In deze blogpost delen we ons inzicht in de beveiligingsnormen van de Payment Card Industry (PCI) en hun impact op uw beveiligingsprogramma. Deze normen zijn bedoeld om gegevens van kaarthouders te beschermen op een manier die consistent is voor alle merken, handelaren en dienstverleners. IT security is een belangrijk onderwerp in de hedendaagse wereld. Deze blogpost is bedoeld voor degenen die net het laatste nieuws over de PCI DSS hebben gehoord en een overzicht op hoog niveau willen van wat er bij komt kijken, waarom het belangrijk is en hoe u het in uw organisatie kunt implementeren.
Wat is de Payment Card Industry Security Standards?
De Payment Card Industry Standard (PCI) is een reeks voorschriften die helpen de gegevens van de kaarthouder te beschermen – de gegevens die een persoon identificeren en informatie geven over zijn aankopen. De toepasselijke wetten en voorschriften verschillen per land, maar de basisprincipes van de PCI-normen zijn in alle landen en bedrijfstakken gelijk. De PCI DOSS vormt de basis voor de naleving van deze voorschriften door de Verenigde Staten. De PCI-normen zijn door de industrie en de overheid ontwikkeld om kaarthouders te helpen beschermen tegen identiteitsdiefstal en fraude.
Waarom is het zo belangrijk om PCI DOSS te begrijpen?
Als u weet hoe kaartgegevens worden getransporteerd en opgeslagen, kunt u veel van de beveiligingsproblemen die uit deze verschillende omgevingen voortvloeien, aanpakken. Als ondernemer moet u kaarthoudergegevens beschermen om diefstal, fraude en administratieve fouten te voorkomen. Deze beveiligingsproblemen kunnen zich voordoen wanneer gevoelige gegevens worden verzonden van het computersysteem van een handelaar naar een betalingsverwerkingssysteem, wanneer gegevens worden opgeslagen op een computersysteem en wanneer gegevens worden verzonden tussen systemen. Wanneer de juiste controles effectief worden uitgevoerd, kunnen ze gevoelige gegevens beschermen en ervoor zorgen dat ze op de juiste manier worden behandeld. De juiste controles kunnen ook zaken als fraude en terugboekingen helpen voorkomen, die ertoe kunnen leiden dat een winkelier verplicht is de betaalkaart van een klant terug te betalen.
Hoe weet u of uw organisatie aan de vereisten voldoet?
Er zijn verschillende eisen waaraan bedrijven moeten voldoen om aan PCI DSS te voldoen. Als uw bedrijf een creditcardverwerkingsovereenkomst heeft met een handelaar of andere gegevensverwerkingsovereenkomsten heeft met klanten, zijn er vereisten waaraan moet worden voldaan. Als uw bedrijf werknemers heeft die met betaalkaartgegevens omgaan, moet u ook aan eisen voldoen. Bedrijven moeten weten wie elke werknemer is en ervoor zorgen dat elke persoon de beveiligingsnormen voor de verwerking van betaalkaartgegevens begrijpt en naleeft. Bedrijven moeten ook bepaalde voorzorgsmaatregelen nemen om ervoor te zorgen dat de gegevens veilig blijven. Deze veiligheidsmaatregelen omvatten een veilige computeromgeving, beveiligingssoftware/hardware en encryptie/authenticatieprogramma's. Het belangrijkste is dat bedrijven die ervoor kiezen om creditcardgegevens te verwerken, een veilig gegevensbewaringsbeleid hebben. Dit beleid moet regelmatig worden bijgewerkt om ervoor te zorgen dat gegevens worden verwijderd wanneer ze niet langer nodig zijn. Om uw bedrijf in overeenstemming met PCI DSS te houden, moet u uw veiligheidspositie beoordelen en de nodige wijzigingen aanbrengen.