De gegevensbeveiligingsnormen van de betaalkaartindustrie (PCI DSS) werden door de PCI Security Standards Council (SSC) opgesteld om de gegevens van de kaarthouder te beschermen. Elke ondernemer die kaarttransacties accepteert, moet zich aan deze normen houden om zaken te kunnen doen met creditcardmaatschappijen, banken en betalingsverwerkers.

Als het systeem van een ondernemer wordt gekraakt of gehackt en gevoelige informatie wordt gestolen, kan de ondernemer aansprakelijk worden gesteld en kan deze worden onderworpen aan:

• Boetes van de kaartmaatschappijen.
• Forensisch onderzoek.
• Uitgevende banken die de kosten van heruitgifte verhalen (met inbegrip van mogelijke fraudeverliezen en uitgaven voor fraudecontrole).
• Procesvoering.
• Overheidsboetes.

Sommige bekende bedrijven zijn het slachtoffer geworden van veelbesproken inbreuken die ook schade aan hun reputatie en merk hebben toegebracht. Als je PCI-compliant bent, is het veel minder waarschijnlijk dat je getroffen wordt door een inbreuk en veel minder waarschijnlijk dat bij een dergelijke inbreuk gevoelige informatie wordt gestolen, omdat er dan niets te stelen valt.

Alle hardware en software die Lightspeed Payments je biedt is PCI-compliant, maar er zijn bepaalde stappen die je moet nemen om er zeker van te zijn dat je verantwoord omgaat met gevoelige kaartinformatie.

Omgaan met gevoelige kaartinformatie

Hoewel kaartinformatie moet worden vastgelegd om een transactie te autoriseren, mag gevoelige kaartinformatie niet worden opgeslagen nadat autorisatie heeft plaatsgevonden. Bepaalde informatie mag worden opgeslagen als daar een geldige zakelijke reden voor is, zoals de naam van de kaarthouder of de vervaldatum van de kaart. Kaartinformatie die als gevoelig wordt beschouwd, mag echter nooit worden opgeslagen. De enige uitzondering op deze regel is het primaire rekeningnummer (PAN) op de voorkant van de kaart, dat alleen mag worden opgeslagen als het onleesbaar is gemaakt. Daarom kun je in Lightspeed alleen de laatste 4 cijfers van een creditcardnummer zien; de rest is onleesbaar gemaakt.

De volgende informatie op een creditcard wordt beschouwd als gevoelige informatie:

Richtlijnen voor het werken met gevoelige informatie

Als je met gevoelige kaartinformatie moet werken, zijn er stappen die je kunt nemen om het risico tot een minimum te beperken:

• Verstuur nooit onbeveiligde kaartnummers (PAN's) via berichttechnologieën (zoals e-mail, instant messaging, chat, sms, enz.).
• Toegangscontroles invoeren, zoals fysieke sloten of wachtwoorden, om de toegang te beperken tot degenen die dat absoluut nodig hebben.
• Toewijzing van een unieke identificatie (ID) aan elke persoon met toegang. Dit zorgt ervoor dat acties op kritieke gegevens en systemen worden uitgevoerd door, en kunnen worden herleid tot, bekende en bevoegde gebruikers.
• Bescherm apparaten die betaalkaartgegevens vastleggen via directe fysieke interactie met de kaart tegen manipulatie en vervanging. Dit omvat periodieke inspecties van het oppervlak van POS-apparaten om manipulatie op te sporen en training van personeel om op verdachte activiteiten te letten.
• Een formeel beveiligingsbewustzijnsprogramma uitvoeren om al het personeel bewust te maken van het belang van de beveiliging van kaarthoudergegevens.
• Potentieel personeel screenen vóór aanwerving om het risico op aanvallen van interne bronnen te minimaliseren. Aanbevolen screening omvat het controleren van hun eerdere arbeidsverleden, strafblad, kredietverleden en referenties.

Lightspeed neemt PCI-naleving serieus

Lightspeed onderneemt rigoureuze stappen om naleving van PCI DSS te handhaven. Onze technische benadering van beveiliging is ontworpen om zowel jou als je klanten te beschermen.

• Wij leveren uitsluitend PCI-conforme hardware en software en onderhouden een PCI-conform platform.  
• Lightspeed is de vastgelegde ondernemer voor elke transactie. Wij handelen namens jou met de banken.
• Wij houden ons aan de toonaangevende PCI-normen om ons netwerk te beheren, onze web- en klanttoepassingen te beveiligen en beleidsregels voor onze hele organisatie vast te stellen.
• Het geïntegreerde betalingssysteem van Lightspeed biedt end-to-end-encryptie voor elke transactie op het verkooppunt en tokeniseert gegevens op het moment dat deze onze servers bereiken.

De wereld van PCI DSS is altijd in ontwikkeling en veranderingen in de vereisten kunnen van tijd tot tijd plaatsvinden. Lightspeed Payments blijft op de hoogte van alle veranderingen en houdt de sector in de gaten zodat jij dat niet hoeft te doen.

Voor meer informatie:

Het handhaven van PCI-naleving kan inhouden dat je regelmatig beoordelingen ondergaat en in de loop van een jaar documenten moet indienen, en dat je op de hoogte moet zijn en blijven van veranderingen in de sector. Lightspeed regelt dat allemaal voor jou, maar als je benieuwd bent naar wat dat inhoudt, vind je hieronder een kort overzicht. Als je genoegen neemt met de wetenschap dat wij het allemaal onder controle hebben, kun je het gedeelte Wat Lightspeed voor je doet gerust links laten liggen.