PCI-compliance is de strikte naleving van de richtlijnen van de Payment Card Industry Data Security Standard (PCI DSS), vereist voor alle bedrijven die creditcardbetalingen accepteren. De Payment Card Industry Security Standards Council is de instantie die bedrijven verantwoordelijk houdt voor deze naleving. De PCI-raad biedt verschillende trainingen en cursussen voor bedrijven, evenals eenvoudige quizzen die ze kunnen nemen om hun nalevingsniveau te testen.
PCI biedt ook toegang tot beoordelaars (vaak externe beveiligingsorganisaties), die bedrijven beoordelen op PCI-compliance. De PCI Security Standards Council zorgt er ook voor dat gekwalificeerde beveiligingsbeoordelaars regelmatig worden gecertificeerd en goedgekeurd, zodat ze zelf aan een hoge nalevingsstandaard worden gehouden.
PCI biedt ook standaarden voor PTS-apparaten (PIN Transaction Security), de hardware waarop kaarttransacties plaatsvinden. Op de PCI Security Standards-website staat een lijst met PCI-goedgekeurde PTS-apparaten, die ook een beveiligingsbeleid hebben. Deze apparaten mogen niet verlopen zijn als een bedrijf ze gaat gebruiken.
Twaalf vereisten voor PCI-compliance
De Security Standards Council heeft twaalf normen opgesteld waaraan elk kaartaccepterend bedrijf moet voldoen:
- Implementeren van firewalls op bedrijfsnetwerk
- Oefen de beste gewoonten voor goede wachtwoorden, niet alleen de absolute minimum- of standaardwachtwoorden
- Zowel creditcardgegevens als coderingssleutels versleutelen
- Gegevens in beweging versleutelen (terwijl ze openbare netwerken overschrijden)
- Gebruikmakend van up-to-date antivirusoplossingen
- Beveiliging van het gehele netwerk, inclusief software / applicaties
- Medewerkers alleen toegang geven tot kaartinformatie als dit absoluut noodzakelijk is
- Elke medewerker zijn eigen computer / systeemtoegangscode, gebruikersnaam en / of wachtwoord geven
- Toegang beperken tot hardware of andere apparatuur waarin kaartgegevens worden bewaard
- Systeemtoegang bewaken, inclusief het bijhouden van elke keer dat een medewerker toegang krijgt tot kaartinformatie
- Regelmatig testen van beveiligingsprotocollen
- Bieden van een beveiligingsbeleid, niet alleen aan werknemers, maar ook aan derden, en documenteren van opslag, verzending en toegang van kaartgegevens. Nog een belangrijke opmerking over deze documenten en logboeken: andere wettelijke normen, zoals de AVG en CCPA, zullen waarschijnlijk ook vereisen dat organisaties al het gebruik en de overdracht van gevoelige gegevens documenteren, dus het is dubbel belangrijk om gedetailleerde gegevens bij te houden.
Mogelijke gevolgen van niet-naleving van PCI
Het niet naleven van deze strenge eisen verhoogt het risico op een datalek. Het vergroot ook de kans op verlies van reputatie en klantvertrouwen. Het versleutelen van gegevens en het beperken van de toegang ertoe biedt daarentegen meer veiligheid voor een bedrijf. Hoewel het strikt volgen van PCI-normen niet betekent dat een bedrijf immuun is voor aanvallen en inbreuken, betekent dit wel dat hun boetes en eventuele juridische stappen waarschijnlijk zullen worden verminderd.
Cybercriminaliteit, waaronder diefstal van creditcardgegevens, wordt voor criminelen veel gemakkelijker om te plegen. Voldoen aan PCI-normen is de beste praktijk voor een bedrijf dat legaal wil opereren en een tevreden klantenbestand wil behouden.