het begrijpen van de complexe wereld van PCI compliance is een uitdagende taak, vooral als je een kleine ondernemer bent wiens expertise niet is gebaseerd op de technologie en beveiliging ruimte.
er is veel informatie en onjuiste informatie over de Payment Card Industry Data Security Standard (PCI DSS), wat verwarrend kan zijn voor mensen die nog geen ervaring hebben met de compliance-eisen. Je hebt misschien gehoord over PCI van uw payments gateway, of van uw bedrijfseigenaar vriend, of misschien heb je je onderzoek gedaan en weet dat er een vragenlijst die u moet invullen.
hoewel PCI compliance op het eerste gezicht lastig of overweldigend lijkt, kan het met goede begeleiding en tools (die je hebt via het MTI-programma) een eenvoudig proces zijn om compliant te zijn en je bedrijf te beschermen tegen de dreiging van cyberaanvallen.
voor een volledig overzicht van wat u moet doen om te voldoen aan de PCI DSS-vereisten voor uw bedrijf, zie onze business security solutions. Maar als je wat gemengde informatie hebt gehoord die je in twijfel laat over de vraag of je wel of niet PCI compliant moet zijn, zijn hier enkele van de belangrijkste misverstanden rond PCI DSS compliance en de informatie om je op het juiste spoor te zetten.
I ‘m a small business with only few card paying customers, I don’ t need to worry about PCI DSS compliance
ongeacht hoe groot of klein uw bedrijf is, PCI DSS compliance is van toepassing op elk bedrijf dat creditcardgegevens verwerkt, opslaat of verzendt. Tenzij u alleen kaartbetalingen verwerkt met behulp van een stand-alone Eftpos-terminal voor face-to-face transacties, hebt u de verantwoordelijkheid om te voldoen aan de PCI DSS-vereisten. Het duurt slechts één datalek voor u te worden beboet voor het niet beschermen van uw klant credit card gegevens.
Outsourcing card processing maakt my business compliant
de verplichting om PCI DSS compliance aan te tonen ligt bij u, de handelaar. U kunt PCI DSS compliant derden zoals eWAY gebruiken om aspecten van uw kaartverwerking te beheren, maar er zijn nog steeds veel contactpunten op het einde van uw bedrijf die vereisen dat u PCI DSS compliance best practices implementeren. Ervoor zorgen dat elk contactpunt voldoet aan de PCI DSS (Data Security Standard) betekent dat u uw deel doet in het voorkomen van cyberaanvallen en de enorme gevolgen (link naar de kosten van cybercrime artikel) een aanval kan hebben op uw bedrijf.
ik hoef niet alle PCI DSS vereisten te volgen
PCI DSS compliance is geen pick and choose deal. Om PCI DSS compliant te zijn moet je voldoen aan alle 12 van de PCI DSS vereisten. Alle criteria vormen de basis beveiligingsmaatregelen die elk bedrijf moet hebben om zowel hun klanten als zichzelf te beschermen tegen datalekken.
bent u persoonlijk aansprakelijk als uw bedrijf lijdt aan een datalek?
ik heb nog nooit een inbreuk gehad, dus ik hoef me geen zorgen te maken over PCI DSS
mogelijk heb je gehoord dat PCI DSS compliance alleen hoeft te worden gedaan als je een inbreuk in je beveiliging hebt ervaren. Dit is niet waar, hoewel uw acquirer u na een inbreuk kan dwingen om een beveiligingsprogramma te ondergaan en uw PCI-DSS compliance te laten controleren. Je moet PCI DSS compliant zijn, ongeacht of je een datalek hebt gehad. PCI DSS security requirements zal helpen voorkomen datalekken, en waarschijnlijk uw bedrijf te redden. Voorkomen is veel beter dan genezen.
PCI DSS compliance is alleen voor bedrijven die creditcardgegevens op hun computers opslaan
elk bedrijf dat creditcardgegevens verwerkt, waaronder het opnemen op papier of elektronisch, het verzenden naar een andere organisatie, of het opslaan, moet een PCI-DSS-klacht zijn. Er zijn veel contactpunten in uw bedrijf die in contact kunnen komen met creditcardgegevens en daarom PCI DSS compliant moeten zijn. U kunt betalingen verwerken via de telefoon, creditcardgegevens ontvangen via e-mails of fysieke records van betalingsgegevens opslaan in uw kantoor. Alle gebieden in uw bedrijf moeten voldoen aan de PCI DSS-vereisten, dus zorg ervoor dat u alle verschillende contactpunten hebt gelezen en begrepen.
alles wat ik hoef te doen is ja te antwoorden op de Zelfbeoordelingsvragenlijst
de zelfbeoordelingsvragenlijst omvat het beantwoorden van een heleboel gedetailleerde vragen over hoe u creditcardgegevens beheert en de veiligheid van uw bedrijf. Dit is om een nauwkeurig begrip van uw bedrijf processen rond credit card gegevens te krijgen. Echter, alleen het beantwoorden van ‘ja’ op elke vraag maakt u en uw bedrijf compliant. Het eerlijk beantwoorden van de vragen betekent dat u wordt gevraagd om de juiste veiligheidsmaatregelen te nemen voor uw bedrijf, zodat u echt PCI DSS compliant zal zijn. Het beantwoorden van alle vragen ‘ja’, zelfs als dit niet het ware antwoord betekent dat u zal verlaten van uw klanten en jezelf kwetsbaar voor een data hack.
onze ontwikkelaars zeiden dat onze website PCI DSS-compliant is
hoewel delen van uw website inderdaad PCI DSS-compliant zijn, is het uw verantwoordelijkheid om ervoor te zorgen dat elk onderdeel van uw bedrijf PCI DSS-compliant is. Er zijn vele andere touchpoints uw bedrijf kan hebben met credit card gegevens die u misschien niet op de hoogte van. Als er een datalek optreedt, bent u degene die verantwoordelijk wordt gehouden voor de inbreuk en de gevolgen zullen bij u terechtkomen.
als u alleen betalingen via uw website verwerkt, zijn er nog steeds twee vereisten waaraan u moet voldoen:
- zorg ervoor dat uw webpagina veilig wordt gehost en regelmatig wordt gepatcht en gescand op kwetsbaarheden
- uw MTI-abonnement bevat een kwetsbaarheidsscanner
- vul de Zelfbeoordelingsvragenlijst in (SAQ-A of SAQ-a-EP)
- gebruik de Trustkeeper assessment tool om uw betaling te selecteren en “I fully outsource my payment processing”
PCI DSS compliance is duur
het idee dat u een specialist moet inhuren om u te helpen met uw PCI DSS compliance is onjuist. Ondernemers die zijn ingeschreven in ons Merchant Trust Initiative (MTI) programma krijgen de tools en hulp die ze nodig hebben om al hun PCI DSS compliance verantwoordelijkheden te vervullen. Als u zich overweldigd voelt of hulp nodig hebt bij het voldoen aan uw PCI DSS compliance-eisen of bij het uitvoeren van de PCI DSS Self-Assessment Questionnaire, bel ons dan op 1300 763 256 of stuur een e-mail naar ons team dat u kan helpen met al uw PCI DSS compliance-behoeften.