PCI DSS staat voor Payment Card Industry Data Security Standard. Dit is een internationale beveiligingsstandaard, opgesteld door de diverse betaalkaartmaatschappijen. De standaard probeert betaalkaartgegevens te beschermen en zo misbruik van kaartgegevens, en daarmee schade, te voorkomen. PCI DSS stelt eisen aan het verwerken, doorsturen en opslaan van kaartgegevens. Alle bedrijven die creditcards en internationale debetpassen accepteren, moeten voldoen aan het veiligheidsvoorschrift PCI DSS. Dit wordt jaarlijks getoetst en helpt fraude te voorkomen. 

  1. Installeer en onderhoud een firewall. 
  2. Gebruik nooit de door de leverancier ingestelde wachtwoorden en andere standaardwaarden. 
  3. Bescherm opgeslagen kaartgegevens. 
  4. Codeer de kaartgegevens bij overdracht via openbare netwerken. 
  5. Gebruik antivirussoftware en werk deze regelmatig bij. 
  6. Ontwikkel en onderhoud veilige systemen en toepassingen. 
  7. Beperk de toegang tot kaartgegevens op basis van ‘need to know’. 
  8. Wijs aan iedereen met toegang tot de computer een eigen gebruikersnaam (‘user id’) toe. 
  9. Beperk de fysieke toegang tot kaartgegevens. 
10. Houd alle toegang tot netwerkbronnen en kaartgegevens bij en bewaak dit. 
11. Test de beveiligingssystemen en processen regelmatig. 
12. Handhaaf een beleid dat op informatiebeveiliging is gericht.

Kaartgegevens omvatten het creditcardnummer al dan niet in combinatie met naam, adres, CVC2/CVV2 en/of vervaldatum.

Op de achterzijde van creditcards, in de buurt van de invulstrook voor de handtekening, staat een veiligheidscode van drie cijfers. Men noemt deze code het Card Verification Number, ook CVV2- of de CVC2-code genaamd. Wanneer een online betaling plaatsvindt, wordt naar deze drie cijfers gevraagd. Dit toont aan dat degene die de bestelling plaatst de kaart werkelijk in handen heeft.

Er wordt adviseert (en in veel gevallen verplicht gesteld) gasten om de CVC2/CVV2 te vragen bij transacties waarbij de creditkaart niet wordt getoond. CVC2/CVV2 mag alleen worden opgeslagen om de authorisatie uit te voeren en mag niet langer worden bewaard dan strikt noodzakelijk. Deze gegevens moeten altijd verwijderd worden.

Het gaat om zo’n cruciaal kaartgegeven, dat de betaalkaartmaatschappijen aan de onjuiste opslag ervan aparte boetes hebben gekoppeld, vanaf € 25.000,-.

Allereerst hangt dit af van het soort gegevens dat uw onderneming opslaat en op welke manier. Wanneer u geen kaartgegevens opslaat in elektronische vorm, bent u het eenvoudigst af: u kunt volstaan met de vragenlijst SAQ-A. Als uw onderneming die vragenlijst op tijd invult en aan de regels voldoet, ontvangt u een Attestation of Compliance. Dit moet jaarlijks herhaald worden. U bevestigt met de Verklaring van Naleving dat alles naar waarheid is ingevuld.

Slaat uw onderneming wel gegevens op in elektronische vorm? Dan moet u de vragenlijst SAQ-D invullen, met de bijbehorende Attestation of Compliance (Verklaring van Naleving). Ook moet u dan elk kwartaal een geslaagde netwerkscan overleggen. De andere vragenlijsten SAQ-B en SAQ-C zijn van toepassing op Point Of Sale-merchants (ondernemingen waar de verkoop plaatsvindt aan een balie of kassa).