vereisten voor de beveiliging van gegevens. Deze stapsgewijze gids bevat informatie over compliance en hoe Stripe daarbij kan helpen.

Avatar-foto van Mike Dahn
Mike Dahn

Mike Dahn is bij Stripe eindverantwoordelijke voor beleidsmatige relaties op het gebied van beveiliging. Eerder was hij werkzaam als trainer, auditor en implementatiedeskundige op het gebied van PCI.

  1. Inleiding
  2. Overzicht van de PCI-gegevensbeveiligingsstandaard (PCI DSS)
    1. Verwerking van kaartgegevens
    2. Beveiligde opslag van gegevens
    3. Jaarlijkse validatie
  3. Stapsgewijze gids voor PCI DSS-compliance
    1. 1. Ken je vereisten
    2. 2. Gegevensstromen in kaart brengen
    3. 3. Controleer beveiligingscontroles en -protocollen
    4. 4. Bewaken en handhaven
  4. Hoe Stripe organisaties helpt de PCI-vereisten na te leven en te handhaven
  5. Conclusie
    1. PCI-compliance helpt. Alleen niet genoeg.

PCI DSS versie 4.0 gaat op 31 maart 2024 in

Sinds 2005 zijn er meer dan 11 miljard gegevensarchieven van consumenten op straat beland als gevolg van meer dan 8500 gegevenslekken. Dit zijn de nieuwste cijfers van de Privacy Rights Clearinghouse, een organisatie die rapporteert over gegevenslekken en beveiligingsinbreuken die nadelig zijn voor consumenten (vanaf 2005 tot heden).

Om de veiligheid van klantgegevens en het vertrouwen in betaalomgevingen te verbeteren is er een minimale standaard voor gegevensbeveiliging opgesteld. Visa, Mastercard, American Express, Discover en JCB hebben in 2006 de Payment Card Industry Security Standards Council (PCI SSC) opgericht om beveiligingsstandaarden op te stellen en te beheren voor bedrijven die creditcardgegevens verwerken. Voordat de PCI SSC werd opgericht, hadden deze vijf creditcardmaatschappijen allemaal hun eigen programma voor beveiligingsstandaarden, met elk ongeveer dezelfde vereisten en doelstellingen. Ze besloten daarom hun krachten te bundelen in de PCI SSC om met één standaardbeleid, de PCI Data Security Standards (ook wel PCI DSS genoemd), consumenten en banken een minimaal beschermingsniveau te bieden in het huidige internettijdperk.

De PCI DSS kan complex en moeilijk zijn

Als je op grond van je businessmodel kaartgegevens moet verwerken, ben je mogelijk verplicht om aan elk van de meer dan 300 beveiligingscontroles van de PCI DSS te voldoen. De PCI Council heeft meer dan 1800 pagina's aan officiële documenten over de PCI DSS gepubliceerd, en meer dan 300 pagina's waarin wordt uitgelegd welke formulieren je moet gebruiken bij het valideren van de compliance. Alleen al het lezen van alle documenten zou je meer dan 72 uur kosten.

Hieronder vind je een stapsgewijze gids waarmee we de validatie en handhaving van de PCI-compliance iets begrijpelijker hopen te maken.

Overzicht van de PCI-gegevensbeveiligingsstandaard (PCI DSS)

De PCI DSS is de wereldwijde beveiligingsstandaard voor alle entiteiten die kaarthoudergegevens en/of gevoelige authenticatiegegevens opslaan, verwerken of overdragen. De PCI DSS schrijft een minimaal beschermingsniveau voor consumenten voor en helpt fraude en gegevenslekken terug te dringen in de hele betaalomgeving. De standaard is van toepassing op elke organisatie die betaalkaarten accepteert of verwerkt.

PCI DSS-compliance omvat drie hoofdonderdelen:

  1. Verwerking van binnenkomende creditcardgegevens van klanten. Hierbij gaat het erom dat gevoelige kaartgegevens veilig worden verzameld en overgedragen.
  2. Beveiligde opslag van gegevens. Dit staat beschreven in de 12 beveiligingsdomeinen van de PCI-standaard, zoals encryptie, doorlopende bewaking en beveiligingstesten voor de toegang tot kaartgegevens.
  3. Jaarlijkse validatie van het gebruik van de verplichte beveiligingscontroles. Het gaat hierbij om formulieren, vragenlijsten, externe diensten voor het scannen op kwetsbaarheden en controles door derden (zie de onderstaande stapsgewijze gids voor een tabel met de vier vereistenniveaus)

Verwerking van kaartgegevens

Bij sommige businessmodellen moeten gevoelige creditcardgegevens direct worden verwerkt bij het accepteren van betalingen, terwijl dat bij andere modellen niet het geval is. Bedrijven die wel kaartgegevens moeten verwerken (bijvoorbeeld als ze niet naar tokens omgezette PAN's accepteren op een betaalpagina), moeten mogelijk voldoen aan elk van de meer dan 300 beveiligingscontroles in de PCI DSS. Zelfs als kaartgegevens slechts heel even op de servers staan, moet het bedrijf beveiligingssoftware en -hardware kopen, implementeren en onderhouden.

Als een bedrijf niet per se gevoelige creditcardgegevens hoeft te verwerken, is het beter om dat ook niet te doen. Oplossingen van derden (bijvoorbeeld Stripe Elements) kunnen de gegevens veilig accepteren en opslaan, waardoor de complexiteit, kosten en risico's aanzienlijk afnemen. Aangezien de kaartgegevens dan nooit op de servers van het bedrijf staan, hoeft het bedrijf slechts enkele beveiligingscontroles te bevestigen, waarvan de meeste vrij eenvoudig zijn, zoals het gebruik van sterke wachtwoorden.

Beveiligde opslag van gegevens

Als een organisatie creditcardgegevens verwerkt of opslaat, moet het bereik van de omgeving van de kaarthoudergegevens (CDE, Cardholder Data Environment) worden gedefinieerd. De PCI DSS definieert de CDE als de mensen, processen en technologieën die creditcardgegevens opslaan, verwerken of overdragen, of elk systeem dat met deze omgeving verbonden is. Aangezien alle meer dan 300 beveiligingsvereisten in de PCI DSS van toepassing zijn op de CDE, is het belangrijk om de betaalomgeving goed te scheiden van de rest van het bedrijf, zodat het bereik van de PCI-validatie zoveel mogelijk wordt beperkt. Kan een organisatie het CDE-bereik niet beperken door middel van nauwkeurig gescheiden segmenten, dan zijn de PCI-beveiligingscontroles van toepassing op elk systeem, elke laptop en elk apparaat in het bedrijfsnetwerk. En dat wil je echt niet.

Jaarlijkse validatie

Ongeacht de wijze waarop kaartgegevens worden geaccepteerd, zijn organisaties verplicht om jaarlijks een PCI-validatieformulier in te vullen. De manier waarop de PCI-compliance wordt gevalideerd, hangt af van een aantal factoren, die we hieronder op een rijtje hebben gezet. Hier volgen drie scenario's waarin een organisatie kan worden gevraagd de PCI-compliance aan te tonen:

  • Betalingsverwerkers kunnen PCI-compliance vereisen als onderdeel van hun verplichte rapportage aan de betaalkaartmaatschappijen.
  • Zakelijke partners kunnen PCI-compliance vereisen als voorwaarde om zakelijke overeenkomsten aan te gaan.
  • Platformbedrijven (met een technologie die online transacties onder meerdere afzonderlijke groepen gebruikers mogelijk maakt) kunnen door klanten worden gevraagd de veilige verwerking van gegevens aan te tonen.

De PCI DSS-beveiligingsstandaard omvat 12 hoofdvereisten met meer dan 300 subvereisten die zijn afgestemd op de aanbevolen beveiligingsprocedures.

ONTWIKKEL EN ONDERHOUD BEVEILIGDE NETWERKEN EN SYSTEMEN

  • 1. Installeer en onderhoud netwerkbeveiligingscontroles.
  • 2. Pas veilige configuraties op alle systeemcomponenten toe.

BESCHERM ACCOUNTGEGEVENS

  • 3. Bescherm opgeslagen kaarthoudergegevens.
  • 4. Bescherm kaarthoudergegevens met krachtige versleuteling tijdens transmissie via open, openbare netwerken.

HANDHAAF EEN BEHEERPROGRAMMA VOOR KWETSBAARHEDEN

  • 5. Bescherm alle systemen en netwerken tegen schadelijke software.
  • 6. Ontwikkel en onderhoud beveiligde systemen en software.

IMPLEMENTEER KRACHTIGE MAATREGELEN VOOR TOEGANGSBEHEER

  • 7. Beperk de toegang tot systeemonderdelen en kaarthoudergegevens tot mensen die deze gegevens nodig hebben om hun werk te doen.
  • 8. Identificeer gebruikers en autoriseer de toegang tot systeemonderdelen.
  • 9. Beperk de fysieke toegang tot kaarthoudergegevens.

CONTROLEER EN TEST NETWERKEN REGELMATIG

  • 10. Registreer en bewaak alle toegang tot systeemonderdelen en kaarthoudergegevens.
  • 11. Test de beveiliging van systemen en netwerken regelmatig.

HANDHAAF EEN INFORMATIEBEVEILIGINGSBELEID

  • 12. Ondersteun informatiebeveiliging met organisatiebeleid en -procedures.

De PCI Council heeft negen verschillende SAQ-formulieren (Self-Assessment Questionnaires) opgesteld om het nieuwe bedrijven die de PCI-compliance willen valideren 'makkelijker te maken'. Deze formulieren vormen een subset van de volledige PCI DSS-vereisten. Maar dan nog is het een hele kunst om erachter te komen welk formulier van toepassing is en of het nodig is een door de PCI Council goedgekeurde auditor in te schakelen die kan verifiëren dat aan elke PCI DSS-beveiligingsvereiste is voldaan. Daar komt nog bij dat de PCI Council de regels om de drie jaar herziet en in de loop van het jaar nieuwe updates uitgeeft, waardoor de dynamische complexiteit nog verder toeneemt.

Stapsgewijze gids voor PCI DSS-compliance

1. Ken je vereisten

De eerste stap bij PCI-compliance is weten welke vereisten van toepassing zijn op je organisatie. Er zijn vier verschillende PCI-complianceniveaus, doorgaans gebaseerd op het aantal creditcardtransacties dat je bedrijf in een periode van 12 maanden verwerkt.

Complianceniveau
Van toepassing op
Vereisten
Niveau 1
  1. Organisaties die jaarlijks meer dan 6 miljoen transacties via Visa of Mastercard verwerken, of meer dan 2,5 miljoen transacties via American Express; of
  2. Organisaties die een gegevenslek hebben gehad; of
  3. Organisaties die als 'Niveau 1' worden aangemerkt door een creditcardmaatschappij (Visa, Mastercard, enz.)
  1. Jaarlijks compliancerapport (ROC) van een gekwalificeerde beveiligingsbeoordelaar (QSA), ook wel een Niveau 1-beoordeling op locatie genoemd, of van een interne auditor indien ondertekend door een functionaris van het bedrijf
  2. Elk kwartaal een netwerkscan door een goedgekeurde scanleverancier (ASV)
  3. Bewijs van compliance (AOC) voor beoordelingen ter plaatse. Er zijn specifieke formulieren voor handelaren en dienstverleners
Niveau 2
Organisaties die jaarlijks 1 tot 6 miljoen transacties verwerken
  1. Jaarlijkse PCI DSS-vragenlijst voor zelfbeoordeling (SAQ): in de onderstaande tabel vind je een kort overzicht van de 9 SAQ-typen
  2. Elk kwartaal een netwerkscan door een goedgekeurde scanleverancier (ASV)
  3. Bewijs van compliance (AOC): elk van de 9 SAQ's heeft een eigen AOC-formulier
Niveau 3
  1. Organisaties die jaarlijks 20.000 tot 1 miljoen transacties verwerken
  2. Organisaties die jaarlijks minder dan 1 miljoen transacties verwerken
Hetzelfde als hierboven
Niveau 4
  1. Organisaties die per jaar 20.000 miljoen transacties verwerken; of
  2. Organisaties die maximaal 1 miljoen transacties per jaar verwerken
Hetzelfde als hierboven

Er zijn verschillende SAQ-typen voor niveau 2-4, afhankelijk van de gebruikte methode voor betalingsintegratie. Hier volgt een kort overzicht:

SAQ
Beschrijving
A
Handelaren waarbij de kaart niet aanwezig is (e-commerce of bestelling per post/bestelling per telefoon) die alle accountgegevensfuncties volledig uitbesteden aan door PCI DSS gevalideerde en conforme derde partijen. Geen elektronische opslag, verwerking of overdracht van accountgegevens op hun systemen of locaties.

Niet van toepassing op fysieke kanalen. Niet van toepassing op dienstverleners.
A-EP
E-commercehandelaren die de betalingsverwerking gedeeltelijk uitbesteden aan door PCI DSS gevalideerde en conforme derde partijen en met een of meer websites die zelf geen accountgegevens ontvangen, maar wel van invloed zijn op de beveiliging van de betalingstransactie en/of de integriteit van de pagina die de accountgegevens van de klant accepteert. Geen elektronische opslag, verwerking of overdracht van accountgegevens op de systemen of locaties van de handelaar.

Alleen van toepassing op e-commercekanalen. Niet van toepassing op dienstverleners.
B
Handelaren die alleen gebruikmaken van:
  • Imprinters zonder elektronische opslag van accountgegevens en/of
  • Zelfstandige terminals met uitbelverbinding, zonder elektronische opslag van accountgegevens
Niet van toepassing op e-commercekanalen. Niet van toepassing op dienstverleners.
B-IP
Handelaren die alleen zelfstandige, PTS-goedgekeurde betaalterminals gebruiken met een IP-verbinding naar de betalingsverwerker. Geen elektronische opslag van kaarthoudergegevens.

Niet van toepassing op e-commercekanalen.
C-VT
Handelaren die handmatig, per afzonderlijke transactie, betalingsaccountgegevens invoeren via een toetsenbord in een door PCI DSS gevalideerde en conforme virtuele betaalterminaloplossing van derden, met een geïsoleerd computersysteem en een veilig verbonden webbrowser. Geen elektronische opslag van accountgegevens.

Niet van toepassing op e-commercekanalen. Niet van toepassing op dienstverleners.
C
Handelaren met betaalapps die verbonden zijn met het internet, geen elektronische opslag van accountgegevens. Niet van toepassing op e-commercekanalen.

Niet van toepassing op dienstverleners.
P2PE
Handelaren die uitsluitend gebruikmaken van een gevalideerde, op de PCI-lijst vermelde oplossing voor point-to-point-encryptie (P2PE). Geen toegang tot accountgegevens in platte tekst en geen elektronische opslag van accountgegevens.

Niet van toepassing op e-commercekanalen. Niet van toepassing op dienstverleners.
SPoC*
Handelaren die een commercieel verkrijgbaar mobiel apparaat gebruiken (bijvoorbeeld een telefoon of tablet) met een veilige kaartlezer die is opgenomen in de lijst van door PCI SSC gevalideerde SPoC-oplossingen. Geen toegang tot accountgegevens in platte tekst en geen elektronische opslag van accountgegevens.

Niet van toepassing op onbeheerde bestellingen per post/bestellingen per telefoon (MOTO, mail-order/telephone order) waarbij een kaart aanwezig is, of e-commercekanalen. Niet van toepassing op dienstverleners.
D
SAQ VOOR HANDELAREN: Alle handelaren die niet in de beschrijvingen van de bovenstaande SAQ-typen staan vermeld.

SAQ D VOOR DIENSTVERLENERS: Alle dienstverleners die volgens de definitie van een betaalmerk in aanmerking komen voor het invullen van een SAQ.
* Nieuwe SAQ voor PCI DSS v4.0

2. Gegevensstromen in kaart brengen

Voordat je gevoelige creditcardgegevens kunt beschermen, moet je weten waar ze zijn opgeslagen en hoe ze daar terechtkomen. Je kunt het beste een gedetailleerd overzicht maken van de systemen, netwerkverbindingen en apps die interactie hebben met creditcardgegevens in je organisatie. Afhankelijk van je functie moet je hiervoor waarschijnlijk samenwerken met IT- en beveiligingsteams.

  • Breng eerst elk consumentgericht onderdeel van het bedrijf in kaart waar betaaltransacties plaatsvinden. Je accepteert bijvoorbeeld betalingen via een online winkelwagentje, betaalautomaten in winkels of bestellingen die via de telefoon worden geplaatst.
  • Bepaal vervolgens de verschillende manieren waarop kaarthoudergegevens in het bedrijf worden verwerkt. Het is belangrijk dat je exact weet waar de gegevens zijn opgeslagen en wie er toegang toe heeft.
  • Breng ten slotte de interne systemen of onderliggende technologieën in kaart die in contact komen met betaaltransacties. Hiertoe behoren onder andere je netwerksystemen, datacenters en cloudomgevingen.

3. Controleer beveiligingscontroles en -protocollen

Nadat je alle potentiële contactpunten voor creditcardgegevens in je hele organisatie in kaart hebt gebracht, raden we je aan er samen met IT- en beveiligingsteams op toe te zien dat de juiste beveiligingsconfiguraties en -protocollen worden gebruikt (zie de lijst met 12 beveiligingsvereisten voor PCI DSS hierboven). Deze protocollen, zoals het TLS-protocol (Transport Layer Security), zijn ontwikkeld om de overdracht van gegevens te beveiligen.

De 12 beveiligingsvereisten voor PCI DSS zijn afgeleid van aanbevolen werkwijzen voor de bescherming van gevoelige gegevens bij allerlei soorten bedrijven. Er is op verschillende punten sprake van overlap met de procedures van de AVG, de HIPAA en andere privacyvereisten en het kan dus zijn dat er in je organisatie al een aantal worden toegepast.

4. Bewaken en handhaven

Het is belangrijk om te weten dat de PCI-compliance geen eenmalige gebeurtenis is. Het is een doorgaand proces dat ervoor zorgt dat je bedrijf de regels ook blijft naleven wanneer gegevensstromen en contactpunten met klanten veranderen. Sommige creditcardmerken kunnen je verplichten driemaandelijkse of jaarlijkse rapporten in te dienen, of een jaarlijkse beoordeling op locatie uit te voeren om de voortdurende compliance te valideren, met name als je elk jaar meer dan 6 miljoen transacties verwerkt.

Voor het handhaven van de PCI-compliance gedurende het hele jaar (en dat elk jaar opnieuw) is vaak ondersteuning van en samenwerking met verschillende afdelingen nodig. Het kan nuttig zijn om intern een vast team samen te stellen dat toezicht houdt op de voortdurende compliance van de vereisten. Hoewel elk bedrijf uniek is, zouden de volgende onderdelen een goed uitgangspunt voor het 'PCI-team' kunnen zijn:

  • Beveiliging: De Chief Security Officer (CSO), Chief Information Security Officer (CISO) en bijbehorende teams zien erop toe dat de organisatie altijd voldoende investeert in de hulpmiddelen en beleidsregels die noodzakelijk zijn voor de beveiliging en privacy van gegevens.
  • Technologie/betalingen: De Chief Technology Officer (CTO), VP Payments en bijbehorende teams zien erop toe dat de belangrijkste tools, integraties en infrastructuur in overeenstemming met de regels blijven werken tijdens de verdere ontwikkeling van de systemen van de organisatie.
  • Financiën: De Chief Financial Officer (CFO) en het bijbehorende team zorgen dat alle procedures voor betaalgegevens die betrekking hebben op betaalsystemen en -partners correct worden geboekt.
  • Juridisch: Het juridische team wijst de weg in de wirwar van PCI DSS-compliancevereisten.

Voor meer informatie over de complexe wereld van PCI-compliance verwijzen we je naar de website van PCI Security Standards Council. Als je alleen deze gids en enkele andere PCI-documenten leest, raden we je aan hiermee te beginnen: prioriteitsaanpak voor PCI DSS, Instructies en richtlijnen voor SAQ, veelgestelde vragen over het gebruik van SAQ-geschiktheidscriteria voor evaluatievereisten ter plaatse en veelgestelde vragen over verplichtingen voor verkopers die apps ontwikkelen voor consumentenapparaten die betaalkaartgegevens accepteren.

Hoe Stripe organisaties helpt de PCI-vereisten na te leven en te handhaven

Stripe zorgt voor een aanzienlijke vereenvoudiging van de PCI-werkzaamheden van bedrijven die kiezen voor integratie met Checkout, Elements, mobiele SDK's en Terminal-SDK's. Stripe Checkout en Stripe Elements wordt een gehost betaalveld gebruikt voor de verwerking van alle betaalkaartgegevens, zodat de kaarthouder alle gevoelige betaalgegevens invoert in een betaalveld dat rechtstreeks afkomstig is van onze PCI DSS-gevalideerde servers. Met de mobiele en Terminal-SDK's van Stripe kan de kaarthouder gevoelige betaalgegevens ook rechtstreeks naar onze PCI DSS-gevalideerde servers verzenden.

Stripe fungeert als een soort PCI-medewerker voor al onze gebruikers, en kan op diverse manieren hulp bieden (ongeacht het integratietype).

  • We analyseren je integratiemethode en geven je advies over hoe je met minder tijd en moeite aan de vereisten kunt voldoen.
  • We sturen je op tijd een melding als je wegens een groeiend transactievolume de compliance op een andere manier moet valideren.
  • Als je met een PCI QSA moet werken (omdat je creditcardgegevens opslaat of omdat je een meer complexe betaalproces hebt), zijn er voor grote verkopers (niveau 1) meer dan 350 van dat soort QSA-bedrijven over de hele wereld. We kunnen je ook in contact brengen met auditors die uitstekende kennis hebben van de verschillende Stripe-integratiemethoden.

Conclusie

Hoewel de PCI-compliance meestal één keer per jaar wordt beoordeeld en gevalideerd, is het geen eenmalige gebeurtenis, maar een voortdurende reeks beoordelingen en aanpassingen waarvoor veel werk moet worden verzet. Als een bedrijf groeit, groeien de kernactiviteiten en processen van het bedrijf ook mee. En dat betekent dat de compliancevereisten ook veranderen. Een online bedrijf kan bijvoorbeeld fysieke winkels openen, nieuwe markten aanboren of een klantondersteuningscentrum openen. Als er betaalkaartgegevens betrokken zijn bij de nieuwe activiteiten, is het een goed idee om proactief te controleren of dit gevolgen heeft voor de PCI-validatiemethode, en zo nodig de PCI-compliance opnieuw te valideren.

PCI-compliance helpt. Alleen niet genoeg.

Als je bedrijf de PCI DSS-richtlijnen volgt, beschikt het over een noodzakelijke beschermingslaag. Die laag alleen is echter niet genoeg. De PCI DSS omvat belangrijke standaarden voor het verwerken en opslaan van kaarthoudergegevens, maar biedt op zichzelf niet voldoende bescherming voor elke betaalomgeving. Overstappen naar een veiligere methode voor het accepteren van kaarten (zoals Stripe Checkout, Elements en mobiele SDK's) is een veel effectievere manier om je organisatie te beschermen. Deze benadering biedt flexibele bedrijven een manier om een potentieel gegevenslek te beteugelen en de emotionele, tijdrovende en dure historische benadering van een PCI-validatie te vermijden. Bovendien is een veiligere integratiemethode elke dag van het jaar betrouwbaar.

Direct aan de slag? Neem contact op of maak een account.

Maak direct een account om betalingen te kunnen ontvangen. Contracten of bankgegevens zijn niet vereist. Je kunt ook contact met ons opnemen om een aangepast pakket voor je onderneming samen te stellen.