Wanneer een organisatie online betalingen accepteert, is het belangrijk om betaalgegevens goed te beschermen. Betaalkaartinformatie is een aantrekkelijk doelwit voor cybercriminelen. Daarom stelt de betaalindustrie specifieke beveiligingseisen.
Grote betaalmerken zoals Visa en Mastercard ontwikkelden daarom de Payment Card Industry Data Security Standard (PCI DSS). Dit is de internationale standaard voor organisaties die betaalkaartgegevens verwerken, opslaan of verzenden. Inmiddels passen bedrijven deze richtlijn wereldwijd toe.
De eisen gelden voor iedere organisatie die kaartbetalingen accepteert. Dit varieert van kleine webshops tot grote internationale ondernemingen. Ook wanneer betalingen via een externe betaalprovider verlopen, kunnen bepaalde verplichtingen van toepassing blijven.
1. Online Self Assessment Questionaire SAQ
De Self-Assessment Questionnaire is een vragenlijst waarmee organisaties aantonen dat zij voldoen aan de beveiligingseisen die voor hun situatie gelden. Er bestaan verschillende varianten van deze vragenlijst, afhankelijk van de manier waarop betalingen worden verwerkt.
Het correct invullen van de SAQ helpt organisaties inzicht te krijgen in hun verantwoordelijkheden en eventuele aandachtspunten op het gebied van beveiliging
2. Kwetsbaarheidsscans en rapportages
Naast de vragenlijst moeten veel organisaties periodiek kwetsbaarheidsscans uitvoeren. Hierbij wordt gecontroleerd of websites, systemen en netwerken bekende beveiligingsproblemen bevatten.
Na afloop van de scan wordt een rapport opgesteld waarin eventuele kwetsbaarheden worden beschreven. Deze rapportage kan worden gebruikt als bewijs richting banken, betaalproviders of auditors.
Het doel van deze beveiligingsstandaard is het verminderen van risico’s rondom betaalgegevens. Door regelmatig te controleren op kwetsbaarheden en beveiligingsmaatregelen aantoonbaar vast te leggen, wordt de kans op datalekken en fraude verkleind.
Trust Guard ondersteunt organisaties bij beide onderdelen van het complianceproces. Via een online SAQ-omgeving kunnen vragenlijsten eenvoudig worden ingevuld en beheerd. Daarnaast voert Trust Guard automatische kwetsbaarheidsscans uit en levert overzichtelijke rapportages die kunnen worden gebruikt voor compliance-doeleinden.
