Overslaan naar inhoud
Nederlands
Inloggen
Go to PAY.
  • Er zijn geen suggesties want het zoekveld is leeg.

PCI-DSS en creditcardveiligheid

Als je creditcards als betaaloptie aanbiedt aan je klanten, moet je voldoen aan extra veiligheidsregels van de creditcardmaatschappijen.

Deze regels zijn vastgelegd in de Payment Card Industry – Data Security Standard (PCI-DSS) en zijn bedoeld om te voorkomen dat klant- of kaartgegevens worden gestolen of misbruikt. Als kaartgegevens in handen van derden komen, kunnen deze worden doorverkocht en vervolgens worden gebruikt voor aankopen op legitieme websites.

PCI Compliance Levels

Merchants worden op basis van hun jaarlijkse transactievolume ingedeeld in verschillende PCI compliance levels:

  • Level 1: Meer dan 6 miljoen kaarttransacties per jaar

  • Level 2: 1 tot 6 miljoen kaarttransacties per jaar

  • Level 3: 20.000 tot 1 miljoen e-commerce transacties per jaar

  • Level 4: Minder dan 20.000 e-commerce transacties per jaar

PCI-DSS Validatievereisten

Level Vereisten
Level 1 Jaarlijkse Report on Compliance (ROC) door een Qualified Security Assessor (QSA) of interne auditor; Attestation of Compliance (AOC); Kwartaalscans door een Approved Scanning Vendor (ASV)
Level 2 Jaarlijkse Self-Assessment Questionnaire (SAQ); Attestation of Compliance (AOC); Kwartaalscans door ASV
Level 3 Jaarlijkse SAQ; Attestation of Compliance (AOC); Kwartaalscans door ASV
Level 4 Jaarlijkse SAQ; Kwartaalscans door ASV

Gebruik van het PAY-betaalscherm

Als je het standaard PAY betaalscherm gebruikt, moet je ook voldoen aan de PCI-DSS regels van de creditcardmaatschappijen. Onvoldoende beveiligde technieken kunnen leiden tot diefstal van kaartgegevens, bijvoorbeeld als klanten naar een pagina van een externe partij worden geleid in plaats van naar PAY.

Het gebruik van het PAY-betaalscherm verkleint de benodigde inspanningen aanzienlijk in vergelijking met het zelf verwerken van kaartgegevens op je eigen platform.

Belangrijk: Merchants die het PAY-betaalscherm gebruiken, moeten jaarlijks een SAQ-A invullen. Een voorbeeld van een vooraf ingevulde SAQ-A is beschikbaar en geldt voor de meeste e-commerce merchants die het PAY-betaalscherm gebruiken. Alle vragen moeten zorgvuldig worden beantwoord.

Non-compliance

Als je niet aantoonbaar voldoet aan de regels van de creditcardmaatschappijen (non-compliant), kunnen zij je aanspreken en boetes opleggen. Dit geldt ook voor overtredingen van de PCI-DSS standaarden.

  • Onderzoeken starten meestal na meldingen, maar steekproeven kunnen ook plaatsvinden.

  • Als kaartgegevens worden misbruikt en terug te herleiden zijn naar jouw onderneming, moet je bewijs kunnen leveren dat je voldoet aan PCI-DSS.

  • Kan dit niet worden aangetoond, dan kunnen boetes worden opgelegd.