Aanmelden 

Een gids voor PCI-compliance

Payment Card Industry Data Security Standards (PCI DSS) zijn de minimale vereisten voor de beveiliging van gegevens. Deze stapsgewijze gids bevat informatie over compliance en hoe Stripe daarbij kan helpen.

Payments
Payments

Ontvang over de hele wereld online en fysieke betalingen met een betaaloplossing die past bij elke onderneming, van veelbelovende start-ups tot multinationals.

Meer informatie 
  1. Inleiding
  2. Overzicht van de PCI-gegevensbeveiligingsstandaard (PCI DSS)
    1. Verwerking van kaartgegevens
    2. Beveiligde opslag van gegevens
    3. Jaarlijkse validatie
  3. Stapsgewijze gids voor PCI DSS-compliance
    1. 1. Ken je vereisten
    2. 2. Gegevensstromen in kaart brengen
    3. 3. Controleer beveiligingscontroles en -protocollen
    4. 4. Bewaken en handhaven
  4. Hoe Stripe organisaties helpt de PCI-vereisten na te leven en te handhaven
  5. Meer informatie over Stripe 

Sinds 2005 zijn er meer dan 11 miljard gegevensarchieven van consumenten op straat beland als gevolg van meer dan 8500 gegevenslekken. Dit zijn de nieuwste cijfers van de Privacy Rights Clearinghouse, een organisatie die rapporteert over gegevenslekken en beveiligingsinbreuken die nadelig zijn voor consumenten (vanaf 2005 tot heden).

Om de veiligheid van klantgegevens en het vertrouwen in betaalomgevingen te verbeteren is er een minimale standaard voor gegevensbeveiliging opgesteld. Visa, Mastercard, American Express, Discover en JCB hebben in 2006 de Payment Card Industry Security Standards Council (PCI SSC) opgericht om beveiligingsstandaarden op te stellen en te beheren voor bedrijven die creditcardgegevens verwerken. Voordat de PCI SSC werd opgericht, hadden deze vijf creditcardmaatschappijen allemaal hun eigen programma voor beveiligingsstandaarden, met elk ongeveer dezelfde vereisten en doelstellingen. Ze besloten daarom hun krachten te bundelen in de PCI SSC om met één standaardbeleid, de PCI Data Security Standards (ook wel PCI DSS genoemd), consumenten en banken een minimaal beschermingsniveau te bieden in het huidige internettijdperk.

De PCI DSS kan complex en moeilijk zijn

Als je op grond van je businessmodel kaartgegevens moet verwerken, ben je mogelijk verplicht om aan elk van de meer dan 300 beveiligingscontroles van de PCI DSS te voldoen. De PCI Council heeft meer dan 1800 pagina's aan officiële documenten over de PCI DSS gepubliceerd, en meer dan 300 pagina's waarin wordt uitgelegd welke formulieren je moet gebruiken bij het valideren van de compliance. Alleen al het lezen van alle documenten zou je meer dan 72 uur kosten.

Hieronder vind je een stapsgewijze gids waarmee we de validatie en handhaving van de PCI-compliance iets begrijpelijker hopen te maken.

PCI DSS versie 4.0 gaat op 31 maart 2024 in

Overzicht van de PCI-gegevensbeveiligingsstandaard (PCI DSS)

De PCI DSS is de wereldwijde beveiligingsstandaard voor alle entiteiten die kaarthoudergegevens en/of gevoelige authenticatiegegevens opslaan, verwerken of overdragen. De PCI DSS schrijft een minimaal beschermingsniveau voor consumenten voor en helpt fraude en gegevenslekken terug te dringen in de hele betaalomgeving. De standaard is van toepassing op elke organisatie die betaalkaarten accepteert of verwerkt.

PCI DSS-compliance omvat drie hoofdonderdelen:

  1. Verwerking van binnenkomende creditcardgegevens van klanten. Hierbij gaat het erom dat gevoelige kaartgegevens veilig worden verzameld en overgedragen.
  2. Beveiligde opslag van gegevens. Dit staat beschreven in de 12 beveiligingsdomeinen van de PCI-standaard, zoals encryptie, doorlopende bewaking en beveiligingstesten voor de toegang tot kaartgegevens.
  3. Jaarlijkse validatie van het gebruik van de verplichte beveiligingscontroles. Het gaat hierbij om formulieren, vragenlijsten, externe diensten voor het scannen op kwetsbaarheden en controles door derden (zie de onderstaande stapsgewijze gids voor een tabel met de vier vereistenniveaus)

Verwerking van kaartgegevens

Bij sommige businessmodellen moeten gevoelige creditcardgegevens direct worden verwerkt bij het accepteren van betalingen, terwijl dat bij andere modellen niet het geval is. Bedrijven die wel kaartgegevens moeten verwerken (bijvoorbeeld als ze niet naar tokens omgezette PAN's accepteren op een betaalpagina), moeten mogelijk voldoen aan elk van de meer dan 300 beveiligingscontroles in de PCI DSS. Zelfs als kaartgegevens slechts heel even op de servers staan, moet het bedrijf beveiligingssoftware en -hardware kopen, implementeren en onderhouden.

Als een bedrijf niet per se gevoelige creditcardgegevens hoeft te verwerken, is het beter om dat ook niet te doen. Oplossingen van derden (bijvoorbeeld Stripe Elements) kunnen de gegevens veilig accepteren en opslaan, waardoor de complexiteit, kosten en risico's aanzienlijk afnemen. Aangezien de kaartgegevens dan nooit op de servers van het bedrijf staan, hoeft het bedrijf slechts enkele beveiligingscontroles te bevestigen, waarvan de meeste vrij eenvoudig zijn, zoals het gebruik van sterke wachtwoorden.

Beveiligde opslag van gegevens

Als een organisatie creditcardgegevens verwerkt of opslaat, moet het bereik van de omgeving van de kaarthoudergegevens (CDE, Cardholder Data Environment) worden gedefinieerd. De PCI DSS definieert de CDE als de mensen, processen en technologieën die creditcardgegevens opslaan, verwerken of overdragen, of elk systeem dat met deze omgeving verbonden is. Aangezien alle meer dan 300 beveiligingsvereisten in de PCI DSS van toepassing zijn op de CDE, is het belangrijk om de betaalomgeving goed te scheiden van de rest van het bedrijf, zodat het bereik van de PCI-validatie zoveel mogelijk wordt beperkt. Kan een organisatie het CDE-bereik niet beperken door middel van nauwkeurig gescheiden segmenten, dan zijn de PCI-beveiligingscontroles van toepassing op elk systeem, elke laptop en elk apparaat in het bedrijfsnetwerk. En dat wil je echt niet.

Jaarlijkse validatie

Ongeacht de wijze waarop kaartgegevens worden geaccepteerd, zijn organisaties verplicht om jaarlijks een PCI-validatieformulier in te vullen. De manier waarop de PCI-compliance wordt gevalideerd, hangt af van een aantal factoren, die we hieronder op een rijtje hebben gezet. Hier volgen drie scenario's waarin een organisatie kan worden gevraagd de PCI-compliance aan te tonen:

  • Betalingsverwerkers kunnen PCI-compliance vereisen als onderdeel van hun verplichte rapportage aan de betaalkaartmaatschappijen.
  • Zakelijke partners kunnen PCI-compliance vereisen als voorwaarde om zakelijke overeenkomsten aan te gaan.
  • Platformbedrijven (met een technologie die online transacties onder meerdere afzonderlijke groepen gebruikers mogelijk maakt) kunnen door klanten worden gevraagd de veilige verwerking van gegevens aan te tonen.

De PCI DSS-beveiligingsstandaard omvat 12 hoofdvereisten met meer dan 300 subvereisten die zijn afgestemd op de aanbevolen beveiligingsprocedures.

ONTWIKKEL EN ONDERHOUD BEVEILIGDE NETWERKEN EN SYSTEMEN

  • 1. Installeer en onderhoud netwerkbeveiligingscontroles.
  • 2. Pas veilige configuraties op alle systeemcomponenten toe.

BESCHERM ACCOUNTGEGEVENS

  • 3. Bescherm opgeslagen kaarthoudergegevens.
  • 4. Bescherm kaarthoudergegevens met krachtige versleuteling tijdens transmissie via open, openbare netwerken.

HANDHAAF EEN BEHEERPROGRAMMA VOOR KWETSBAARHEDEN

  • 5. Bescherm alle systemen en netwerken tegen schadelijke software.
  • 6. Ontwikkel en onderhoud beveiligde systemen en software.

IMPLEMENTEER KRACHTIGE MAATREGELEN VOOR TOEGANGSBEHEER

  • 7. Beperk de toegang tot systeemonderdelen en kaarthoudergegevens tot mensen die deze gegevens nodig hebben om hun werk te doen.
  • 8. Identificeer gebruikers en autoriseer de toegang tot systeemonderdelen.
  • 9. Beperk de fysieke toegang tot kaarthoudergegevens.

CONTROLEER EN TEST NETWERKEN REGELMATIG

  • 10. Registreer en bewaak alle toegang tot systeemonderdelen en kaarthoudergegevens.
  • 11. Test de beveiliging van systemen en netwerken regelmatig.

HANDHAAF EEN INFORMATIEBEVEILIGINGSBELEID

  • 12. Ondersteun informatiebeveiliging met organisatiebeleid en -procedures.

De PCI Council heeft negen verschillende SAQ-formulieren (Self-Assessment Questionnaires) opgesteld om het nieuwe bedrijven die de PCI-compliance willen valideren 'makkelijker te maken'. Deze formulieren vormen een subset van de volledige PCI DSS-vereisten. Maar dan nog is het een hele kunst om erachter te komen welk formulier van toepassing is en of het nodig is een door de PCI Council goedgekeurde auditor in te schakelen die kan verifiëren dat aan elke PCI DSS-beveiligingsvereiste is voldaan. Daar komt nog bij dat de PCI Council de regels om de drie jaar herziet en in de loop van het jaar nieuwe updates uitgeeft, waardoor de dynamische complexiteit nog verder toeneemt.

Stapsgewijze gids voor PCI DSS-compliance

1. Ken je vereisten

De eerste stap bij PCI-compliance is weten welke vereisten van toepassing zijn op je organisatie. Er zijn vier verschillende PCI-complianceniveaus, doorgaans gebaseerd op het aantal creditcardtransacties dat je bedrijf in een periode van 12 maanden verwerkt.

Complianceniveau
Van toepassing op
Vereisten
Niveau 1
  • Organisaties die jaarlijks meer dan 6 miljoen transacties via Visa of Mastercard verwerken, of meer dan 2,5 miljoen transacties via American Express; of
  • Organisaties die een gegevenslek hebben gehad; of
  • Organisaties die als 'Niveau 1' worden aangemerkt door een creditcardmaatschappij (Visa, Mastercard, enz.)
  • Bewijs van compliance (AOC of jaarlijks compliancerapport (ROC van een gekwalificeerde beveiligingsbeoordelaar (QSA)
  • Elk kwartaal een netwerkscan door een goedgekeurde scanleverancier (ASV)
Niveau 2
  • Organisaties die jaarlijks 1 tot 6 miljoen transacties verwerken
  • Vragenlijst voor zelfbeoordeling (SAQ), bewijs van compliance (AOC) of compliancerapport (ROC)
  • Documentatie voor SAQ A, SAQ A-EP en SAQ D moet worden ondertekend door een PCI-gekwalificeerde beveiligingsbeoordelaar (QSA) of ee PCI-gecerticeerde interne beveiligingsbeoordelaar (ISA).1
  • Elk kwartaal een netwerkscan door een goedgekeurde scanleverancier (ASV)
Niveau 3
  • Organisaties die jaarlijks 20.000 tot 1 miljoen online transacties verwerken
  • Organisaties die jaarlijks in totaal minder dan 1 miljoen transacties verwerken
  • Gebruikers op niveau 3 en 4 worden automatisch ingeschreven voor ons risicobeheersingsprogramma dat op basis van verschillende factoren, zoals het type integratie, is aangepast aan de situatie van de gebruiker om dit proces zo eenvoudig mogelijk te maken. Mogelijk moet je hiervoor een of meer PCI DSS-vragenlijsten voor zelfevaluatie (SAQ's) invullen.
  • Gebruikers op niveau 3 moeten ook elk kwartaal een netwerkscan door een goedgekeurde scanleverancier (ASV) laten uitvoeren.
Niveau 4
  • Organisaties die jaarlijks minder dan 20.000 online transacties verwerken; of
  • Organisaties die jaarlijks in totaal maximaal 1 miljoen transacties verwerken
  • Gebruikers op niveau 4 moeten ook elk kwartaal een netwerkscan door een goedgekeurde scanleverancier (ASV) laten uitvoeren.
1 Verkopers op niveau 2 die SAQ A, SAQ A-EP of SAQ D invullen, zijn verplicht een QSA in te schakelen om de compliance te bevestigen

Er zijn verschillende SAQ-typen voor niveau 2-4, afhankelijk van de gebruikte methode voor betalingsintegratie. Hier volgt een kort overzicht:

Integratie
Vereiste
Aanbeveling
Checkout of Elements
SAQ A
Checkout en Stripe.js en Elements hosten alle invoervelden voor betaalkaartgegevens in een iframe dat wordt geladen vanaf een Stripe-domein (niet je eigen). Zo komen de betaalkaartgegevens van je klanten nooit op je servers terecht.
Connect
SAQ A Als je betaalkaartgegevens uitsluitend verzamelt via een Connect-platform (bijvoorbeeld Squarespace), kunnen wij bepalen of het platform de benodigde PCI-documentatie verstrekt.
Mobiele SDK
SAQ A

De ontwikkeling en het wijzigingsbeheer van de mobiele SDK van Stripe voldoen aan PCI DSS (vereisten 6.3–6.5) en de SDK wordt geïmplementeerd via onze PCI-gecertificeerde systemen. Wanneer je alleen interfacecomponenten van onze officiële SDK's voor iOS of Android gebruikt, of een betaalformulier bouwt met Elements in een WebView, worden betaalkaartnummers van je klanten rechtstreeks doorgegeven aan Stripe. Dit maakt compliance met de PCI-vereisten makkelijker.

Als je iets anders doet en bijvoorbeeld je eigen code schrijft om betaalkaartgegevens te verwerken, moet je mogelijk voldoen aan aanvullende PCI DSS-vereisten (6.3–6.5) en kom je niet in aanmerking voor een SAQ A. Vraag bij een PCI QSA na hoe je het beste je compliance kunt bevestigen volgens de huidige richtlijnen van de PCI Security Standards Council.

Als klanten in je applicatie hun gegevens op hun eigen apparaten moeten invoeren, kom je in aanmerking voor SAQ A. Als in je applicatie de betaalkaartgegevens van meerdere klanten op jouw apparaat worden verwerkt (bijvoorbeeld in een POS-app), neem je contact op met een PCI QSA. Die kan je vertellen hoe je het beste je PCI-compliance kunt bevestigen.

Stripe.js v2
SAQ A-EP

Als je Stripe.js v2 gebruikt om betaalkaartgegevens door te geven die zijn ingevuld in een formulier dat wordt gehost op je eigen website, moet je elk jaar de SAQ A-EP invullen om te bewijzen dat je onderneming aan de PCI-vereisten voldoet.

Met zowel Checkout als Elements kun je ook heel flexibel een zelf-gehost formulier op maat maken dat aan de PCI-vereisten voor de SAQ A voldoet.

Terminal
SAQ C

Als je betaalkaartgegevens uitsluitend verzamelt via Stripe Terminal, kun je de validatie uitvoeren met SAQ C.

Als je andere methoden uit deze tabel gebruikt om te integreren met Stripe, moet je apart aantonen dat je aan de vereisten voldoet die voor die methoden worden beschreven.
Dashboard
SAQ C-VT

Alleen in uitzonderlijke omstandigheden kunnen via het dashboard handmatige kaartbetalingen worden gedaan. Dit kan niet worden gebruikt voor routinematige betalingsverwerking. Bied je klanten een geschikt betaalformulier of mobiele app waarin ze hun betaalkaartgegevens kunnen invoeren.

We kunnen buiten de Stripe-omgeving niet verifiëren of handmatig ingevoerde betaalkaartgegevens veilig zijn. Je moet daarom betaalkaartgegevens beschermen in overeenstemming met de vereisten voor PCI-compliance en elk jaar de SAQ C-VT invullen om te bewijzen dat je onderneming hieraan voldoet.

Directe API
SAQ D

Wanneer je betaalkaartgegevens rechtstreeks doorgeeft aan de Stripe-API, verwerkt je integratie deze gegevens rechtstreeks. Je bent dan verplicht om elk jaar je PCI-compliance aan te tonen met de SAQ D, de meest uitdagende SAQ die er is. Je kunt het volgende doen om dit makkelijker te maken:

Bovendien is Radar, onze tool voor fraudepreventie waarmee je risicobeoordelingen en regels kunt gebruiken, alleen beschikbaar bij gebruik van een van onze methoden voor tokenisatie aan clientzijde.

2. Gegevensstromen in kaart brengen

Voordat je gevoelige creditcardgegevens kunt beschermen, moet je weten waar ze zijn opgeslagen en hoe ze daar terechtkomen. Je kunt het beste een gedetailleerd overzicht maken van de systemen, netwerkverbindingen en apps die interactie hebben met creditcardgegevens in je organisatie. Afhankelijk van je functie moet je hiervoor waarschijnlijk samenwerken met IT- en beveiligingsteams.

  • Breng eerst elk consumentgericht onderdeel van het bedrijf in kaart waar betaaltransacties plaatsvinden. Je accepteert bijvoorbeeld betalingen via een online winkelwagentje, betaalautomaten in winkels of bestellingen die via de telefoon worden geplaatst.
  • Bepaal vervolgens de verschillende manieren waarop kaarthoudergegevens in het bedrijf worden verwerkt. Het is belangrijk dat je exact weet waar de gegevens zijn opgeslagen en wie er toegang toe heeft.
  • Breng ten slotte de interne systemen of onderliggende technologieën in kaart die in contact komen met betaaltransacties. Hiertoe behoren onder andere je netwerksystemen, datacenters en cloudomgevingen.

3. Controleer beveiligingscontroles en -protocollen

Nadat je alle potentiële contactpunten voor creditcardgegevens in je hele organisatie in kaart hebt gebracht, raden we je aan er samen met IT- en beveiligingsteams op toe te zien dat de juiste beveiligingsconfiguraties en -protocollen worden gebruikt (zie de lijst met 12 beveiligingsvereisten voor PCI DSS hierboven). Deze protocollen, zoals het TLS-protocol (Transport Layer Security), zijn ontwikkeld om de overdracht van gegevens te beveiligen.

De 12 beveiligingsvereisten voor PCI DSS zijn afgeleid van aanbevolen werkwijzen voor de bescherming van gevoelige gegevens bij allerlei soorten bedrijven. Er is op verschillende punten sprake van overlap met de procedures van de AVG, de HIPAA en andere privacyvereisten en het kan dus zijn dat er in je organisatie al een aantal worden toegepast.

4. Bewaken en handhaven

Het is belangrijk om te weten dat de PCI-compliance geen eenmalige gebeurtenis is. Het is een doorgaand proces dat ervoor zorgt dat je bedrijf de regels ook blijft naleven wanneer gegevensstromen en contactpunten met klanten veranderen. Sommige creditcardmerken kunnen je verplichten driemaandelijkse of jaarlijkse rapporten in te dienen, of een jaarlijkse beoordeling op locatie uit te voeren om de voortdurende compliance te valideren, met name als je elk jaar meer dan 6 miljoen transacties verwerkt.

Voor het handhaven van de PCI-compliance gedurende het hele jaar (en dat elk jaar opnieuw) is vaak ondersteuning van en samenwerking met verschillende afdelingen nodig. Het kan nuttig zijn om intern een vast team samen te stellen dat toezicht houdt op de voortdurende compliance van de vereisten. Hoewel elk bedrijf uniek is, zouden de volgende onderdelen een goed uitgangspunt voor het 'PCI-team' kunnen zijn:

  • Beveiliging: De Chief Security Officer (CSO), Chief Information Security Officer (CISO) en bijbehorende teams zien erop toe dat de organisatie altijd voldoende investeert in de hulpmiddelen en beleidsregels die noodzakelijk zijn voor de beveiliging en privacy van gegevens.
  • Technologie/betalingen: De Chief Technology Officer (CTO), VP Payments en bijbehorende teams zien erop toe dat de belangrijkste tools, integraties en infrastructuur in overeenstemming met de regels blijven werken tijdens de verdere ontwikkeling van de systemen van de organisatie.
  • Financiën: De Chief Financial Officer (CFO) en het bijbehorende team zorgen dat alle procedures voor betaalgegevens die betrekking hebben op betaalsystemen en -partners correct worden geboekt.
  • Juridisch: Het juridische team wijst de weg in de wirwar van PCI DSS-compliancevereisten.

Voor meer informatie over de complexe wereld van PCI-compliance verwijzen we je naar de website van PCI Security Standards Council. Als je alleen deze gids en enkele andere PCI-documenten leest, raden we je aan hiermee te beginnen: prioriteitsaanpak voor PCI DSS, Instructies en richtlijnen voor SAQ, veelgestelde vragen over het gebruik van SAQ-geschiktheidscriteria voor evaluatievereisten ter plaatse en veelgestelde vragen over verplichtingen voor verkopers die apps ontwikkelen voor consumentenapparaten die betaalkaartgegevens accepteren.

Hoe Stripe organisaties helpt de PCI-vereisten na te leven en te handhaven

Stripe zorgt voor een aanzienlijke vereenvoudiging van de PCI-werkzaamheden van bedrijven die kiezen voor integratie met Checkout, Elements, mobiele SDK's en Terminal-SDK's. Stripe Checkout en Stripe Elements wordt een gehost betaalveld gebruikt voor de verwerking van alle betaalkaartgegevens, zodat de kaarthouder alle gevoelige betaalgegevens invoert in een betaalveld dat rechtstreeks afkomstig is van onze PCI DSS-gevalideerde servers. Met de mobiele en Terminal-SDK's van Stripe kan de kaarthouder gevoelige betaalgegevens ook rechtstreeks naar onze PCI DSS-gevalideerde servers verzenden.

Stripe fungeert als een soort PCI-medewerker voor al onze gebruikers, en kan op diverse manieren hulp bieden (ongeacht het integratietype).

  • We analyseren je integratiemethode en geven je advies over hoe je met minder tijd en moeite aan de vereisten kunt voldoen.
  • We sturen je op tijd een melding als je wegens een groeiend transactievolume de compliance op een andere manier moet valideren.
  • Als je met een PCI QSA moet werken (omdat je creditcardgegevens opslaat of omdat je een meer complexe betaalproces hebt), zijn er voor grote verkopers (niveau 1) meer dan 350 van dat soort QSA-bedrijven over de hele wereld. We kunnen je ook in contact brengen met auditors die uitstekende kennis hebben van de verschillende Stripe-integratiemethoden.

Klaar om aan de slag te gaan?

Maak een account en begin direct met het ontvangen van betalingen. Contracten of bankgegevens zijn niet vereist. Je kunt ook contact met ons opnemen om een pakket op maat voor je onderneming samen te stellen.
Payments

Payments

Ontvang over de hele wereld online en fysieke betalingen met een betaaloplossing die past bij elke onderneming.

Documentatie voor Payments

Vind een whitepaper over de integratie van de betaal-API's van Stripe.