Aanmelden 

Een gids voor PCI-compliance

Payment Card Industry Data Security Standards (PCI DSS) zijn de minimale vereisten voor de beveiliging van gegevens. Deze stapsgewijze gids bevat informatie over compliance en hoe Stripe daarbij kan helpen.

Payments
Payments

Ontvang over de hele wereld online en fysieke betalingen met een betaaloplossing die past bij elke onderneming, van veelbelovende start-ups tot multinationals.

Meer informatie 
  1. Inleiding
  2. Hoe helpt Stripe organisaties bij het bereiken en behouden van PCI-compliance?
  3. Stapsgewijze gids voor PCI DSS-compliance
    1. 1. Ken je PCI-niveau
    2. 2. Ken je integratietype en de documentatievereisten
    3. 3. Rond je beoordeling af en dien je SAQ-documentatie in
    4. 4. Controleren en waarborgen
  4. Hoe Stripe organisaties helpt bij het waarborgen van PCI-compliance
    1. Ondersteuning voor kleinere ondernemingen
    2. Op maat gemaakt dashboard
    3. Ondersteuning terwijl je onderneming groeit
    4. Meer dan één dienstverlener
  5. Meer informatie over Stripe 

Sinds 2005 zijn meer dan 10 miljard records van consumenten gecompromitteerd door meer dan 9.000 datalekken in de VS. Dit zijn de meest recente cijfers van de Privacy Rights Clearinghouse, die sinds 2005 rapporteert over datalekken en beveiligingsinbreuken die impact hebben op consumenten. Om de veiligheid van consumentengegevens en het vertrouwen in het betalingsecosysteem te verbeteren, is een minimumstandaard voor gegevensbeveiliging opgesteld. Visa, Mastercard, American Express, Discover en JCB hebben in 2006 de Payment Card Industry Security Standards Council (PCI SSC) opgericht om beveiligingsnormen op te stellen en te beheren voor bedrijven die creditcardgegevens verwerken.

PCI DSS (Payment Card Industry Data Security Standard) is de wereldwijde beveiligingsstandaard voor alle entiteiten die kaarthoudergegevens en/of gevoelige authenticatiegegevens opslaan, verwerken of verzenden. PCI DSS biedt consumenten een basisbescherming en helpt fraude en gegevenslekken in het hele ecosysteem van betalingen terug te dringen. Het is van toepassing op alle organisaties die betaalkaarten accepteren of verwerken, en er zijn aanzienlijke sancties, boetes en kosten voor organisaties die niet aan deze normen voldoen.

PCI DSS-compliance omvat drie hoofdcomponenten:

  1. Het verwerken van de invoer van creditcardgegevens van klanten en met name het veilig verzamelen en verzenden van gevoelige kaartgegevens
  2. Gegevens veilig opslaan, zoals beschreven in de 12 beveiligingsdomeinen van de PCI-standaard, zoals encryptie, voortdurende controle en beveiligingstests van de toegang tot kaartgegevens
  3. Jaarlijks valideren dat de vereiste beveiligingscontroles aanwezig zijn, waaronder formulieren, vragenlijsten, externe diensten voor het scannen op kwetsbaarheden en audits door derden (zie de stapsgewijze handleiding hieronder voor een tabel met de vier niveaus van vereisten)

Alle bedrijven die creditcardbetalingen accepteren, moeten voldoen aan PCI DSS, ongeacht het volume, de geografische regio of de integratiemethode. Door aan dit kader te voldoen, kunnen bedrijven:

  • Het vertrouwen van klanten opbouwen door ervoor te zorgen dat hun kaartgegevens veilig zijn
  • Zichzelf beschermen tegen fraude en datalekken
  • Boetes voorkomen voor overtredingen van de PCI-compliance

Disclaimer: Dit artikel mag alleen als leidraad worden gebruikt en mag niet als definitief advies worden opgevat. We raden je aan om een gekwalificeerde beveiligingsbeoordelaar (QSA) van de Payment Card Industry Data Security Standard (PCI DSS) te raadplegen voor verduidelijking.

Hoe helpt Stripe organisaties bij het bereiken en behouden van PCI-compliance?

Als je met je businessmodel kaartgegevens moet verwerken, moet je mogelijk voldoen aan elk van de 300+ beveiligingscontroles in PCI DSS. De PCI Security Standards Council heeft meer dan 1800 pagina's met officiële documentatie over PCI DSS gepubliceerd en meer dan 300 pagina's alleen al om te begrijpen welk(e) formulier(en) te gebruiken bij het valideren van naleving.

Stripe kan de PCI-belasting voor bedrijven aanzienlijk verminderen door verschillende getokeniseerde integratiemethoden aan te bieden (bijv. Checkout, Elements, mobiele SDK's en Terminal-SDK's), zodat gevoelige creditcardgegevens niet rechtstreeks hoeven te worden verwerkt.

  • Stripe Checkout en Stripe Elements gebruiken een online betaalveld voor het verwerken van alle betaalkaartgegevens, dus de kaarthouder voert alle gevoelige betaalinformatie in een betaalveld in dat rechtstreeks afkomstig is van onze PCI DSS-gevalideerde servers.
  • Met Stripe mobiele en Terminal-SDK's kan de kaarthouder gevoelige betaalgegevens ook direct naar onze PCI DSS-gevalideerde servers sturen.

Voor al onze gebruikers, ongeacht het type integratie, treedt Stripe op als pleitbezorger van PCI en kan het op verschillende manieren helpen.

  • Onze Stripe PCI-wizard analyseert je integratiemethode en geeft advies over hoe je gemakkelijker de compliance kunt waarborgen.
  • We brengen je van tevoren op de hoogte als je vanwege een groeiend transactievolume de manier waarop je compliance valideert moet wijzigen.
  • Voor grote ondernemingen die met een PCI QSA moeten werken omdat ze creditcardgegevens opslaan of een complexere betaalflow hebben, zijn er meer dan 400 van dergelijke QSA-bedrijven over de hele wereld. We kunnen je in contact brengen met verschillende auditors die de verschillende Stripe-integratiemethoden goed begrijpen.

Stapsgewijze gids voor PCI DSS-compliance

1. Ken je PCI-niveau

De eerste stap bij het bereiken van PCI-compliance is weten welke vereisten van toepassing zijn op je organisatie. Er zijn vier verschillende PCI-complianceniveaus, doorgaans gebaseerd op het aantal creditcardtransacties dat je bedrijf in een periode van 12 maanden verwerkt.

Afhankelijk van je niveau heb je verschillende vereisten, waaronder regelmatige kwetsbaarheidsscans door een Approved Scanning Vendor (ASV). Er zijn ook aanvullende vereisten voor dienstverleners. Dit zijn bedrijfsentiteiten die direct betrokken zijn bij de verwerking, opslag of overdracht van kaarthoudergegevens (CHD) en/of gevoelige authenticatiegegevens (SAD) namens een andere entiteit (bijvoorbeeld betaalgateways, betaaldienstverleners en onafhankelijke verkooporganisaties).

Complianceniveau
Van toepassing op
Vereisten
Niveau 1
  • Organisaties die jaarlijks meer dan 6 miljoen transacties via Visa of Mastercard verwerken, of meer dan 2,5 miljoen transacties via American Express; of
  • Organisaties die een gegevenslek hebben gehad; of
  • Organisaties die als 'Niveau 1' worden aangemerkt door een creditcardmaatschappij (Visa, Mastercard, enz.)
  • Bewijs van compliance (AOC of jaarlijks compliancerapport (ROC van een gekwalificeerde beveiligingsbeoordelaar (QSA)
  • Elk kwartaal een netwerkscan door een goedgekeurde scanleverancier (ASV)
Niveau 2
  • Organisaties die jaarlijks 1 tot 6 miljoen transacties verwerken
  • Vragenlijst voor zelfbeoordeling (SAQ), bewijs van compliance (AOC) of compliancerapport (ROC)
  • Documentatie voor SAQ A, SAQ A-EP en SAQ D moet worden ondertekend door een PCI-gekwalificeerde beveiligingsbeoordelaar (QSA) of ee PCI-gecerticeerde interne beveiligingsbeoordelaar (ISA).1
  • Elk kwartaal een netwerkscan door een goedgekeurde scanleverancier (ASV)
Niveau 3
  • Organisaties die jaarlijks 20.000 tot 1 miljoen online transacties verwerken
  • Organisaties die jaarlijks in totaal minder dan 1 miljoen transacties verwerken
  • Gebruikers op niveau 3 en 4 worden automatisch ingeschreven voor ons risicobeheersingsprogramma dat op basis van verschillende factoren, zoals het type integratie, is aangepast aan de situatie van de gebruiker om dit proces zo eenvoudig mogelijk te maken. Mogelijk moet je hiervoor een of meer PCI DSS-vragenlijsten voor zelfevaluatie (SAQ's) invullen.
  • Gebruikers op niveau 3 moeten ook elk kwartaal een netwerkscan door een goedgekeurde scanleverancier (ASV) laten uitvoeren.
Niveau 4
  • Organisaties die jaarlijks minder dan 20.000 online transacties verwerken; of
  • Organisaties die jaarlijks in totaal maximaal 1 miljoen transacties verwerken
  • Gebruikers op niveau 4 moeten ook elk kwartaal een netwerkscan door een goedgekeurde scanleverancier (ASV) laten uitvoeren.
1 Verkopers op niveau 2 die SAQ A, SAQ A-EP of SAQ D invullen, zijn verplicht een QSA in te schakelen om de compliance te bevestigen

2. Ken je integratietype en de documentatievereisten

Zodra je je PCI-niveau kent, is de volgende stap om te bepalen welke PCI-documenten je moet invullen om je compliance te valideren, op basis van het type integratie dat je met Stripe gebruikt, of je een dienstverlener bent enz.

Gebruikers op niveau 1

Ondernemingen op niveau 1 komen niet in aanmerking om een SAQ te gebruiken om PCI-compliance aan te tonen. Ze moeten jaarlijks een ROC invullen dat is ondertekend door een QSA om hun PCI-compliance te valideren.

Gebruikers op niveau 2-4

Er zijn verschillende SAQ-typen voor gebruikers op niveau 2-4, afhankelijk van de gebruikte methode voor betalingsintegratie. Als je niet zeker weet welk SAQ-type voor jou geschikt is, kan de Stripe PCI-wizard automatisch vaststellen welk type documentatie geschikt is voor jouw onderneming.

Integratie
Vereiste
Aanbeveling
Checkout of Elements
SAQ A
Checkout en Stripe.js en Elements hosten alle invoervelden voor betaalkaartgegevens in een iframe dat wordt geladen vanaf een Stripe-domein (niet je eigen). Zo komen de betaalkaartgegevens van je klanten nooit op je servers terecht.
Connect
SAQ A Als je betaalkaartgegevens uitsluitend verzamelt via een Connect-platform (bijvoorbeeld Squarespace), kunnen wij bepalen of het platform de benodigde PCI-documentatie verstrekt.
Mobiele SDK
SAQ A

De ontwikkeling en het wijzigingsbeheer van de mobiele SDK van Stripe voldoen aan PCI DSS (vereisten 6.3–6.5) en de SDK wordt geïmplementeerd via onze PCI-gecertificeerde systemen. Wanneer je alleen interfacecomponenten van onze officiële SDK's voor iOS of Android gebruikt, of een betaalformulier bouwt met Elements in een WebView, worden betaalkaartnummers van je klanten rechtstreeks doorgegeven aan Stripe. Dit maakt compliance met de PCI-vereisten makkelijker.

Als je iets anders doet en bijvoorbeeld je eigen code schrijft om betaalkaartgegevens te verwerken, moet je mogelijk voldoen aan aanvullende PCI DSS-vereisten (6.3–6.5) en kom je niet in aanmerking voor een SAQ A. Vraag bij een PCI QSA na hoe je het beste je compliance kunt bevestigen volgens de huidige richtlijnen van de PCI Security Standards Council.

Als klanten in je applicatie hun gegevens op hun eigen apparaten moeten invoeren, kom je in aanmerking voor SAQ A. Als in je applicatie de betaalkaartgegevens van meerdere klanten op jouw apparaat worden verwerkt (bijvoorbeeld in een POS-app), neem je contact op met een PCI QSA. Die kan je vertellen hoe je het beste je PCI-compliance kunt bevestigen.

Stripe.js v2
SAQ A-EP

Als je Stripe.js v2 gebruikt om betaalkaartgegevens door te geven die zijn ingevuld in een formulier dat wordt gehost op je eigen website, moet je elk jaar de SAQ A-EP invullen om te bewijzen dat je onderneming aan de PCI-vereisten voldoet.

Met zowel Checkout als Elements kun je ook heel flexibel een zelf-gehost formulier op maat maken dat aan de PCI-vereisten voor de SAQ A voldoet.

Terminal
SAQ C

Als je betaalkaartgegevens uitsluitend verzamelt via Stripe Terminal, kun je de validatie uitvoeren met SAQ C.

Als je andere methoden uit deze tabel gebruikt om te integreren met Stripe, moet je apart aantonen dat je aan de vereisten voldoet die voor die methoden worden beschreven.
Dashboard
SAQ C-VT

Alleen in uitzonderlijke omstandigheden kunnen via het dashboard handmatige kaartbetalingen worden gedaan. Dit kan niet worden gebruikt voor routinematige betalingsverwerking. Bied je klanten een geschikt betaalformulier of mobiele app waarin ze hun betaalkaartgegevens kunnen invoeren.

We kunnen buiten de Stripe-omgeving niet verifiëren of handmatig ingevoerde betaalkaartgegevens veilig zijn. Je moet daarom betaalkaartgegevens beschermen in overeenstemming met de vereisten voor PCI-compliance en elk jaar de SAQ C-VT invullen om te bewijzen dat je onderneming hieraan voldoet.

Directe API
SAQ D

Wanneer je betaalkaartgegevens rechtstreeks doorgeeft aan de Stripe-API, verwerkt je integratie deze gegevens rechtstreeks. Je bent dan verplicht om elk jaar je PCI-compliance aan te tonen met de SAQ D, de meest uitdagende SAQ die er is. Je kunt het volgende doen om dit makkelijker te maken:

Bovendien is Radar, onze tool voor fraudepreventie waarmee je risicobeoordelingen en regels kunt gebruiken, alleen beschikbaar bij gebruik van een van onze methoden voor tokenisatie aan clientzijde.

Dienstverleners

Als je direct betrokken bent bij de verwerking, opslag of overdracht van kaarthoudergegevens (CHD) en/of gevoelige authenticatiegegevens (SAD) namens een andere entiteit (bijvoorbeeld betaalgateways, betaaldienstverleners en onafhankelijke verkooporganisaties), kun je worden aangemerkt als een dienstverlener. Dit betekent dat er aanvullende vereisten zijn die je moet valideren.

3. Rond je beoordeling af en dien je SAQ-documentatie in

Zodra je hebt vastgesteld welke beoordeling je moet voltooien, is de volgende stap het uitvoeren van de beoordeling, het invullen van de relevante SAQ- of ROC-documentatie en het ter controle beoordeling indienen bij Stripe.

Gebruikers met een hoog volume willen gebruikmaken van de diensten van een QSA die is geregistreerd voor de regio's waar je actief bent. De QSA helpt je bij het beoordelen van je systemen op basis van de PCI-vereisten en adviseert over het verhelpen van eventuele tekortkomingen. Ze zullen ook de juiste documentatie voor je opstellen en ondertekenen, die je vervolgens jaarlijks met Stripe kunt delen.

Gebruikers op niveau 3 en 4 moeten waarschijnlijk de PCI DSS-vragenlijst voor zelfbeoordeling invullen die overeenkomt met hun branche. Meer bronnen voor handelaren zijn beschikbaar via de PCI Security Standards Council. Stripe kan je ook helpen, bijvoorbeeld met onze speciale wizard op je PCI-Dashboard, die op basis van een reeks vragen de vereiste documentatie voor je genereert. Je kunt de Stripe PCI-dashboard gebruiken om SAQ- of ROC-documentatie die je hebt ingevuld, te uploaden.

4. Controleren en waarborgen

Het is belangrijk om te onthouden dat PCI-compliance geen eenmalig iets is. Het is een jaarlijks terugkerend proces om ervoor te zorgen dat je onderneming aan de compliancevereisten blijft voldoen, zelfs wanneer gegevensstromen en klantcontactpunten veranderen.

PCI DSS stelt belangrijke normen voor het verwerken en opslaan van kaarthoudergegevens, maar biedt op zichzelf onvoldoende bescherming voor elke betaalomgeving. In plaats daarvan is de overstap naar een veiligere methode voor kaartacceptatie die gebruikmaakt van getokeniseerde gegevens (zoals Stripe Checkout, Elements en mobiele SDK's) een veel effectievere manier om je organisatie te beschermen. Deze aanpak biedt flexibele ondernemingen een manier om potentiële datalekken te voorkomen en de tijdrovende en kostbare historische benadering van PCI-validatie te vermijden.

Naarmate een bedrijf groeit, zullen ook de kernbedrijfslogica en -processen groeien, wat betekent dat de nalevingsvereisten ook zullen evolueren. Een online onderneming kan bijvoorbeeld besluiten om fysieke winkels te openen, nieuwe markten te betreden of een klantenondersteuningscentrum te starten. Als er iets nieuws is met betrekking tot betaalkaartgegevens, is het een goed idee om proactief na te gaan of dit gevolgen heeft voor de gekozen PCI-validatiemethode en de PCI-compliance zo nodig opnieuw te valideren.

Ga voor meer informatie over de complexe wereld van PCI-compliance naar de website van de PCI Security Standards Council. Als je alleen deze gids en een paar andere PCI-documenten leest, raden we je aan hiermee te beginnen:

Hoe Stripe organisaties helpt bij het waarborgen van PCI-compliance

Stripe is een PCI Level 1-dienstverlener en wordt jaarlijks gecertificeerd door een onafhankelijke PCI gekwalificeerde beveiligingsbeoordelaar voor alle PCI DSS-vereisten. Dit betekent dat al onze producten standaard veilig zijn, waardoor je minder aan compliance-vereisten hoeft te voldoen.

Voor al onze gebruikers, ongeacht het type integratie, treedt Stripe op als pleitbezorger van PCI en kan het op verschillende manieren helpen.

Ondersteuning voor kleinere ondernemingen

Stripe maakt de PCI-compliance voor kleinere ondernemingen aanzienlijk eenvoudiger door een op maat gemaakt compliancetraject aan te bieden, inclusief vooraf ingevulde SAQ's en begeleide flows voor gebruikers van veiligere integratiemethoden zoals Checkout, Elements, mobiele SDK's en Terminal-SDK's.

Op maat gemaakt dashboard

Zodra je een Stripe-klant wordt, analyseren we je transactiegeschiedenis en adviseren we je hoe je gemakkelijker de compliance waarborgen door middel van een dashboard op maat.

Ondersteuning terwijl je onderneming groeit

Naarmate je jaarlijkse transactievolume toeneemt, kan het zijn dat je binnen een jaar van PCI-niveau verandert. Stripe ondersteunt je bij deze overgang door je te informeren over nieuwe vereisten zodra de PCI-verlengingsdatum nadert.

Meer dan één dienstverlener

Als je bedrijf meer dan één verwerker gebruikt, kan het PCI-complianceproces verwarrend worden. Stripe stroomlijnt dit proces door de indiening van AOC's van je leveranciers te ondersteunen, waardoor het eenvoudiger wordt om compliance te waarborgen.

Klaar om aan de slag te gaan?

Maak een account en begin direct met het ontvangen van betalingen. Contracten of bankgegevens zijn niet vereist. Je kunt ook contact met ons opnemen om een pakket op maat voor je onderneming samen te stellen.
Payments

Payments

Ontvang over de hele wereld online en fysieke betalingen met een betaaloplossing die past bij elke onderneming.

Documentatie voor Payments

Vind een whitepaper over de integratie van de betaal-API's van Stripe.