Sinds 2005 zijn meer dan 10 miljard consumentenrecords gecompromitteerd door meer dan 9.000 datalekken in de VS. Dit zijn de meest recente cijfers van het Privacy Rights Clearinghouse, dat sinds 2005 verslag doet van datalekken en beveiligingsinbreuken die gevolgen hebben voor consumenten. Om de veiligheid van consumentengegevens en het vertrouwen in het betalingsecosysteem te verbeteren, is een minimumnorm voor gegevensbeveiliging opgesteld. Visa, Mastercard, American Express, Discover en JCB hebben in 2006 de Payment Card Industry Security Standards Council (PCI SSC) opgericht om beveiligingsnormen voor bedrijven die creditcardgegevens verwerken te beheren en te controleren.
PCI DSS (Payment Card Industry Data Security Standard) is de wereldwijde beveiligingsstandaard voor alle entiteiten die kaarthoudergegevens en/of gevoelige authenticatiegegevens opslaan, verwerken of verzenden. PCI DSS biedt consumenten een basisbescherming en helpt fraude en gegevenslekken in het hele ecosysteem van betalingen terug te dringen. Het is van toepassing op alle organisaties die betaalkaarten accepteren of verwerken, en er zijn aanzienlijke sancties, boetes en kosten voor organisaties die niet aan deze normen voldoen.
PCI DSS-compliance omvat drie hoofdonderdelen:
- Het verwerken van de invoer van creditcardgegevens van klanten en met name het veilig verzamelen en verzenden van gevoelige kaartgegevens
- Beveiligde opslag van gegevens. Dit staat beschreven in de 12 beveiligingsdomeinen van de PCI-standaard, zoals encryptie, doorlopende bewaking en beveiligingstesten voor de toegang tot kaartgegevens.
- Jaarlijks valideren dat de vereiste beveiligingscontroles aanwezig zijn, waaronder formulieren, vragenlijsten, externe diensten voor het scannen op kwetsbaarheden en audits door derden (zie de stapsgewijze handleiding hieronder voor een tabel met de vier niveaus van vereisten)
Alle ondernemingen die creditcardbetalingen accepteren, moeten voldoen aan PCI DSS, ongeacht het volume, de geografische regio of de integratiemethode. Door aan dit kader te voldoen, kunnen ondernemingen:
- Het vertrouwen van klanten opbouwen door ervoor te zorgen dat hun kaartgegevens veilig zijn
- Zichzelf beschermen tegen fraude en datalekken
- Boetes voorkomen voor overtredingen van de PCI-compliance
Disclaimer: Dit artikel mag alleen als leidraad worden gebruikt en mag niet als definitief advies worden opgevat. We raden je aan om een gekwalificeerde beveiligingsbeoordelaar (QSA) van de Payment Card Industry Data Security Standard (PCI DSS) te raadplegen voor verduidelijking.
Hoe helpt Stripe organisaties bij het bereiken en behouden van PCI-compliance?
Als je met je businessmodel kaartgegevens moet verwerken, moet je mogelijk voldoen aan elk van de 300+ beveiligingscontroles in PCI DSS. De PCI Security Standards Council heeft meer dan 1800 pagina's met officiële documentatie over PCI DSS gepubliceerd en meer dan 300 pagina's alleen al om te begrijpen welk(e) formulier(en) te gebruiken bij het valideren van naleving.
Stripe kan de PCI-belasting voor bedrijven aanzienlijk verminderen door verschillende getokeniseerde integratiemethoden aan te bieden (bijv. Checkout, Elements, mobiele SDK's en Terminal-SDK's), zodat gevoelige creditcardgegevens niet rechtstreeks hoeven te worden verwerkt.
- Stripe Checkout en Stripe Elements gebruiken een online betaalveld voor het verwerken van alle betaalkaartgegevens, dus de kaarthouder voert alle gevoelige betaalinformatie in een betaalveld in dat rechtstreeks afkomstig is van onze PCI DSS-gevalideerde servers.
- Met Stripe mobiele en Terminal-SDK's kan de kaarthouder gevoelige betaalgegevens ook direct naar onze PCI DSS-gevalideerde servers sturen.
Voor al onze gebruikers, ongeacht het type integratie, treedt Stripe op als pleitbezorger van PCI en kan het op verschillende manieren helpen.
- Onze Stripe PCI-wizard analyseert je integratiemethode en geeft advies over hoe je gemakkelijker de compliance kunt waarborgen.
- We brengen je van tevoren op de hoogte als je vanwege een groeiend transactievolume de manier waarop je compliance valideert moet wijzigen.
- Voor grote ondernemingen die met een PCI QSA moeten werken omdat ze creditcardgegevens opslaan of een complexere betaalflow hebben, zijn er meer dan 400 van dergelijke QSA-bedrijven over de hele wereld. We kunnen je in contact brengen met verschillende auditors die de verschillende Stripe-integratiemethoden goed begrijpen.
Stapsgewijze gids voor PCI DSS-compliance
1. Ken je PCI-niveau
De eerste stap bij het bereiken van PCI-compliance is weten welke vereisten van toepassing zijn op je organisatie. Er zijn vier verschillende PCI-complianceniveaus, doorgaans gebaseerd op het aantal creditcardtransacties dat je onderneming in een periode van 12 maanden verwerkt.
Afhankelijk van je niveau gelden er verschillende vereisten, waaronder regelmatige kwetsbaarheidsscans door een goedgekeurde scanleverancier (ASV). Er zijn ook aanvullende vereisten voor serviceproviders, dit zijn bedrijfsentiteiten die rechtstreeks betrokken zijn bij de verwerking, opslag of verzending van kaartgegevens (CHD) en/of gevoelige authenticatiegegevens (SAD) namens een andere entiteit (bijv. betaalgateways, betaaldienstaanbieders en onafhankelijke verkooporganisaties).
|
Complianceniveau
|
Van toepassing op
|
Vereisten
|
|---|---|---|
|
Niveau 1
|
|
|
|
Niveau 2
|
|
|
|
Niveau 3
|
|
|
|
Niveau 4
|
|
|
2. Ken je integratietype en de documentatievereisten
Zodra je je PCI-niveau kent, is de volgende stap om te bepalen welke PCI-documenten je moet invullen om je compliance te valideren, op basis van het type integratie dat je met Stripe gebruikt, of je een dienstverlener bent enz.
Gebruikers op niveau 1
Niveau 1-ondernemingen komen niet in aanmerking voor het gebruik van een SAQ om PCI-compliance aan te tonen. Ze moeten een ROC invullen dat is ondertekend door een QSA of een leidinggevende van de handelaar om hun PCI-compliance jaarlijks te valideren.
Gebruikers op niveau 2-4
Er zijn verschillende SAQ-typen voor gebruikers op niveau 2-4, afhankelijk van de gebruikte methode voor betalingsintegratie. Als je niet zeker weet welk SAQ-type voor jou geschikt is, kan de Stripe PCI-wizard automatisch vaststellen welk type documentatie geschikt is voor jouw onderneming.
|
Integratie
|
Vereiste
|
Aanbeveling
|
|---|---|---|
|
Checkout of Elements
|
SAQ A |
Checkout en Stripe.js en Elements hosten alle invoervelden voor betaalkaartgegevens in een iframe dat wordt geladen vanaf een Stripe-domein (niet je eigen). Zo komen de betaalkaartgegevens van je klanten nooit op je servers terecht.
|
|
Connect
|
SAQ A | Als je betaalkaartgegevens uitsluitend verzamelt via een Connect-platform (bijvoorbeeld Squarespace), kunnen wij bepalen of het platform de benodigde PCI-documentatie verstrekt. |
|
Mobiele SDK
|
SAQ A |
De ontwikkeling en het wijzigingsbeheer van de mobiele SDK van Stripe voldoen aan PCI DSS (vereisten 6.3–6.5) en de SDK wordt geïmplementeerd via onze PCI-gecertificeerde systemen. Wanneer je alleen interfacecomponenten van onze officiële SDK's voor iOS of Android gebruikt, of een betaalformulier bouwt met Elements in een WebView, worden betaalkaartnummers van je klanten rechtstreeks doorgegeven aan Stripe. Dit maakt compliance met de PCI-vereisten makkelijker. Als je iets anders doet en bijvoorbeeld je eigen code schrijft om betaalkaartgegevens te verwerken, moet je mogelijk voldoen aan aanvullende PCI DSS-vereisten (6.3–6.5) en kom je niet in aanmerking voor een SAQ A. Vraag bij een PCI QSA na hoe je het beste je compliance kunt bevestigen volgens de huidige richtlijnen van de PCI Security Standards Council. Als klanten in je applicatie hun gegevens op hun eigen apparaten moeten invoeren, kom je in aanmerking voor SAQ A. Als in je applicatie de betaalkaartgegevens van meerdere klanten op jouw apparaat worden verwerkt (bijvoorbeeld in een POS-app), neem je contact op met een PCI QSA. Die kan je vertellen hoe je het beste je PCI-compliance kunt bevestigen. |
|
Stripe.js v2
|
SAQ A-EP |
Als je Stripe.js v2 gebruikt om betaalkaartgegevens door te geven die zijn ingevuld in een formulier dat wordt gehost op je eigen website, moet je elk jaar de SAQ A-EP invullen om te bewijzen dat je onderneming aan de PCI-vereisten voldoet. Met zowel Checkout als Elements kun je ook heel flexibel een zelf-gehost formulier op maat maken dat aan de PCI-vereisten voor de SAQ A voldoet. |
|
Terminal
|
SAQ C |
Als je betaalkaartgegevens uitsluitend verzamelt via Stripe Terminal, kun je de validatie uitvoeren met SAQ C. Als je andere methoden uit deze tabel gebruikt om te integreren met Stripe, moet je apart aantonen dat je aan de vereisten voldoet die voor die methoden worden beschreven. |
|
Dashboard
|
SAQ C-VT |
Alleen in uitzonderlijke omstandigheden kunnen via het dashboard handmatige kaartbetalingen worden gedaan. Dit kan niet worden gebruikt voor routinematige betalingsverwerking. Bied je klanten een geschikt betaalformulier of mobiele app waarin ze hun betaalkaartgegevens kunnen invoeren. We kunnen buiten de Stripe-omgeving niet verifiëren of handmatig ingevoerde betaalkaartgegevens veilig zijn. Je moet daarom betaalkaartgegevens beschermen in overeenstemming met de vereisten voor PCI-compliance en elk jaar de SAQ C-VT invullen om te bewijzen dat je onderneming hieraan voldoet. |
|
Directe API
|
SAQ D |
Wanneer je betaalkaartgegevens rechtstreeks doorgeeft aan de Stripe-API, verwerkt je integratie deze gegevens rechtstreeks. Je bent dan verplicht om elk jaar je PCI-compliance aan te tonen met de SAQ D, de meest uitdagende SAQ die er is. Je kunt het volgende doen om dit makkelijker te maken:
Bovendien is Radar, onze tool voor fraudepreventie waarmee je risicobeoordelingen en regels kunt gebruiken, alleen beschikbaar bij gebruik van een van onze methoden voor tokenisatie aan clientzijde. |
Dienstverleners
Als je direct betrokken bent bij de verwerking, opslag of overdracht van kaartgegevens (CHD) en/of gevoelige authenticatiegegevens (SAD) namens een andere entiteit (bijvoorbeeld betaalgateways, betaaldienstaanbieders en onafhankelijke verkooporganisaties), kun je worden aangemerkt als dienstverlener. Dienstverleners doen doorgaans het volgende:
- Verwerken van kaarthoudergegevens voor andere organisaties
- Opslaan van kaarthoudergegevens namens klanten
- Verzenden van kaarthoudergegevens tussen systemen
- Aanbieden van diensten die van invloed kunnen zijn op de veiligheid van kaartgegevens of op de veiligheid van de omgeving van een kaarthouder
Veelvoorkomende voorbeelden zijn betaalgateways, hostingproviders (die kaartgegevens opslaan), datacenters van derden, bedrijven die betaalapplicaties aanbieden en aanbieders van tokenisatiediensten.
Als dienstverlener moet je aan extra vereisten voldoen die je moet valideren.
|
Categorie dienstverleners |
Criterium |
PCI-vereisten |
|---|---|---|
|
Niveau 1 |
Alle externe verwerkers (TPP's) Alle gegevensopslagentiteiten (DSE's) met in totaal meer dan 300.000 Mastercard- en Maestro-transacties per jaar |
Jaarlijkse beoordeling ter plaatse uitgevoerd door een QSA |
|
Niveau 2 |
Alle DSE's met in totaal 300.000 of minder Mastercard- en Maestro-transacties per jaar |
Jaarlijkse zelfbeoordeling |
3. Rond je beoordeling af en dien je SAQ-documentatie in
Zodra je hebt vastgesteld welke beoordeling je moet voltooien, is de volgende stap het uitvoeren van de beoordeling, het invullen van de relevante SAQ- of ROC-documentatie en het ter controle beoordeling indienen bij Stripe.
Gebruikers met grote volumes doen er goed aan om de diensten in te schakelen van een QSA die geregistreerd is om te werken in de regio's waar jij actief bent. De QSA helpt je bij het controleren van je systemen aan de hand van de PCI-vereisten en adviseert je over het verhelpen van eventuele tekortkomingen. Hij of zij stelt ook de juiste documentatie op en ondertekent deze, zodat jij deze vervolgens jaarlijks met Stripe kunt delen.
Gebruikers van niveau 3 en 4 moeten waarschijnlijk de PCI DSS-zelfbeoordelingsvragenlijst invullen die geschikt is voor hun branche. Meer bronnen voor handelaren zijn beschikbaar via de PCI Security Standards Council. Stripe staat ook voor je klaar om je te helpen, want onze aangepaste wizard op je PCI-dashboard stelt een reeks vragen en genereert de benodigde documentatie voor je. Je kunt het Stripe PCI-dashboard gebruiken om zelf ingevulde SAQ- of ROC-documentatie te uploaden.
4. Controleren en waarborgen
Het is belangrijk om te onthouden dat PCI-compliance geen eenmalig iets is. Het is een jaarlijks terugkerend proces om ervoor te zorgen dat je onderneming aan de compliancevereisten blijft voldoen, zelfs wanneer gegevensstromen en klantcontactpunten veranderen.
PCI DSS stelt belangrijke normen voor het verwerken en opslaan van kaarthoudergegevens, maar biedt op zichzelf onvoldoende bescherming voor elke betaalomgeving. In plaats daarvan is de overstap naar een veiligere methode voor kaartacceptatie die gebruikmaakt van getokeniseerde gegevens (zoals Stripe Checkout, Elements en mobiele SDK's) een veel effectievere manier om je organisatie te beschermen. Deze aanpak biedt flexibele ondernemingen een manier om potentiële datalekken te voorkomen en de tijdrovende en kostbare historische benadering van PCI-validatie te vermijden.
Naarmate een bedrijf groeit, zullen ook de kernbedrijfslogica en -processen groeien, wat betekent dat de nalevingsvereisten ook zullen evolueren. Een online onderneming kan bijvoorbeeld besluiten om fysieke winkels te openen, nieuwe markten te betreden of een klantenondersteuningscentrum te starten. Als er iets nieuws is met betrekking tot betaalkaartgegevens, is het een goed idee om proactief na te gaan of dit gevolgen heeft voor de gekozen PCI-validatiemethode en de PCI-compliance zo nodig opnieuw te valideren.
Ga voor meer info over de complexe wereld van PCI-compliance naar de website van de PCI Security Standards Council. Als je alleen deze gids en een paar andere PCI-documenten leest, raden we je aan om met deze te beginnen:
- Prioritaire aanpak voor PCI DSS
- SAQ-instructies en richtlijnen
- Veelgestelde vragen over het gebruik van SAQ-geschiktheidscriteria om vereisten voor beoordeling ter plaatse te bepalen
- Veelgestelde vragen over verplichtingen voor ondernemingen die apps ontwikkelen voor consumentenapparaten die betaalkaartgegevens accepteren
Hoe Stripe organisaties helpt bij het waarborgen van PCI-compliance
Stripe is een PCI Level 1-dienstverlener en wordt jaarlijks gecertificeerd door een onafhankelijke PCI gekwalificeerde beveiligingsbeoordelaar voor alle PCI DSS-vereisten. Dit betekent dat al onze producten standaard veilig zijn, waardoor je minder aan compliance-vereisten hoeft te voldoen.
Voor al onze gebruikers, ongeacht het type integratie, treedt Stripe op als pleitbezorger van PCI en kan het op verschillende manieren helpen.
Ondersteuning voor kleinere ondernemingen
Stripe maakt de PCI-compliance voor kleinere ondernemingen aanzienlijk eenvoudiger door een op maat gemaakt compliancetraject aan te bieden, inclusief vooraf ingevulde SAQ's en begeleide flows voor gebruikers van veiligere integratiemethoden zoals Checkout, Elements, mobiele SDK's en Terminal-SDK's.
Op maat gemaakt dashboard
Zodra je een Stripe-klant wordt, analyseren we je transactiegeschiedenis en adviseren we je hoe je gemakkelijker de compliance waarborgen door middel van een dashboard op maat.
Ondersteuning terwijl je onderneming groeit
Naarmate je jaarlijkse transactievolume toeneemt, kan het zijn dat je binnen een jaar van PCI-niveau verandert. Stripe ondersteunt je bij deze overgang door je te informeren over nieuwe vereisten zodra de PCI-verlengingsdatum nadert.
Meer dan één dienstverlener
Als je bedrijf meer dan één verwerker gebruikt, kan het PCI-complianceproces verwarrend worden. Stripe stroomlijnt dit proces door de indiening van AOC's van je leveranciers te ondersteunen, waardoor het eenvoudiger wordt om compliance te waarborgen.
Ondersteuning van MOTO-betalingen (bestelling per post/telefoon)
Stripe ondersteunt ondernemingen die MOTO-betalingen accepteren door integratie met diensten van derden voor het veilig telefonisch ophalen van betaalkaarten. Deze services automatiseren het verzamelen van betaalkaartgegevens met technologieën zoals het indienen van kaartnummers of spraakherkenning. Hierdoor hoeven kaartgegevens niet meer handmatig te worden ingevoerd. Deze aanpak kan de PCI-compliance aanzienlijk verminderen doordat er geen menselijke tussenkomst meer nodig is. Voor MOTO-gebruiksscenario's zijn er drie waarschijnlijke SAQ-uitkomsten:
- SAQ-A: Toepassing van de betaalconnector waarbij kaarthoudergegevens via de telefoon worden verzameld met behulp van een PCI-conforme oplossing van derden, en kaartgegevens rechtstreeks naar Stripe worden verzonden. In dit geval mogen gebruikers geen toegang hebben tot de kaartgegevens terwijl deze via de telefoon worden gepresenteerd en mogen ze geen kaarthoudergegevens opslaan, verwerken of verzenden binnen hun omgeving.
- SAQ C-VT: De gebruiker ontvangt kaartgegevens via MOTO-betalingen en deze worden rechtstreeks ingevoerd in het Stripe-dashboard. In deze situatie moet handmatige indiening worden uitgevoerd voor beperkte gebruiksscenario's, niet voor terugkerende toepassingen en met de wetenschap dat elektronische opslag van kaartgegevens niet is toegestaan.
- SAQ-D: Elke toepassing waarbij gebruikers kaarthoudergegevens van hun klant verzamelen en kaarthoudergegevens elektronisch hebben opgeslagen in hun omgeving.
Voor specifieke richtlijnen over PCI-compliance en je MOTO-implementatie raden we je aan een PCI Qualified Security Assessor (QSA) te raadplegen.