PCI-DSS compliancy: voeg waarde aan uw business toe

Online betalen is anno 2017 de gewoonste zaak van de wereld. Dat betekent dat er ook veel ontwikkelingen zijn op dit vlak. Steeds vaker betalen bezoekers van een webshop met een creditcard in plaats van bijvoorbeeld iDEAL. Als u een webshop runt, is dat reden genoeg om over PCI-DSS na te denken.

PCI-DSS, wat is dat?

PCI-DSS KPN Internedservices

Thuiswinkel.org maakte bekend dat in Nederland jaarlijks meer dan 17 miljoen aankopen in webshops met creditcard worden betaald en dat dit aantal snel groeit. Betalen via creditcard is snel en eenvoudig, aankopen zijn meestal verzekerd en betaling via creditcard geniet de voorkeur bij internationale transacties. Tegelijkertijd hebben cybercriminelen het steeds vaker gemunt op de gegevens van juist deze transacties. Online security is daardoor niet langer een luxe, maar bittere noodzaak.

Niet voor niets dus dat creditcardmaatschappijen een goede beveiliging van de opslag, verwerking en verzending van kaarthouder gegevens eisen bij online zakendoen. De grote creditcardmaatschappijen (American Express, Discover, JCB, MasterCard en Visa) hebben om die reden in 2006 de standaard ‘Payment Card Industry Data Security Standard’  (PCI-DSS) in het leven geroepen. Iedere ondernemer die te maken heeft met online creditcard betalingen moet hier aan voldoen. Of u nu 100 of 100.000 creditcard transacties per jaar verwerkt: uw webshop moet PCI-DSS compliant zijn. Als zich een incident voordoet terwijl u niet compliant bent, kan de creditcardmaatschappij u een boete opleggen of de samenwerking met uw bedrijf beëindigen.

PCI-DSS compliant zijn en blijven

Zaak dus om dieper in de materie te duiken. Hoe zorgt u ervoor dat u compliant bent en blijft? En hoe zit het eigenlijk als u gebruik maakt van cloudservices voor uw webshop?

Binnen PCI-DSS wordt onderscheid gemaakt tussen ‘merchants’ en ‘service providers’. Merchants zijn simpelweg partijen die betaalkaarten van één van de hierboven genoemde maatschappijen accepteren. Service providers zijn bedrijven die kaarthouder gegevens verwerken, opslaan of verzenden en bedrijven die diensten leveren die de veiligheid van kaarthouder gegevens kunnen beïnvloeden of controleren (denk aan bijvoorbeeld hosting). Bedrijven kunnen dus zowel merchant als service provider zijn in dit kader. Voor beide rollen zijn specifieke richtlijnen opgesteld om aan PCI-DSS te voldoen.

Deze eisen variëren van het juist configureren van een firewall tot strenge authenticatieprocessen voor toegang tot kaartgegevens en het (continu) monitoren van uw systeem om verdachte activiteiten te signaleren. En zo zijn er meer onderdelen van uw procesinrichting die voor PCI-DSS van belang zijn. Daar bovenop bepaalt de hoeveelheid creditcardtransacties op jaarbasis hoe u compliant moet zijn.

PCI-DSS: zelf regelen of uitbesteden?

Als het u nu al duizelt, is het verstandig om een aantal afwegingen te maken. Eén daarvan is of u zelf wel uw compliancy wilt en kunt organiseren, of dat u liever heeft dat dit grotendeels voor u geregeld wordt door bijvoorbeeld uw cloudprovider. Als u geen cloud- of hostingprovider heeft die hier expertise in heeft ontwikkeld, kunt u overwegen over te stappen naar een PCI-DSS gecertificeerde cloudprovider. Niet alleen om sancties te voorkomen, maar ook als een toegevoegde waarde aan uw dienstverlening.

Als u uw klanten de mogelijkheid biedt om te betalen via creditcard, is naleving van de PCI-DSS een versterking van uw propositie: consumenten en bedrijven zijn zich steeds bewuster van cybercrime en willen zeker weten dat hun gegevens veilig worden verwerkt. Webwinkels die PCI-DSS compliant zijn en samenwerken met een cloudprovider die dat ook is, hebben daarom een streepje voor.

De juiste cloudprovider kan u helpen om te voldoen aan PCI-DSS, weet waar u op moet letten en is altijd op de hoogte van de nieuwste eisen. Zorg er wel voor dat u strikt onderscheid maakt tussen een cloudprovider die zelf PCI-DSS gecertificeerd is en providers die dat niet zijn. Niet alle cloudproviders zijn wat dat betreft gelijk geschapen, onderkent ook de PCI Security Standards Council die de PCI-DSS richtlijnen opstelt.

Heeft u vragen of hulp nodig bij compliancyvraagstukken? We helpen graag.