PCI-compliance in Nieuw-Zeeland: vereisten, overwegingen en best practices

Connect
Connect

De meest succesvolle platforms en marktplaatsen ter wereld, inclusief Shopify en DoorDash, gebruiken Stripe Connect om betalingen in hun producten te integreren.

Meer informatie 
  1. Inleiding
  2. Kernpunten
  3. Wat is PCI-compliance in Nieuw-Zeeland
  4. Waarom is PCI-compliance belangrijk voor Nieuw-Zeelandse ondernemingen?
  5. Hoe werkt PCI-compliance
  6. Wat zijn de vereisten voor PCI-compliance voor Nieuw-Zeelandse ondernemingen?
    1. 1. Veilig netwerk bouwen en onderhouden
    2. 2. Accountgegevens beschermen
    3. 3. Programma voor kwetsbaarheidsbeheer onderhouden
    4. 4. Sterke maatregelen voor toegangsbeheer implementeren
    5. 5. Netwerken monitoren en testen
    6. 6. Informatiebeveiligingsbeleid onderhouden
  7. Tegen welke uitdagingen lopen Nieuw-Zeelandse ondernemingen aan met betrekking tot PCI-compliance
    1. Grotere reikwijdte dan verwacht
    2. Verouderde infrastructuur
    3. Verkeerd begrip van wat uitbesteding inhoudt
    4. Personeelsverloop en hiaten in trainingen
    5. Het probleem bij het selecteren van SAQ’s
  8. Hoe kunnen Nieuw-Zeelandse ondernemingen zorgen voor PCI-compliance
    1. Gebruik een betalingsprovider die betaalkaartgegevens buiten de systemen houdt
    2. Breng eerst de gegevensstromen in kaart
    3. Zorg voor de juiste SAQ
    4. Neem penetratietesten serieus
    5. Wijs duidelijk intern eigenaarschap toe
    6. Bouw het verzamelen van bewijs in de operationele processen in
  9. Hoe Stripe Connect kan helpen

Verliezen door oplichting en fraude met betaalkaarten bedroegen in 2024 $ 194 miljoen Nieuw-Zeelandse dollar (NZD) en blijven toenemen. Hoewel het niet wettelijk verplicht is in Nieuw-Zeeland, wordt er van ondernemingen die betaalkaartbetalingen accepteren in het land verwacht dat ze voldoen aan de Payment Card Industry Data Security Standard (PCI DSS). Kaartnetwerken dwingen compliance af via overeenkomsten met verkopers. Het niet naleven ervan kan leiden tot boetes, hogere transactiekosten of zelfs het verlies van de mogelijkheid om betaalkaartbetalingen te accepteren.

Hieronder behandelen we de vereisten van PCI DSS, de meest voorkomende uitdagingen op het gebied van compliance waarmee Nieuw-Zeelandse ondernemingen worden geconfronteerd, en hoe je succesvol aan de compliance voldoet.

Kernpunten

  • PCI DSS-compliance wordt afgedwongen via overeenkomsten voor verkopers met kaartnetwerken en accepterende banken in plaats van de Nieuw-Zeelandse wetgeving. De financiële en operationele gevolgen van niet-naleving zijn echter aanzienlijk.

  • De reikwijdte van de compliance-verplichtingen hangt af van de hoeveelheid kaarthoudergegevens die de systemen verwerken. Je kunt het compliance-proces vereenvoudigen door de blootstelling te verminderen.

  • Het kiezen van de juiste vragenlijst voor zelfbeoordeling (SAQ) en het toewijzen van duidelijk intern eigenaarschap zijn twee van de belangrijkste beslissingen die van invloed zijn op het compliance-succes van een Nieuw-Zeelandse onderneming.

Wat is PCI-compliance in Nieuw-Zeeland

PCI-compliance betekent dat wordt voldaan aan de wereldwijde vereisten van PCI DSS met betrekking tot een veilig netwerk, kaarthoudergegevens, en toegangscontrole en informatiebeveiliging. Deze maatregelen moeten worden opgevolgd door alle ondernemingen die kaarthoudergegevens verwerken: van een café dat contactloze betalingen accepteert tot een softwarebedrijf dat abonnees wereldwijd factureert.

Waarom is PCI-compliance belangrijk voor Nieuw-Zeelandse ondernemingen?

Verliezen door fraude met betaalkaarten bedragen in Nieuw-Zeeland jaarlijks honderden miljoenen dollars. Compliance helpt gegevens van de kaarthouder te beschermen en het risico op fraude te verkleinen.

De gevolgen van niet-naleving vallen in een paar categorieën:

  • Boetes: Betaalnetwerken en accepterende banken kunnen boetes opleggen. Deze kunnen variëren van honderden tot honderdduizenden dollars, afhankelijk van de ernst van de overtreding.

  • Hogere transactiekosten: Accepterende banken kunnen niet-conforme ondernemingen verplaatsen naar hogere interchange-niveaus.

  • Aansprakelijkheid voor verliezen door fraude: Als er een inbreuk plaatsvindt en je op dat moment niet compliant was, kun je door je verzekering en accepterende bank aansprakelijk worden gesteld voor de kosten van frauduleuze transacties, vervanging van de betaalkaart en forensisch onderzoek.

  • Beëindiging van acceptatie van betaalkaarten: In ernstige gevallen kunnen accepterende banken of verwerkers je mogelijkheid om betalingen met een betaalkaart te accepteren, intrekken.

Er is ook sprake van reputatieschade. Volgens de Nieuw-Zeelandse Privacy Act 2020 moeten ondernemingen de getroffen personen en de Privacy Commissioner op de hoogte stellen na een privacyschending die ernstige schade veroorzaakt.

Hoe werkt PCI-compliance

PCI DSS organiseert de vereisten rond de omgeving voor kaarthoudergegevens (CDE). Dit zijn de systemen, mensen en procedures die kaarthoudergegevens opslaan, verwerken of verzenden. De reikwijdte van de compliance-verplichtingen is grotendeels afhankelijk van de grootte en vorm van de CDE.

De huidige standaard is PCI DSS 4.x, die de Security Standards Council in maart 2022 heeft uitgebracht met een overgangsdeadline waardoor dit vanaf maart 2024 de enige actieve versie is. Versie 4.0 introduceerde grotere wijzigingen die meer flexibiliteit bieden in de manier waarop ondernemingen aan bepaalde vereisten kunnen voldoen. Sindsdien zijn er kleine updates uitgebracht, maar de belangrijkste principes blijven hetzelfde. Compliance wordt gevalideerd via SAQ's of formele audits door een Qualified Security Assessor (QSA). Dit hangt ook af van het transactievolume en de manier waarop je omgaat met betaalkaartgegevens:

  • SAQ A: Dit is over het algemeen het eenvoudigste traject en is van toepassing op ondernemingen die de verwerking van betaalkaarten volledig hebben uitbesteed en zelf niet in aanraking komen met kaarthoudergegevens.

  • SAQ A-EP: Dit is doorgaans van toepassing als je een betalingspagina van een externe partij gebruikt, maar je eigen website de omleiding afhandelt.

  • SAQ D: Het meest uitgebreide traject, SAQ D, is van toepassing op ondernemingen die kaarthoudergegevens opslaan of op manieren verwerken die niet in een eenvoudigere categorie passen.

  • Niveau 1-verkopers: Niveau 1-verkopers, zoals verkopers die jaarlijks meer dan 6 miljoen Visa- of Mastercard-transacties verwerken, moeten een Report on Compliance (ROC) indienen door een QSA.

Veel kleine tot middelgrote Nieuw-Zeelandse ondernemingen komen in aanmerking voor een van de SAQ-trajecten. Welke dat is, hangt grotendeels af van het model voor de integratie van betalingen.

Wat zijn de vereisten voor PCI-compliance voor Nieuw-Zeelandse ondernemingen?

PCI DSS bevat 12 kernvereisten. Deze vereisten zijn gegroepeerd onder zes beheerdoelstellingen:

1. Veilig netwerk bouwen en onderhouden

Installeer en onderhoud controles voor netwerkbeveiliging. Dit is de basis van succesvolle compliance.

2. Accountgegevens beschermen

Gebruik sterke cryptografie om opgeslagen kaarthoudergegevens te beschermen. Sla de kaartverificatiecode nooit op na de autorisatie en zorg dat de verzending van kaarthoudergegevens via openbare, open netwerken versleuteld is.

3. Programma voor kwetsbaarheidsbeheer onderhouden

Bescherm systemen tegen malware en ontwikkel veilige systemen en software. Dit omvat patchschema's, kwetsbaarheidsscans en beveiligingstests voor applicaties.

4. Sterke maatregelen voor toegangsbeheer implementeren

Kaarthoudergegevens moeten beperkt zijn tot een need-to-know-basis. Identificeer en authenticeer elke gebruiker met unieke inloggegevens en beperk fysiek de toegang tot systemen die kaarthoudergegevens opslaan of verwerken.

5. Netwerken monitoren en testen

Monitor en log alle toegang tot netwerkbronnen en kaarthoudergegevens. Test beveiligingssystemen en procedures regelmatig. Voer kwetsbaarheidsscans en penetratietests uit in verschillende omgevingen.

6. Informatiebeveiligingsbeleid onderhouden

Onderhoud een beleid dat de informatiebeveiliging dekt voor al het personeel en dat trainingen en duidelijke verantwoordelijkheden omvat.

Sommige van deze vereisten kunnen de verantwoordelijkheid van de aanbieder worden, mits de Nieuw-Zeelandse onderneming de online of fysieke betalingsoplossing correct heeft geïntegreerd.

Tegen welke uitdagingen lopen Nieuw-Zeelandse ondernemingen aan met betrekking tot PCI-compliance

Nieuw-Zeelandse ondernemingen kunnen op voorspelbare manieren in de problemen komen bij het realiseren van PCI-compliance. Zodra je inzicht hebt in waar het misgaat, wordt compliance beheersbaar.

Grotere reikwijdte dan verwacht

Een veelvoorkomend probleem op het gebied van compliance is het onderschatten van de reikwijdte van de CDE. Elk systeem dat met de CDE is verbonden (of je je daar nu bewust van bent of niet) valt onder de vereisten van PCI DSS. Ondernemingen ontdekken mogelijk dat hun CDE veel groter is dan ze dachten zodra ze gegevensstromen in kaart gaan brengen.

Verouderde infrastructuur

Veel ondernemingen in Nieuw-Zeeland gebruiken mogelijk oudere POS-hardware en on-premises software die niet was ontworpen voor PCI DSS 4.0. Upgraden kan duur en verstorend zijn. Het behouden van compliance bij verouderde systemen kan voor extra complexiteit zorgen.

Verkeerd begrip van wat uitbesteding inhoudt

Als je een PCI-conforme betalingsprovider gebruikt, betekent dit niet automatisch dat de onderneming aan de regels voldoet. De website kan bijvoorbeeld een kwetsbaarheid hebben waardoor een aanvaller betaalkaartgegevens kan onderscheppen voordat deze het betalingsformulier van de provider bereiken, en die inbreuk wordt jouw probleem. De grens tussen jouw verantwoordelijkheid en de verantwoordelijkheid van de provider moet duidelijk worden gedefinieerd.

Personeelsverloop en hiaten in trainingen

PCI DSS vereist een training voor beveiligingsbewustzijn voor al het personeel dat in aanraking komt met kaarthoudergegevens. Het kan lastig zijn om de training up-to-date te houden in branches met een groot verloop.

Het probleem bij het selecteren van SAQ's

Zorg dat je de juiste SAQ kiest. Een onderneming die denkt in aanmerking te komen voor SAQ A, maar in werkelijkheid nog steeds enige betrokkenheid heeft bij de verwerking van kaarthoudergegevens, rapporteert mogelijk aanzienlijk minder compliance-verplichtingen dan nodig is.

Hoe kunnen Nieuw-Zeelandse ondernemingen zorgen voor PCI-compliance

Een goede manier om de compliance-last te verlagen, is door de omgeving voor kaarthoudergegevens te verkleinen.

Overweeg de volgende benaderingen:

Gebruik een betalingsprovider die betaalkaartgegevens buiten de systemen houdt

Betalingsproviders zoals Stripe die tokenisatie en gehoste betalingsvelden gebruiken, verzamelen betaalkaartgegevens rechtstreeks in hun omgeving zodat jouw servers geen onbewerkte betaalkaartnummers ontvangen. In combinatie met een certificering voor PCI-dienstverlener niveau 1 kan dit het compliancetraject voor veel ondernemingen vereenvoudigen.

Breng eerst de gegevensstromen in kaart

Je kunt een PCI-beoordeling niet afbakenen zonder te weten waar kaarthoudergegevens naartoe gaan. Breng elk systeem dat mogelijk met betaalkaartgegevens in aanraking komt nauwkeurig in kaart. Werk de kaart vervolgens ook bij wanneer je een nieuwe integratie toevoegt, het afrekenproces bijwerkt of het systeem voor klantrelatiebeheer (CRM) wijzigt.

Zorg voor de juiste SAQ

Neem contact op met de accepterende bank of een QSA voordat je de SAQ selecteert. De kaartnetwerken publiceren de criteria om in aanmerking te komen voor een SAQ en de juiste beslissing is niet altijd voor de hand liggend. Als je in het begin de verkeerde keuze maakt, verergert elke daaropvolgende compliance-beslissing de fout.

Neem penetratietesten serieus

Penetratietesten hebben een aanzienlijke impact op het compliance-succes. Een echte test van de CDE, waaronder de betalingspagina's, authenticatiemechanismen en interne netwerksegmentatie, kan kwetsbaarheden aan het licht brengen die bij geautomatiseerd scannen over het hoofd worden gezien.

Wijs duidelijk intern eigenaarschap toe

PCI-compliance kan tussen wal en schip vallen als ervan wordt uitgegaan dat iemand anders het afhandelt, zoals IT, de financieel directeur (CFO) of degene die het betalingssysteem oorspronkelijk heeft geconfigureerd. Elke vereiste moet aan een aangewezen persoon worden toegewezen.

Bouw het verzamelen van bewijs in de operationele processen in

Beoordelaars eisen bewijs. Scans op kwetsbaarheden, toegangslogboeken, registraties van voltooide trainingen en patchgeschiedenissen moeten aanwezig zijn en kunnen worden opgehaald. Het is veel minder vervelend om die documentatie in de reguliere operationele processen op te nemen dan deze te reconstrueren voorafgaand aan een beoordeling.

Hoe Stripe Connect kan helpen

Stripe Connect regelt geldstromen tussen meerdere partijen voor softwareplatforms en marktplaatsen. Het biedt snelle onboarding, geïntegreerde componenten, wereldwijde uitbetalingen en nog veel meer.

Connect kan je helpen bij het:

  • Binnen enkele weken van start gaan: gebruik door Stripe gehoste of geïntegreerde functionaliteit om sneller live te gaan en vermijd de voorafgaande kosten en ontwikkelingstijd die gewoonlijk nodig zijn voor betalingsfacilitering.

  • Betalingen op schaal beheren: gebruik tools en diensten van Stripe, zodat je geen extra middelen hoeft te besteden aan margeverslaggeving, belastingformulieren, risico's, wereldwijde betaalmethoden of onboarding-compliance.

  • Wereldwijd groeien: help je gebruikers wereldwijd meer klanten te bereiken met lokale betaalmethoden en de mogelijkheid om eenvoudig omzetbelasting, btw en GST te berekenen.

  • Nieuwe inkomstenbronnen aanboren: optimaliseer je betalingsinkomsten door bij elke transactie kosten in rekening te brengen. Haal voordeel uit de mogelijkheden van Stripe door fysieke betalingen, directe uitbetalingen, inning van omzetbelasting, financiering, betaalkaarten voor onkosten en meer op je platform mogelijk te maken.

Lees meer over Stripe Connect of ga vandaag nog aan de slag.

De inhoud van dit artikel is uitsluitend bedoeld voor algemene informatieve en educatieve doeleinden en mag niet worden opgevat als juridisch of fiscaal advies. Stripe verklaart of garandeert niet dat de informatie in dit artikel nauwkeurig, volledig, adequaat of actueel is. Voor aanbevelingen voor jouw specifieke situatie moet je het advies inwinnen van een bekwame, in je rechtsgebied bevoegde advocaat of accountant.

Meer artikelen

  • Er is iets misgegaan. Probeer het opnieuw of neem contact op met support.

Klaar om aan de slag te gaan?

Maak een account en begin direct met het ontvangen van betalingen. Contracten of bankgegevens zijn niet vereist. Je kunt ook contact met ons opnemen om een pakket op maat voor je onderneming samen te stellen.
Connect

Connect

Ga live in een paar weken in plaats van maanden, verdien geld met betaaldiensten en schaal processen eenvoudig op.

Documentatie voor Connect

Ontdek hoe je betalingen tussen meerdere partijen kunt afhandelen.