Regulation
PCI DSS
De Payment Card Industry Data Security Standard, het door het schema verplichte raamwerk voor het omgaan met kaarthoudergegevens.
De Payment Card Industry Data Security Standard (PCI DSS) is een wereldwijd verplicht raamwerk dat is opgesteld door de belangrijkste kaartschema's — Visa, Mastercard, American Express, Discover en JCB — om de gegevensomgevingen van kaarthouders te beveiligen. Het is van toepassing op elke entiteit die primaire rekeningnummers (PAN) opslaat, verwerkt of verzendt, en vereist naleving van twaalf kern technische en operationele vereisten die betrekking hebben op netwerkbeveiliging, toegangscontroles en encryptie. Niveaus van compliance worden bepaald door het jaarlijkse transactievolume, variëns van Niveau 4 voor kleine handelaren tot Niveau 1 voor degenen die meer dan 6 miljoen transacties verwerken. De meeste handelaren streven ernaar hun compliance-last te verminderen door middel van technieken voor reikwijdteverkleining, zoals het gebruik van gehoste betaalpagina's of iframe-integraties die worden aangeboden door een acquirer of PSP. Dit zorgt ervoor dat gevoelige gegevens buiten de infrastructuur van de handelaar blijven, waardoor ze doorgaans de beveiliging kunnen valideren via een vereenvoudigde zelfevaluatievragenlijst (SAQ) in plaats van een volledige Quality Security Assessor (QSA)-audit.
Veelgestelde vragen
Wat zijn de gevolgen van het niet naleven van PCI DSS?
Het niet naleven kan leiden tot aanzienlijke maandelijkse boetes van de kaartschema's, die vaak via de acquirer worden doorberekend. In het geval van een datalek kunnen niet-conforme entiteiten worden geconfronteerd met verhoogde transactiekosten, wettelijke aansprakelijkheden en de mogelijke intrekking van hun handelsrekening (MID).
Hoe verandert versie 4.0 het compliance-landschap voor handelaren?
PCI DSS v4.0 introduceert strengere eisen met betrekking tot multi-factor authenticatie (MFA) en frequentere testen van security controls. Het verschuift ook naar een risicogebaseerde aanpak, waardoor organisaties meer flexibiliteit krijgen in hoe ze aantonen dat ze specifieke beveiligingsdoelstellingen hebben behaald via een aangepaste validatieaanpak.
Gerelateerde termen
Het vervangen van gevoelige kaartgegevens door een niet-gevoelige surrogaatwaarde die kan worden opgeslagen en hergebruikt zonder PCI-scope.
Een PCI-DSS-compliant opslag van getokeniseerde kaartgegevens waarmee een verkoper een kaart opnieuw kan belasten zonder de PAN vast te houden.
Klaar voor snelheid?
Vertel ons over uw bedrijf. Wij matchen u met de juiste acquiring partners en de juiste route, doorgaans binnen een week.
