Aanmelden 

NFC security 101: A guide for businesses using contactless payments

Payments
Payments

Ontvang over de hele wereld online en fysieke betalingen met een betaaloplossing die past bij elke onderneming, van veelbelovende start-ups tot multinationals.

Meer informatie 
  1. Inleiding
  2. Belangrijkste kenmerken van NFC-betalingen
  3. Hoe werken NFC-betalingen?
  4. Welke beveiligingsmaatregelen zijn er bij NFC-betalingen?
  5. Bedreigingen en risico’s bij NFC-betalingen
    1. Bekende kwetsbaarheden en aanvalsvectoren
    2. Praktijkscenario’s van inbreuken op de beveiliging
  6. De beveiliging van NFC: Risico’s en kwetsbaarheden beperken
    1. Voor kleine bedrijven
    2. Waar moet je op letten bij het kiezen van een aanbieder van kaartterminals?
  7. Aan de slag met Stripe 

NFC-betalingen, die afhankelijk zijn van near-field communication-technologie, zijn een methode voor contactloze betalingen. Deze betalingen maken gebruik van een draadloze korteafstandstechnologie waarmee twee apparaten, zoals een smartphone en een betaalterminal, met elkaar kunnen communiceren wanneer ze slechts een paar centimeter van elkaar verwijderd zijn. Deze technologie is aanwezig in veel moderne smartphones en betaalkaarten en heeft zich de afgelopen jaren sterk verspreid: in 2022 gebruikte 85% van de consumenten in negen landen een contactloze NFC-kaart of een wallet voor mobiel betalen.

Door de snelle contactloze transactie veranderen NFC-betalingen de gebruikservaring bij het afrekenen. Ze maken ook deel uit van een grotere verschuiving naar eenvoudige betaaloplossingen om het gemak te leveren dat de moderne klant verwacht. Maar ze zijn niet alleen handig: NFC-betalingstechnologie is toonaangevend in de branche als het gaat om het mogelijk maken van ultrasnelle transacties met behoud van hoge beveiligingsnormen.

Nu digitale wallets en wearables steeds prominenter worden, worden NFC-betalingen snel de standaardoptie in een groeiend aantal betalingssituaties. Maar in de haast om deze populaire betaalmethode te gaan gebruiken, mogen bedrijven de beveiliging niet uit het oog verliezen. Dit is wat je moet weten over het creëren van een veilige ervaring bij NFC-betalingen.

Wat staat er in dit artikel?

  • Belangrijkste kenmerken van NFC-betalingen
  • Hoe werken NFC-betalingen?
  • Welke veiligheidsmaatregelen zijn er bij NFC-betalingen?
  • Bedreigingen en risico's bij NFC-betalingen
  • De beveiliging van NFC: Risico's en kwetsbaarheden beperken

Belangrijkste kenmerken van NFC-betalingen

NFC-betalingen hebben een aantal belangrijke kenmerken waardoor zowel klanten als bedrijven er graag voor kiezen. Hier is een kort overzicht van deze kenmerken:

  • Contactloze communicatie
    Een van de meest prominente aspecten van NFC-betalingen is hun vermogen om transacties zonder fysiek contact mogelijk te maken. De technologie stelt twee apparaten, een betaalapparaat of hulpmiddel met NFC (zoals een smartphone of kaart) en een betaalterminal, in staat om gegevens uit te wisselen wanneer ze dicht bij elkaar zijn.

  • Snelheid en gemak
    NFC-transacties zijn doorgaans sneller dan traditionele betaalmethoden. De klant hoeft zijn apparaat of kaart maar in de buurt van de terminal te brengen en de transactie wordt binnen enkele seconden voltooid. Deze snelheid zorgt ervoor dat het afrekenproces soepeler en handiger verloopt.

  • Beveiliging
    NFC-betalingen worden over het algemeen als veilig beschouwd. Ze bevatten vaak encryptie om gevoelige informatie zoals de nummers van creditcards te beschermen. Bovendien vragen veel smartphones om authenticatie (zoals een vingerafdrukscan of een toegangscode) voordat de betaling wordt verwerkt, wat een extra beveiligingslaag toevoegt.

  • Veelzijdigheid en integratie
    NFC-technologie is veelzijdig en kan worden geïntegreerd in verschillende apparaten of hulpmiddelen, waaronder smartphones, smartwatches en betaalkaarten. Dankzij deze integratie kunnen klanten betalen met het apparaat of hulpmiddel dat het beste bij hun behoeften en voorkeuren past.

  • Wijdverbreide compatibiliteit
    Naarmate NFC-technologie aanwezig is bij steeds meer klanten, maken steeds meer bedrijven gebruik van NFC-compatibele betaalterminals. Contactloze betalingen vinden plaats op verschillende locaties, van grote retailers tot kleine lokale bedrijven.

  • Ondersteuning voor digitale wallets
    NFC-technologie is een belangrijk onderdeel van veel digitale wallets, zoals Apple Pay, Google Pay, en Samsung Pay. Met deze wallets kunnen klanten de gegevens van meerdere betaalkaarten veilig opslaan op hun apparaten, waardoor ze voor elke transactie kunnen kiezen welke rekening of betaalkaart ze willen gebruiken.

  • Transactiegeschiedenis en administratie
    Met NFC-betalingen via hun digitale wallets kunnen klanten hun transacties eenvoudig volgen, want deze wallets bevatten normaliter een gedetailleerde transactiegeschiedenis.

  • Verminderde slijtage
    Omdat NFC-betalingen geen fysiek contact vereisen, is er minder slijtage aan zowel het betaalapparaat of hulpmiddel van de klant (zoals een kaart) als de hardware van het bedrijf (zoals een kaartlezer), waardoor de levensduur van deze apparaten in principe wordt verlengd.

Hoe werken NFC-betalingen?

NFC-betalingen maken gebruik van een combinatie van hardware- en softwaretechnologieën om veilige, gemakkelijke transacties mogelijk te maken. In principe werkt dit proces als volgt:

  • Activering van NFC-chip
    Het proces begint wanneer een NFC-apparaat of -hulpmiddel, zoals een smartphone of een betaalkaart met een NFC-chip, wordt geactiveerd. Activering vindt meestal plaats wanneer de klant het apparaat of hulpmiddel in de buurt van een NFC-betaalterminal brengt. Bij smartphones kan bij deze activering ook om gebruikersverificatie via toegangscode, vingerafdruk of gezichtsherkenning worden gevraagd.

  • Communicatie begint
    Als de NFC-chip is geactiveerd, begint deze te communiceren met de betaalterminal. Deze communicatie gebeurt via radiogolven. NFC werkt op een frequentie van 13,56 MHz en het communicatiebereik is normaliter 4 cm. Dit korte bereik is een beveiligingsfunctie, omdat het ongewenste onderschepping van de verzonden gegevens voorkomt.

  • Gegevensoverdracht
    Tijdens de communicatie verzendt het NFC-apparaat of de NFC-kaart gegevens naar de betaalterminal. Deze gegevens betreffen de betalingsinformatie die nodig is om de transactie te verwerken, zoals het te betalen bedrag, kaartgegevens en andere relevante informatie. Deze gegevensoverdracht is versleuteld om gevoelige informatie te beschermen.

  • Betrokkenheid van de betalingsverwerker
    Als de betaalterminal de gegevens ontvangt, stuurt deze de informatie naar de betalingsverwerker, die verantwoordelijk is voor het verifiëren van de transactiegegevens bij de bank of kaartverstrekker die is verbonden met het apparaat of de kaart waarmee de betaling is uitgevoerd.

  • Authenticatie en autorisatie
    De bank of kaartuitgever ontvangt het transactieverzoek en controleert op echtheid en voldoende saldo of krediet. De kaartgegevens worden geverifieerd en bepaald wordt of de transactie valt binnen ingestelde limieten of beperkingen.

  • Goedkeuring of weigering van transactie
    Na verificatie moet de bank of kaartuitgever de transactie goedkeuren of afwijzen. Dit besluit wordt vervolgens via de betalingsverwerker teruggestuurd naar de betaalterminal.

  • Voltooiing van de transactie
    Als de transactie is goedgekeurd, voltooit de betaalterminal het proces en wordt er normaliter een bevestigingsbericht weergegeven. Als het een smartphone of vergelijkbaar apparaat is, kan ook het NFC-apparaat een bevestigingsmelding ontvangen.

  • Bijhouden van gegevens
    De transactiegegevens worden geregistreerd door het betaalsysteem van het bedrijf en, in het geval van smartphones of digitale wallets, op het apparaat van de klant. Daarmee kan de transactiegeschiedenis eenvoudig worden gevolgd en beheerd.

In het NFC-transactieproces ligt de nadruk op veiligheid en snelheid. Gegevensversleuteling en apparaatauthenticatie zorgen ervoor dat NFC-betalingen veilig zijn, terwijl het proces door de eenvoud en snelheid ervan een handige optie is voor zowel klanten als bedrijven.

Welke beveiligingsmaatregelen zijn er bij NFC-betalingen?

NFC-betalingen bevatten verschillende beveiligingsmaatregelen om te beschermen tegen fraude en onbevoegde toegang. Deze maatregelen bestaan uit:

  • Encryptie
    Wanneer gegevens worden verzonden tussen het NFC-apparaat of -hulpmiddel (zoals een smartphone of kaart) en de betaalterminal, worden deze versleuteld. Deze versleuteling zet de informatie om in een veilige code, die helpt voorkomen dat onbevoegden gevoelige gegevens zoals kaartnummers en transactiebedragen onderscheppen.

  • Tokenisatie
    Veel NFC-betaalsystemen maken gebruik van tokenisatie. In plaats van het daadwerkelijke kaartnummer door te geven, wordt een uniek digitaal token gebruikt. Hoewel het token een representatie is van het kaartnummer, is dit token nutteloos als het wordt onderschept, omdat het niet kan worden gebruikt buiten de specifieke transactie waarvoor het werd gegenereerd.

  • Communicatie op korte afstand
    De aard van NFC, namelijk korteafstandscommunicatietechnologie, zorgt voor een extra beveiligingslaag. Omdat het apparaat of het hulpmiddel zich binnen enkele centimeters van de terminal moet bevinden om de transactie te laten plaatsvinden, verkleint dit de kans dat onbedoelde of ongeautoriseerde apparaten de gegevens onderscheppen.

  • Authenticatie van apparaten
    Voor smartphones en andere apparaten is vaak authenticatie vereist om een NFC-betaling te voltooien. Dit kan in de vorm van een toegangscode, vingerafdruk of gezichtsherkenning, en garandeert dat de rechtmatige eigenaar van het apparaat de transactie initieert.

  • Dynamische authenticatiecodes
    Elke transactie genereert een unieke authenticatiecode. Zelfs als transactiegegevens worden onderschept, kunnen ze niet opnieuw worden gebruikt voor een andere transactie, waardoor het risico op frauduleuze herhaalde transacties wordt verminderd.

  • Beveiligd element
    Veel smartphones met NFC-mogelijkheden hebben een beveiligd element: een speciale chip die betaalgegevens veilig opslaat. Deze chip is geïsoleerd van het hoofdbesturingssysteem van de telefoon en voegt een extra beschermingslaag toe in geval van hacking.

  • Transactielimieten
    Sommige banken en financiële instellingen stellen limieten vast voor NFC-transacties om het risico op grote frauduleuze transacties te verminderen. Als het transactiebedrag deze limiet overschrijdt, kunnen traditionele authenticatiemethoden, zoals het invoeren van een pincode, vereist zijn.

  • Realtime fraudemonitoring
    Banken en betalingsverwerkers controleren transacties vaak in realtime op verdachte activiteit. Als ze ongebruikelijke patronen tegenkomen, kunnen deze instellingen onmiddellijk actie ondernemen, zoals de transactie weigeren of contact opnemen met de klant.

  • Verzoeken om klantverificatie
    In sommige gevallen, vooral bij grote transacties, kan het betaalsysteem om aanvullende klantverificatie vragen, waarbij de klant bijvoorbeeld een pincode moet invoeren of een ontvangstbewijs moet ondertekenen.

Wanneer deze beveiligingsmaatregelen samen worden gebruikt, bieden ze een meerlaagse beveiliging tegen verschillende soorten fraude en onbevoegde toegang.

Bedreigingen en risico's bij NFC-betalingen

Hoewel NFC-betalingen een sterke beveiligingsbuffer bieden, zijn ze niet immuun voor potentiële bedreigingen. Hier zijn enkele van de kwetsbaarheden en risico's bij NFC-betalingen.

Bekende kwetsbaarheden en aanvalsvectoren

  • Afluisteren
    In de context van NFC-betalingen betekent afluisteren dat een niet-geautoriseerd apparaat het NFC-signaal oppikt tijdens een transactie. Omdat NFC een vorm van radiocommunicatie is, is het theoretisch mogelijk dat iemand de gegevens onderschept als deze over de juiste apparatuur beschikt en zich binnen het bereik bevindt.

  • Wijziging van de gegevens
    Tijdens het korte moment van gegevensoverdracht kan een deskundige aanvaller de communicatie tussen het NFC-apparaat en de terminal in principe wijzigen. Dit kan ertoe leiden dat het verkeerde bedrag in rekening wordt gebracht of dat de betaling naar een andere ontvanger wordt geleid.

  • Verloren en gestolen apparaten
    Als een NFC-apparaat verloren of gestolen is en de eigenaar het niet heeft beveiligd met een pincode of biometrisch slot, bestaat het risico op ongeoorloofde transacties. Zelfs als het is uitgerust met een beveiligd element, kan de periode tussen het verlies van het apparaat en het melden daarvan worden misbruikt.

  • Relay-aanvallen
    Relay-aanvallen vinden plaats wanneer een aanvaller een apparaat met NFC gebruikt om gegevens te onderscheppen en door te geven tussen een legitiem NFC-apparaat of -hulpmiddel (zoals een smartphone of creditcard) en een betaalterminal. Het apparaat van de aanvaller fungeert als tussenpersoon. Het vangt de informatie op van het legitieme apparaat en verzendt die naar de betaalterminal.

  • Skimmen
    Skimmers kunnen een frauduleuze betaalterminal creëren of een bestaande wijzigen om informatie op te vangen van een NFC-apparaat dat ermee in verbinding staat. Ze kunnen de verzamelde gegevens vervolgens gebruiken om kaarten te klonen of ongeautoriseerde transacties uit te voeren.

Praktijkscenario's van inbreuken op de beveiliging

  • Frauduleuze terminals
    Er zijn gevallen geweest waarin bedrijven zijn opgelicht door personen die betaalterminals installeerden die gegevens van NFC-betalingen van klanten skimmen, wat leidde tot gegevensdiefstal.

  • Gerichte aanvallen op individuen
    Beroemde mensen of mensen waarvan wordt aangenomen dat ze veel geld hebben, kunnen het doelwit zijn van NFC-gerelateerde aanvallen (zoals afluisteren of relay-aanvallen), vooral in drukke openbare ruimtes.

  • Kwetsbaarheden in de software
    In sommige gevallen kunnen fraudeurs misbruik maken van beveiligingsfouten in de software van NFC-apparaten of -terminals om ongeoorloofde toegang te krijgen tot geld of betalingsinformatie.

De beveiliging van NFC: Risico's en kwetsbaarheden beperken

Er zijn allerlei oplossingen die bedrijven kunnen gebruiken om de kans op fraude en onbevoegde toegang te beperken. Kleine bedrijven moeten zich bij de keuze van een aanbieder van kaartterminals er met name van bewust zijn hoe ze risico's en kwetsbaarheden kunnen beperken.

Hier zijn enkele manieren om je bedrijf en je klanten proactief te beschermen.

Voor kleine bedrijven

  • Personeel opleiden
    Licht werknemers voor over NFC-technologie en de veelvoorkomende bedreigingen. Zo moeten ze verdacht gedrag, of apparaten die erop kunnen wijzen dat er met kaartterminals is geknoeid, leren herkennen.

  • Zorg voor regelmatige updates en patches
    Zorg ervoor dat de software van de betaalterminal up-to-date is. Software-updates kunnen kwetsbaarheden verhelpen die anders door aanvallers hadden kunnen worden misbruikt.

  • Veilige configuratie implementeren
    Stel betaalterminals en apparaten zo in dat boven een bepaald transactiebedrag om een pincode wordt gevraagd. Op deze manier kunnen grote frauduleuze transacties worden voorkomen in het geval er met het NFC-apparaat is gerommeld.

  • Integreer fysieke beveiliging
    Bewaar betaalterminals op een locatie waar het personeel ze altijd kan zien, waardoor het risico op sabotage wordt verkleind.

  • Transacties monitoren
    Houd transactierecords bij en let op onregelmatige activiteiten. Als ongebruikelijke patronen snel worden opgemerkt, kan dat verdere ongeautoriseerde transacties voorkomen.

  • Gebruik vertrouwde providers
    Kies betaalterminals van providers met een goede reputatie op het gebied van beveiliging en klantenservice.

Waar moet je op letten bij het kiezen van een aanbieder van kaartterminals?

  • Beveiligingsincidenten
    Bekijk de beveiligingsgeschiedenis van de provider. Lees recensies en casestudy's om te zien hoe deze beveiligingsproblemen in het verleden heeft aangepakt.

  • Compliance met standaarden
    Controleer zorgvuldig of de provider voldoet aan de beveiligingsstandaarden in de branche, zoals de Payment Card Industry Data Security Standard (PCI DSS).

  • Beveiligingsfuncties
    Zoek naar providers met betaalterminals die geavanceerde beveiligingsfuncties hebben, zoals end-to-end-codering en tokenisatie.

  • Ondersteuning en responsiviteit
    Kies een provider die sterke klantenondersteuning biedt en snel kan reageren op eventuele beveiligingsproblemen.

  • Transparant beleid
    Providers moeten een duidelijk beleid hebben voor gegevensverwerking, privacy en de bescherming van transactiegegevens.

Door deze strategieën te volgen en partners te kiezen die net zoveel prioriteit geven aan beveiliging als jij, kun je de risico's van NFC-betalingen aanzienlijk verminderen.

Als je NFC-betalingen accepteert via Stripe, vind je hier meer informatie over hoe Stripe ze veiliger maakt.

De inhoud van dit artikel is uitsluitend bedoeld voor algemene informatieve en educatieve doeleinden en mag niet worden opgevat als juridisch of fiscaal advies. Stripe verklaart of garandeert niet dat de informatie in dit artikel nauwkeurig, volledig, adequaat of actueel is. Voor aanbevelingen voor jouw specifieke situatie moet je het advies inwinnen van een bekwame, in je rechtsgebied bevoegde advocaat of accountant.

Meer artikelen

Klaar om aan de slag te gaan?

Maak een account en begin direct met het ontvangen van betalingen. Contracten of bankgegevens zijn niet vereist. Je kunt ook contact met ons opnemen om een pakket op maat voor je onderneming samen te stellen.
Payments

Payments

Ontvang over de hele wereld online en fysieke betalingen met een betaaloplossing die past bij elke onderneming.

Documentatie voor Payments

Vind een whitepaper over de integratie van de betaal-API's van Stripe.