De gegevensbeveiligingsnormen van de betaalkaartenbranche (PCI DSS, Payment Card Industry Data Security Standards) werden vastgesteld door de raad voor beveiligingsnormen (SSC, Security Standards Council) van de PCI om gegevens van kaarthouders te beschermen. Elke winkelier die kaarttransacties accepteert moet voldoen aan deze normen om zaken te kunnen doen met de kredietkaartmaatschappijen, banken en betalingsverwerkers.

In het geval dat er inbreuk wordt gemaakt op het systeem van een winkelier of dat het wordt gehackt en gevoelige informatie wordt gestolen, kan de betreffende winkelier aansprakelijk worden gesteld en onderworpen worden aan:

• Boetes van de kaartmaatschappijen.
• Forensisch onderzoek.
• Uitgevende banken die kosten voor heruitgifte inhouden (waaronder mogelijke verliezen als gevolg van fraude en kosten voor fraudebewaking).
• Procesvoering.
• Boetes van de overheid.

Een aantal bekende bedrijven heeft geleden onder veelvuldig gepubliceerde inbreuken, welke ook tot reputatie- en merkschade hebben geleid. Als u de PCI naleeft, heeft u minder kans dat u te maken krijgt met een inbreuk en nog minder kans dat bij een dergelijke inbreuk gevoelige informatie wordt gestolen, omdat die informatie niet aanwezig is.

Alle hardware en software die Lightspeed Payments aan u verstrekt, is conform PCI, hoewel u bepaalde stappen moet zetten om ervoor te zorgen dat u verantwoord omgaat met gevoelige kaartinformatie.

Omgaan met gevoelige kaartinformatie

Hoewel kaartinformatie moet worden vastgelegd om een transactie te autoriseren, mag gevoelige kaartinformatie niet worden bewaard nadat een dergelijke autorisatie heeft plaatsgevonden. Bepaalde informatie mag worden bewaard als daar een geldige bedrijfsreden voor is, zoals de naam van de kaarthouder of de vervaldatum van de kaart. Kaartinformatie die als gevoelig wordt beschouwd, kan echter nooit worden bewaard. De enige uitzondering op deze regel is het primaire rekeningnummer (PAN) op de voorkant van de kaart. Dit mag uitsluitend worden bewaard als het onleesbaar is gemaakt. Om deze reden kunt u uitsluitend de 4 laatste cijfers van een kredietkaartnummer bekijken in Lightspeed. De rest van de cijfers is onleesbaar gemaakt.

De volgende informatie op een kredietkaart wordt als gevoelige informatie beschouwd:

Richtlijnen voor het werken met gevoelige informatie

Als u met gevoelige kaartinformatie moet werken, zijn er stappen die u kunt nemen om het risico te minimaliseren:

• Verstuur nooit onbeschermde kaartnummers (PAN's) via berichtentechnologieën (bijvoorbeeld e-mail, instant messaging, chat, sms enz.)
• Implementeer maatregelen omtrent toegangsbeheer, zoals fysieke sloten of wachtwoorden om toegang te beperken tot personen die deze absoluut nodig hebben.
• Wijs een unieke identificatie (ID) toe aan iedere persoon met toegang. Dit zorgt ervoor dat acties met kritieke gegevens en systemen worden ondernomen door, en kunnen worden teruggeleid naar, bekende en bevoegde gebruikers.
• Bescherm apparaten die betaalkaartgegevens vastleggen via directe fysieke interactie met de kaart tegen vervalsing en vervanging. Hieronder vallen periodieke inspecties van POS-apparaatoppervlakken om vervalsing te detecteren en training van personeel, zodat medewerkers verdachte activiteiten kunnen herkennen.
• Implementeer een formeel veiligheidsbewustwordingsprogramma om al het personeel bewust te maken van het belang van de beveiliging van gegevens van kaarthouders.
• Screen potentiële personeelsleden voordat u ze aanneemt om het risico op aanvallen door interne bronnen te minimaliseren. Aanbevolen screening omvat het controleren van hun arbeidsverleden, of ze al dan niet een strafblad hebben, hun kredietgeschiedenis en referenties.

Lightspeed neemt PCI-compliance serieus

Lightspeed neemt rigoureuze stappen om te blijven voldoen aan PCI DSS. Onze technische benadering van beveiliging is ontwikkeld om zowel u als uw klanten te beschermen.

• We leveren uitsluitend hardware en software aan die PCI-conform zijn en onderhouden een PCI-conform platform.  
• Lightspeed is de officiële winkelier voor elke transactie. Wij handelen namens u alles af met de banken.
• We voldoen aan toonaangevende PCI-normen om ons netwerk te beheren, onze web- en cliëntapplicaties te beveiligen en beleid op te stellen voor onze organisatie.
• Het geïntegreerde betalingssysteem van Lightspeed biedt end-to-end-versleuteling voor elke transactie op het verkooppunt en zet gegevens om in tokens op het moment dat deze onze servers bereiken.

De wereld van PCI DSS is voortdurend in ontwikkeling en dus kunnen wijzigingen in de vereisten van tijd tot tijd noodzakelijk zijn. Lightspeed Payments blijft goed op de hoogte van wijzigingen en houdt de sector in de gaten, zodat u dat niet hoeft te doen.

Voor meer informatie:

Het behouden van PCI-compliance kan periodieke beoordelingen en het invullen van documenten gedurende het jaar omvatten, evenals zich bewust worden van en bijblijven met wijzigingen in de branche. Lightspeed neemt dit alles op zich, maar als u graag meer wilt weten over wat dit inhoudt, kunt u het korte overzicht hieronder raadplegen. Als u genoegen neemt met het feit dat wij dit voor u regelen, kunt u het gedeelte Wat Lightspeed voor u doet gerust negeren.