Stripe logo

sinds 2005 zijn meer dan 11 miljard consumentenrecords gecompromitteerd door meer dan 8.500 datalekken. Dit zijn de laatste cijfers van het Clearinghouse voor privacyrechten, dat uit 2005 rapporteert over datalekken en inbreuken op de beveiliging die gevolgen hebben voor consumenten.

om de veiligheid van consumentengegevens en het vertrouwen in het betalingsecosysteem te verbeteren, werd een minimumnorm voor gegevensbeveiliging gecreëerd. Visa, Mastercard, American Express, Discover en JCB vormden in 2006 de Payment Card Industry Security Standards Council (PCI SSC) om beveiligingsstandaarden te beheren voor bedrijven die creditcardgegevens verwerken. Voordat de PCI SSC werd opgericht, hadden deze vijf creditcardmaatschappijen allemaal hun eigen beveiligingsprogramma ‘ s—elk met ongeveer dezelfde eisen en doelen. Ze bundelden zich via de PCI SSC om één standaardbeleid af te stemmen, de PCI Data Security Standards (bekend als PCI DSS) om een basisniveau van bescherming voor consumenten en banken in het internettijdperk te waarborgen.

het begrijpen van PCI DSS kan complex en uitdagend zijn

als uw bedrijfsmodel vereist dat u kaartgegevens verwerkt, moet u mogelijk voldoen aan elk van de 300+ beveiligingscontroles in PCI DSS. Er zijn meer dan 1800 pagina ’s officiële documentatie, gepubliceerd door de PCI Raad, over PCI DSS, en meer dan 300 pagina’ s alleen om te begrijpen welk formulier(en) te gebruiken bij het valideren van compliance. Dit zou meer dan 72 uur duren om te lezen.

om deze last te verlichten, is het volgende een stapsgewijze handleiding voor het valideren en handhaven van PCI-naleving.

overzicht van PCI Data Security Standard (PCI DSS)

PCI DSS is de wereldwijde beveiligingsstandaard voor alle entiteiten die kaarthoudergegevens en/of gevoelige authenticatiegegevens opslaan, verwerken of verzenden. PCI DSS stelt een basisniveau van bescherming voor consumenten en helpt fraude en datalekken in het hele betaalecosysteem te verminderen. Het is van toepassing op elke organisatie die betaalkaarten accepteert of verwerkt.

PCI DSS compliance omvat 3 belangrijke zaken:

  1. omgaan met het binnenkomen van creditcardgegevens van klanten, namelijk dat gevoelige kaartgegevens veilig worden verzameld en verzonden
  2. gegevens veilig opslaan, zoals beschreven in de 12 beveiligingsdomeinen van de PCI-standaard, zoals encryptie, doorlopend toezicht en beveiligingstests van toegang tot kaartgegevens
  3. jaarlijks valideren dat de vereiste beveiligingscontroles worden uitgevoerd, waaronder formulieren, vragenlijsten, externe kwetsbaarheidsscandiensten en audits van derden (zie de stapsgewijze handleiding hieronder voor een tabel met de vier niveaus van voorschriften)

het verwerken van kaartgegevens

sommige bedrijfsmodellen vereisen de directe behandeling van gevoelige creditcardgegevens bij het accepteren van betalingen, terwijl andere dat niet doen. Bedrijven die wel kaartgegevens moeten verwerken (bijvoorbeeld het accepteren van ongetokeniseerde pannen op een betaalpagina) moeten mogelijk voldoen aan elk van de 300+ beveiligingscontroles in PCI DSS. Zelfs als kaartgegevens slechts voor een kort moment de servers doorkruisen, zou het bedrijf beveiligingssoftware en-hardware moeten kopen, implementeren en onderhouden.

als een bedrijf geen gevoelige creditcardgegevens hoeft te verwerken, moet het dat niet doen. oplossingen van derden (bijvoorbeeld Stripe Elements) accepteren en bewaren de gegevens veilig, waardoor aanzienlijke complexiteit, kosten en risico ‘ s wegvallen. Aangezien kaartgegevens nooit de servers raken, hoeft het bedrijf alleen maar 22 beveiligingscontroles te bevestigen, waarvan de meeste eenvoudig zijn, zoals het gebruik van sterke wachtwoorden.

gegevens veilig opslaan

als een organisatie creditcardgegevens verwerkt of opslaat, moet zij de reikwijdte van haar gegevensomgeving voor kaarthouders (CDE) definiëren. PCI DSS definieert CDE als de mensen, processen en technologieën die creditcardgegevens opslaan, verwerken of verzenden—of elk systeem dat ermee is verbonden. Aangezien alle 300 + beveiligingsvereisten in PCI DSS van toepassing zijn op CDE, is het belangrijk om de betalingsomgeving goed te segmenteren van de rest van het bedrijf om de reikwijdte van PCI validatie te beperken. Als een organisatie niet in staat is om de CDE scope met granulaire segmentatie te bevatten, zouden de PCI beveiligingscontroles dan van toepassing zijn op elk systeem, laptop en apparaat op het bedrijfsnetwerk. Jakkes!

jaarlijkse validatie

ongeacht de wijze waarop kaartgegevens worden geaccepteerd, moeten organisaties jaarlijks een PCI-validatieformulier invullen. De manier waarop PCI compliance wordt gevalideerd hangt af van een aantal factoren, die hieronder worden beschreven. Hier zijn 3 scenario ‘ s waarin een organisatie kan worden gevraagd om aan te tonen dat het PCI compliant is:

  • Payment processors may request it as part of their required reporting to the payment card brands
  • zakenpartners may request it as a condition to entering into business agreements
  • voor platformbedrijven (die wiens technologie online transacties tussen meerdere verschillende sets gebruikers vergemakkelijkt), kunnen klanten vragen om hun klanten te laten zien dat zij gegevens veilig verwerken

de nieuwste set van beveiligingsstandaarden, PCI DSS version 3.2.1, bevat 12 belangrijkste eisen met meer dan 300 sub-eisen die veiligheid best practices weerspiegelen.

    een beveiligd netwerk en systemen bouwen en onderhouden

  1. een firewall-configuratie installeren en onderhouden om kaarthoudergegevens te beschermen
  2. gebruik geen door de leverancier geleverde standaardwaarden voor systeemwachtwoorden en andere beveiligingsparameters
  3. gegevens van Kaarthouder

  4. opgeslagen gegevens van Kaarthouder
  5. versleutel de overdracht van kaarthoudergegevens over open of openbare netwerken
  6. onderhouden vulnerability management program

  7. Bescherm alle systemen tegen malware en update regelmatig antivirussoftware
  8. systemen en toepassingen
  9. sterke toegangscontrolemaatregelen implementeren

  10. toegang tot kaarthoudergegevens beperken naar bedrijf need to know
  11. toegang tot systeemcomponenten identificeren en authenticeren
  12. fysieke toegang tot kaarthoudergegevens beperken
  13. netwerken regelmatig controleren en testen

  14. alle toegang tot netwerkbronnen en kaarthoudergegevens volgen en bewaken
  15. beveiligingssystemen en processen regelmatig testen
  16. een informatiebeveiligingsbeleid onderhouden

  17. een beleid onderhouden dat informatiebeveiliging voor iedereen aanpakt personeel

om het “gemakkelijker” te maken voor nieuwe bedrijven om de PCI-naleving te valideren, creëerde de PCI-Raad negen verschillende formulieren of Zelfbeoordelingsvragenlijsten (SAQ ‘ s) die een subset zijn van de volledige PCI-DSS-eis. De truc is uit te zoeken welke van toepassing is of of het nodig is om een door de PCI Raad goedgekeurde auditor in te huren om te controleren of aan elke PCI DSS-beveiligingsvereiste is voldaan. Bovendien herziet de PGB-Raad de regels om de drie jaar en brengt hij het hele jaar door incrementele updates uit, waardoor de complexiteit nog dynamischer wordt.

stap voor stap handleiding voor PCI DSS v3.2.1 compliance

de eerste stap om PCI compliance te bereiken is te weten welke vereisten van toepassing zijn op uw organisatie. Er zijn vier verschillende PCI compliance niveaus, meestal gebaseerd op het volume van credit card transacties uw bedrijfsprocessen gedurende een periode van 12 maanden.

is van toepassing op vereisten
niveau 1
  1. organisaties die jaarlijks meer dan 6 miljoen transacties van Visa of MasterCard verwerken, of meer dan 2.5 miljoen voor American Express; of
  2. een datalek hebben ervaren; of
  3. Worden aangemerkt als “Niveau 1” door een kaart association (Visa, Mastercard, etc)
  1. Jaarverslag over de Naleving (ROC) door een Gekwalificeerde Security Assessor (QSA)—ook bekend als een Niveau 1 op locatie assessment of internal auditor als het is ondertekend door een functionaris van de onderneming
  2. Driemaandelijkse netwerk scannen door Erkende Scan Vendor (ASV)
  3. Attest van Naleving (AOC) voor het ter plekke Evaluaties–er zijn specifieke vormen voor handelaars en dienstverleners
Level 2 Organisaties die het proces tussen 1-6 miljoen transacties jaarlijks
  1. Jaarlijkse PCI DSS Self-Assessment Questionnaire (SAQ)—er zijn 9 SAQ soorten kort weergegeven in de tabel hieronder
  2. Driemaandelijkse netwerk scannen door Erkende Scan Vendor (ASV)
  3. Attest van Naleving (AOC)—elk van de 9 SAQs heeft een respectievelijke AOC formulier
Niveau 3
  1. Organisaties die het proces tussen de 20.000-1 miljoen online transacties jaarlijks
  2. Organisaties die het proces minder dan 1 miljoen totaal van de transacties jaarlijks
niveau 4
  1. organisaties die jaarlijks minder dan 20.000 online transacties verwerken; of
  2. organisaties die jaarlijks tot 1 miljoen totale transacties verwerken

voor niveau 2-4 zijn er verschillende SAQ-types afhankelijk van uw betalingsintegratiemethode. Hier is een korte tafel:

SAQ beschrijving
a

kaarthouder-niet-aanwezige handelaren (e-commerce of post/telefonische bestelling), die alle functies van de kaarthouder volledig hebben uitbesteed aan PCI DSS-conforme derde dienstverleners, zonder elektronische opslag, verwerking of overdracht van gegevens van de kaarthouder op de systemen of gebouwen van de handelaar.

niet van toepassing op face-to-face kanalen.

a-EP

e-commerce handelaren die alle betalingsverwerking uitbesteden aan PCI DSS gevalideerde derden, en die een website(s) hebben die geen gegevens van kaarthouders rechtstreeks ontvangen, maar die de veiligheid van de betalingstransactie kunnen beïnvloeden. Geen elektronische opslag, verwerking of overdracht van gegevens van kaarthouders op systemen of gebouwen van de handelaar.

alleen van toepassing op e-commercekanalen.

B

handelaren die alleen:

  • Imprintmachines zonder elektronische gegevensopslag van kaarthouders en / of
  • Standalone inbelterminals zonder elektronische gegevensopslag van kaarthouders.

niet van toepassing op e-commercekanalen.

B-IP

handelaren die alleen standalone, PTS-goedgekeurde betaalterminals gebruiken met een IP-verbinding met de betalingsverwerker zonder dat elektronische Kaarthouder gegevensopslag heeft.

niet van toepassing op e-commercekanalen.

C-VT

handelaren die handmatig één enkele transactie tegelijk via een toetsenbord invoeren in een internetgebaseerde, virtuele betaalterminaloplossing die wordt geleverd en gehost door een PCI DSS gevalideerde derde dienstverlener. Geen elektronische gegevensopslag van de kaarthouder.

niet van toepassing op e-commercekanalen.

C

handelaren met betaalaanvraagsystemen die zijn aangesloten op het Internet, geen elektronische gegevensopslag van kaarthouders.

niet van toepassing op e-commercekanalen.

P2pe

handelaren die alleen hardware-betaalterminals gebruiken die zijn opgenomen in en worden beheerd via een gevalideerde, PCI SSC-listed Point-to-Point Encryption (P2PE) – oplossing, zonder opslag van gegevens van elektronische kaarthouders.

niet van toepassing op e-commerce handelaren.

D

SAQ D voor handelaren: alle handelaren die niet zijn opgenomen in beschrijvingen voor de bovenstaande SAQ-typen.

SAQ D Voor serviceproviders: alle serviceproviders die door een betaalmerk zijn gedefinieerd als in aanmerking komend voor het invullen van een SAQ.

om de SAQ-en Attestdocumenten te selecteren die het beste van toepassing zijn op uw organisatie, kan het stroomdiagram op pagina 18 van deze Pci doc helpen.

de PCI DSS-vereisten veranderen in de loop van de tijd, dus een van de beste manieren om updates te krijgen over nieuwe of veranderende certificeringseisen en hoe daaraan te voldoen is om een PCI Participating Organization (PO) te worden.

kaart uw gegevensstromen

voordat u gevoelige creditcardgegevens kunt beschermen, moet u weten waar ze wonen en hoe ze daar komen. U wilt een uitgebreide kaart maken van de systemen, netwerkverbindingen en toepassingen die interageren met creditcardgegevens in uw organisatie. Afhankelijk van je rol moet je waarschijnlijk samenwerken met je IT-en beveiligingsteam(s) om dit te doen.

  • identificeer eerst elk consumentengedeelte van het bedrijf dat betalingstransacties omvat. U kunt bijvoorbeeld betalingen accepteren via een online winkelwagentje, in-store betaalterminals of via de telefoon geplaatste bestellingen.
  • bepaal vervolgens de verschillende manieren waarop de gegevens van de kaarthouder in het hele bedrijf worden verwerkt. Het is belangrijk om precies te weten waar de gegevens worden opgeslagen en wie er toegang toe heeft.
  • identificeer vervolgens de interne systemen of onderliggende technologieën die van invloed zijn op betalingstransacties. Dit geldt ook voor uw netwerksystemen, datacenters en cloudomgevingen.

controleer beveiligingscontroles en protocollen

zodra u alle potentiële contactpunten voor creditcardgegevens in uw organisatie in kaart hebt gebracht, werkt u samen met IT-en beveiligingsteams om ervoor te zorgen dat de juiste beveiligingsconfiguraties en protocollen aanwezig zijn (zie de lijst met 12 beveiligingsvereisten voor PCI DSS hierboven). Deze protocollen zijn ontworpen om de overdracht van gegevens te beveiligen, zoals Transport Layer Security (TLS).

de 12 beveiligingseisen voor PCI DSS v3.2.1 vloeien voort uit de beste praktijken voor de bescherming van gevoelige gegevens voor elk bedrijf. Verschillende overlappen met die nodig zijn om te voldoen aan GDPR, HIPAA, en andere privacy mandaten, dus een paar van hen kunnen al op hun plaats in uw organisatie.

Monitor en onderhoud

het is belangrijk op te merken dat PCI compliance geen eenmalige gebeurtenis is. Het is een continu proces om ervoor te zorgen dat uw bedrijf compliant blijft, zelfs als gegevensstromen en klantcontactpunten evolueren. Sommige creditcardmerken vereisen mogelijk dat u driemaandelijkse of jaarlijkse rapporten indient of een jaarlijkse beoordeling ter plaatse uitvoert om de voortdurende naleving te valideren, vooral als u meer dan 6 miljoen transacties per jaar verwerkt.

het beheren van PCI compliance gedurende het hele jaar (en jaar op jaar) vereist vaak ondersteuning en samenwerking tussen verschillende afdelingen. Als dit nog niet bestaat, kan het de moeite waard zijn om een toegewijd team intern te creëren om de compliance goed te handhaven. Hoewel elk bedrijf uniek is, zou een goed uitgangspunt voor een “PCI team” vertegenwoordiging van de volgende omvatten::

  • beveiliging: de Chief Security Officer( CSO), Chief Information Security Officer (CISO) en hun teams zorgen ervoor dat de organisatie altijd goed investeert in de benodigde gegevensbeveiliging en privacybronnen en-beleid.
  • technologie / betalingen: de Chief Technology Officer (CTO), VP of Payments, en hun teams zorgen ervoor dat de belangrijkste tools, integraties en infrastructuur compatibel blijven naarmate de systemen van de organisatie evolueren.
  • Financiën: de Chief Financial Officer (CFO) en hun team zorgen ervoor dat alle betalingsgegevens worden verwerkt als het gaat om betalingssystemen en partners.
  • juridisch: dit team kan helpen navigeren door de vele juridische nuances van PCI DSS compliance.

voor meer informatie over de complexe wereld van PCI compliance, ga naar de website van de PCI Security Standards Council. Als je alleen deze handleiding en een paar andere PCI docs leest, raden we aan om met deze te beginnen: geprioriteerde aanpak voor PCI DSS, SAQ-instructies en-richtlijnen, veelgestelde vragen over het gebruik van SAQ-criteria om de vereisten voor beoordeling op locatie te bepalen, en veelgestelde vragen over verplichtingen voor handelaren die apps ontwikkelen voor consumentenapparaten die betaalkaartgegevens accepteren.

hoe Stripe organisaties helpt om PCI-compliance te bereiken en te handhaven

Stripe vereenvoudigt de PCI-Last aanzienlijk voor bedrijven die integreren met Checkout, elementen, mobiele SDK ’s en Terminal SDK’ s. Stripe Checkout en Stripe Elements gebruiken Een gehost betaalveld voor het verwerken van alle betaalkaartgegevens, zodat de kaarthouder alle gevoelige betalingsinformatie invoert in een betaalveld dat rechtstreeks afkomstig is van onze PCI DSS gevalideerde servers. Stripe mobile en Terminal SDK ‘ s stellen de kaarthouder ook in staat om gevoelige betalingsinformatie rechtstreeks naar onze PCI DSS gevalideerde servers te sturen.

met veiliger card acceptatie methoden zoals deze, zullen we de PCI form (SAQ) in het streep Dashboard vullen, waardoor PCI validatie net zo eenvoudig is als het klikken op een knop. Voor kleinere organisaties kan dit honderden uren werk besparen, voor grotere kan dit duizenden besparen.

voor al onze gebruikers, ongeacht het type integratie, werkt Stripe als een PCI-pleitbezorger en kan het op een paar verschillende manieren helpen.

  • we analyseren uw integratiemethode en adviseren u over welk PCI-formulier u moet gebruiken en hoe u uw nalevingslast kunt verminderen.
  • we informeren u van tevoren als een groeiend transactievolume een wijziging vereist in de manier waarop u compliance valideert.
  • voor grote handelaren (niveau 1) bieden we een PCI-pakket dat de PCI-validatietijd kan verkorten van maanden naar dagen. Als u met een PCI QSA moet werken (omdat u creditcardgegevens opslaat of een complexere betalingsstroom hebt), zijn er wereldwijd meer dan 350 van dergelijke QSA-bedrijven en kunnen we u in contact brengen met verschillende auditors die de verschillende Streepintegratiemethoden grondig begrijpen.
Visa Koopman Niveau Gemiddelde audit tijd (jaarlijkse schattingen) Gemiddelde audit tijd met Streep Elementen, Kassa of Mobiele SDK (jaarlijkse schattingen)
Niveau 1 3-5 maanden 2-5 dagen
Level 2 1-3 maanden 0 dagen
Niveau 3 1-3 maanden 0 dagen
Niveau 4 1-3 maanden 0 dagen

Voor meer informatie over het Streep je helpt de bescherming van uw de gegevens van klanten en het bereiken van PCI compliance, Bekijk onze documenten over integratiebeveiliging.

conclusie

het beoordelen en valideren van PCI compliance gebeurt gewoonlijk eenmaal per jaar, maar PCI compliance is geen eenmalige gebeurtenis-het is een continue en substantiële inspanning van beoordeling en herstel. Naarmate een bedrijf groeit, zullen ook de core business logica en processen groeien, wat betekent dat compliance eisen ook zullen evolueren. Een online bedrijf, bijvoorbeeld, kan besluiten om fysieke winkels te openen, nieuwe markten betreden, of de lancering van een Customer support center. Als er iets nieuws gaat over betaalkaartgegevens, is het een goed idee om proactief te controleren of dit enige impact heeft op uw PCI validatiemethode, en opnieuw te valideren PCI compliance indien nodig.

PCI compliance helpt. Het is gewoon niet genoeg.

naleving van de PCI DSS — richtlijnen is een noodzakelijke beschermingslaag voor uw bedrijf-maar het is niet genoeg. PCI DSS stelt belangrijke normen voor het verwerken en opslaan van gegevens van kaarthouders, maar biedt op zichzelf niet voldoende bescherming voor elke betaalomgeving. In plaats daarvan, verhuizen naar een veiliger card acceptatie methode (zoals streep Checkout, elementen en mobiele SDK ‘ s) is een veel effectievere manier om uw organisatie te beschermen. Het langdurige voordeel dat dit biedt, is dat u niet hoeft te vertrouwen op de basisstandaarden van de industrie of zich zorgen hoeft te maken over het mogelijke falen van beveiligingscontroles. Deze aanpak biedt agile bedrijven een manier om een potentieel datalek te beperken en te voorkomen dat de emotionele, tijdrovende en dure historische benadering van PCI validatie. Niet te vergeten, een veiligere integratie methode is betrouwbaar elke dag van het jaar.

terug naar hulplijnen

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

More: