Begin vandaag nog met verkopen op Shopify

Start vandaag nog je gratis proefperiode bij Shopify en gebruik vervolgens deze hulpmiddelen om je te begeleiden in elke stap van het proces.

Start gratis
blog|Bedrijfsvoering

PCI DSS: Wat het is en hoe je eraan voldoet

Krijg inzicht in PCI DSS voor betalingsbeveiliging. Leer meer over compliance-niveaus, vereisten en best practices voor bedrijven die online betalingen accepteren.

door
Gepubliceerd op
een groen vinkje in een vakje dat PCI DSS vertegenwoordigt

Online winkelen is inmiddels voor de meeste mensen een tweede natuur geworden. We klikken, we kopen, en onze gegevens worden naadloos verwerkt—allemaal met het vertrouwen dat onze financiële informatie veilig is. Maar heb je je ooit afgevraagd wat er achter de schermen gebeurt om dit vertrouwen te waarborgen?

Het antwoord ligt in een set beveiligingsstandaarden genaamd PCI DSS. Hieronder leer je de vereisten achter deze afkorting kennen, en wat het betekent voor zowel online verkopers als klanten.

Wat is PCI DSS (Payment Card Industry Data Security Standard)?

PCI DSS staat voor Payment Card Industry Data Security Standard. Het is een set beveiligingsvereisten die verplicht zijn gesteld door grote creditcardmerken (Visa, Mastercard, American Express, Discover en JCB) om ervoor te zorgen dat bedrijven die kaarthoudergegevens verwerken dit veilig doen. Zie het als een handboek voor het beschermen van gevoelige klantbetalingsinformatie.

PCI DSS wordt beheerd door een onafhankelijke groep experts, de PCI Security Standards Council (PCI SSC), opgericht in 2006. Deze standaarden gelden voor elke organisatie die creditcardinformatie accepteert, verzendt of opslaat, ongeacht grootte of transactievolume.

Dit omvat bedrijven zoals winkels en serviceproviders, maar strekt zich ook uit tot non-profitorganisaties en anderen die mogelijk kaartbetalingen verwerken. Het is belangrijk om te weten dat zelfs als je je betalingsverwerking uitbesteedt, je nog steeds verantwoordelijk bent voor het naleven van PCI DSS om ervoor te zorgen dat creditcardgegevens van klanten beschermd zijn.

Wat is het doel van PCI DSS?

Het hoofddoel van PCI DSS is het veilig houden van gevoelige kaarthouderinformatie, inclusief debet- en creditcardnummers, vervaldatums en beveiligingscodes. Door sterke betalingsbeveiliging te vereisen, helpt PCI DSS bedrijven datalekken te verminderen en identiteitsdiefstal en creditcardfraude te identificeren. Het stelt ook duidelijke verwachtingen voor hoe organisaties gevoelige informatie moeten behandelen, waardoor een veiligere omgeving voor alle betrokkenen ontstaat.

6 principes van PCI DSS

PCI DSS omvat 12 kernvereisten, die zijn georganiseerd in zes groepen, bekend als controledoelstellingen. De controledoelstellingen zijn:

  1. Bouw en onderhoud een veilig netwerk en systemen
  2. Bescherm kaarthoudergegevens
  3. Onderhoud een kwetsbaarheidsbeheersingsprogramma
  4. Implementeer sterke toegangscontrolemaatregelen
  5. Monitor en test netwerken regelmatig
  6. Onderhoud een informatiebeveiligsbeleid

12 PCI DSS vereisten

De nieuwste versie van de standaard is PCI DSS 4.0 (uitgebracht in maart 2022), die de volgende 12 belangrijke compliance vereisten omvat:

  1. Installeer en onderhoud een firewall-configuratie om kaarthoudergegevens te beschermen.
  2. Gebruik geen door leveranciers geleverde standaardwachtwoorden en andere beveiligingsparameters.
  3. Bescherm opgeslagen kaarthoudergegevens.
  4. Versleutel de overdracht van kaarthoudergegevens via open, openbare netwerken.
  5. Bescherm alle systemen tegen malware en werk anti-virussoftware of -programma's regelmatig bij.
  6. Ontwikkel en onderhoud veilige systemen en applicaties.
  7. Beperk toegang tot kaarthoudergegevens op basis van zakelijke noodzaak.
  8. Identificeer en authenticeer toegang tot systeemcomponenten.
  9. Beperk fysieke toegang tot kaarthoudergegevens.
  10. Volg en monitor alle toegang tot netwerkbronnen en kaarthoudergegevens.
  11. Test beveiligingssystemen en -processen regelmatig.
  12. Onderhoud een beleid dat informatiebeveiliging voor al het personeel behandelt.

PCI DSS compliance niveaus

Als handelaar heb je PCI DSS compliance nodig—hoe je bewijst dat je dit hebt, hangt af van je transactievolume en verwerkingsmethoden. Er zijn vier hoofdniveaus van PCI DSS compliance voor bedrijven of organisaties.

Niveau 1

Niveau 1 bedrijven verwerken meer dan zes miljoen kaarttransacties per jaar en hebben te maken met de strengste vereisten. Mega-handelaren op dit niveau moeten:

  • Een jaarlijks rapport over compliance (ROC) voltooien door samen te werken met een externe gekwalificeerde beveiligingsbeoordelaar (QSA)
  • Kwartaalse netwerkzwakheidscans en jaarlijkse penetratietests ondergaan
  • Een verklaring van compliance (AOC) voltooien, die ook wordt ondertekend door de QSA

Niveau 2

Handelaren die tussen één miljoen en zes miljoen kaarttransacties per jaar verwerken vallen onder Niveau 2. Op dit niveau moet je:

  • Een jaarlijkse zelfbeoordelingsvragenlijst (SAQ) voltooien
  • Kwartaalse netwerkzwakheidscans uitvoeren
  • Een AOC voltooien

Je kunt verplicht worden om een externe QSA-firma je SAQ te laten bevestigen op PCI Niveau 2. En je moet mogelijk ook een kwartaalse netwerkzwakheidscan indienen.

Niveau 3

Dit niveau geldt voor alle bedrijven en organisaties die 20.000 tot één miljoen kaarttransacties per jaar verwerken, en alle e-commerce handelaren. Niveau 3 vereist dat je:

  • Een jaarlijkse SAQ voltooit
  • Kwartaalse netwerkscans uitvoert
  • Een AOC voltooit

Je moet mogelijk ook een kwartaalse netwerkzwakheidscan indienen.

Niveau 4

Niveau 4 geldt voor kleinere bedrijven met minder dan 20.000 transacties per jaar. Op niveau 4 moet je:

  • Een jaarlijkse SAQ voltooien
  • Kwartaalse netwerkscans uitvoeren (rapportage niet vereist)
  • Een AOC voltooien

Je moet mogelijk ook een kwartaalse netwerkzwakheidscan indienen.

Voor- en nadelen van PCI DSS compliance

Hoewel er kosten zijn verbonden aan het opzetten en onderhouden van PCI DSS, zijn deze veel kleiner dan de problemen die een datalek kan veroorzaken. En PCI DSS compliance bouwt vertrouwen op met je klanten, waardoor de investering de moeite waard is. Dit kun je verwachten:

Voordelen van PCI DSS

  • Minder beveiligingsproblemen: Sterkere databeveiliging maakt het moeilijker voor hackers om klantinformatie te stelen, wat gelijk staat aan minder stress en minder verstoringen voor je bedrijf.
  • Sterkere klantrelaties: Het naleven van PCI DSS toont klanten dat je toegewijd bent aan het beschermen van hun financiële informatie, wat vertrouwen en loyaliteit opbouwt.
  • Verminderde kosten op de lange termijn: Vermijd de zware boetes, kostbare rechtszaken en reputatieschade die gepaard gaan met datalekken door proactief gevoelige gegevens te beschermen.

Nadelen van PCI DSS

  • Opstartkosten: PCI DSS compliance brengt initiële kosten met zich mee voor beveiligingstools en werknemerstraining.
  • Doorlopend beheer: Het behouden van PCI compliance vereist regelmatige controle van je systemen, het bijwerken van beveiligingsmaatregelen en ervoor zorgen dat werknemers up-to-date blijven.
  • Veranderend landschap: Evoluerende bedreigingen en technologische vooruitgang betekenen dat de industrie altijd verandert, en bedrijven moeten zich aanpassen om bij te blijven.
  • Complexiteit: De specifieke details van PCI DSS kunnen ingewikkeld worden. Afhankelijk van je bedrijfsgrootte en -type heb je mogelijk hulp van een professional nodig om het goed op te zetten.

PCI DSS compliance best practices

Hier zijn enkele belangrijke best practices om je te helpen compliant te blijven en klantbetalingsinformatie veilig te behandelen:

  1. Beperk toegang: Privé klantgegevens moeten op need-to-know basis blijven. Alleen werknemers die het nodig hebben voor hun werkzaamheden zouden toegang moeten hebben tot kaarthoudergegevens.
  2. Bouw sterke verdedigingen: Investeer in beveiligingstools zoals firewalls en anti-virussoftware om je systemen te beschermen, en werk ze regelmatig bij.
  3. Houd het gescheiden: Een veilige netwerkinfrastructuur houdt in dat netwerken worden gesegmenteerd om kaarthoudergegevens te scheiden van andere onderdelen.
  4. Houd het versleuteld: Bij het opslaan of verzenden van klantgegevens gebruik je versleuteling om de informatie te verwarren, waardoor het onleesbaar wordt voor onbevoegde gebruikers.
  5. Voer regelmatige controles uit: Houd systemen en software up-to-date met beveiligingspatches.
  6. Train je teams: Educeer en train je werknemers in databeveiliging best practices om onbedoelde lekken te voorkomen.
  7. Handhaaf sterke wachtwoorden: Handhaaf wachtwoordcomplexiteitsvereisten en regelmatige wachtwoordwijzigingen, en stel tweestapsverificatie in.
  8. Houd auditlogs bij: Onderhoud gedetailleerde auditlogs om systeemactiviteit te monitoren.
  9. Heb een plan: Ontwikkel een plan om snel en effectief te reageren op beveiligingsincidenten.
  10. Maak het officieel: Stel een bedrijfsbrede informatiebeveiligsbeleid op dat behandelt hoe je kaarthoudergegevens behandelt en beschermt.

Onthoud dat PCI DSS compliance een doorlopend proces is. Door deze best practices te volgen, kun je het risico op datalekken aanzienlijk verminderen en je bedrijf en je klanten beschermen.

Blijf compliant met Shopify Payments

Goed nieuws voor Shopify verkopers: Wij hebben het werk voor je gedaan. Shopify is PCI DSS compliant, en dat geldt standaard voor alle winkels die door Shopify worden aangedreven.

Dat betekent dat wij de facturerings- en verzendgegevens van je klanten veilig opslaan op PCI-conforme servers. We valideren compliance door jaarlijkse beoordelingen en beheren proactief doorlopende risico's. Onze compliance dekt alle zes PCI standaardcategorieën en geldt voor elke winkel die ons platform gebruikt.

Kortom, wanneer je kiest voor Shopify om je winkel aan te drijven, kun je gerust zijn wetende dat wij aanzienlijke tijd en geld hebben geïnvesteerd om onze Niveau 1 PCI certificering te behouden en elke transactie te beschermen. Je winkel, zijn winkelwagen en zijn webhosting zijn allemaal gedekt.

Begin snel met het accepteren van betalingen met Shopify Payments

Sla langdurige activaties van derden over en ga van setup naar verkopen in één klik. Shopify Payments wordt geleverd met je Shopify-abonnement, je hoeft het alleen maar aan te zetten.

Ontdek Shopify Payments

PCI DSS veelgestelde vragen

Wat betekent PCI DSS?

Payment Card Industry Data Security Standard, of PCI DSS, is de informatiebeveiligsstandaard die wordt gebruikt voor het verwerken van creditcards van grote kaartmerken zoals Visa, Mastercard, American Express, Discover en JCB. De standaard helpt datalekken, fraude en identiteitsdiefstal te voorkomen door best practices voor betalingsbeveiliging vast te stellen. Hoewel niet wettelijk verplicht, zijn organisaties die kaartbetalingen verwerken contractueel verplicht om aan de vereisten te voldoen.

Wat zijn de 4 dingen die PCI DSS dekt?

PCI DSS dekt vier hoofdgebieden:

  • Verwerken van digitale transacties en betalingen met kaarten
  • Opslaan van betaalkaargegevens
  • Verzenden van kaarthouderinformatie
  • Beveiligen van de kaartverwerkingsomgeving, inclusief POS-apparaten, providers en acquirers.

Waarvoor is PCI DSS vereist?

PCI DSS geldt voor alle organisaties die betaalkaargegevens verwerken, verzenden en/of opslaan, ongeacht de grootte of het aantal transacties. Het bevat ook vereisten voor de kaartverwerkingsomgeving zelf, inclusief point-of-sale (POS) apparaten, servers, netwerken, serviceproviders en externe betalingsverwerkers.

SR
door
Gepubliceerd op
Artikel delen
subscription banner
Blijf op de hoogte van het laatste nieuws van Shopify
Abonneer je op onze blog en ontvang gratis e-commercetips, inspiratie en hulpmiddelen rechtstreeks in je inbox.

Je kunt je op elk moment weer afmelden. Als je je e-mailadres invult, ga je ermee akkoord marketingberichten van Shopify te ontvangen.

Verkoop waar dan ook met Shopify

Leer al doende. Probeer Shopify gratis en ontdek alle tools die je nodig hebt om je bedrijf te starten, te runnen en te laten groeien.

Start gratis

Start gratis en krijg daarna US$ 1 maanden voor 3 per maand