Wat is PCI-DSS?
De Payment Card Industry Data Security Standard (PCI DSS) is een norm die technische en managementvereisten omvat die bedoeld zijn om de veiligheid van creditcard- en debetkaarttransacties te waarborgen en kaarthouders te beschermen tegen misbruik van hun persoonlijke gegevens. PCI DSS werd in 2004 geïntroduceerd door vijf grote creditcardmaatschappijen.
Wat is PCI-DSS?
De Payment Card Industry Data Security Standard (PCI DSS) is een norm die technische en managementvereisten omvat die bedoeld zijn om de veiligheid van creditcard- en debetkaarttransacties te waarborgen en kaarthouders te beschermen tegen misbruik van hun persoonlijke gegevens. PCI DSS werd in 2004 geïntroduceerd door vijf grote creditcardmaatschappijen.
PCI DSS Controls
Onze methodiek
01
PROJECT START VERGADERING
Met een project kick-off meeting die wordt bijgewoond door het senior management en relevante unitmanagers, worden het doel, het proces, de benodigde middelen en de risico’s van het project geëvalueerd. In overleg met de betrokken eenheden wordt ervoor gezorgd dat de scope die de basis zal vormen voor PCI DSS-compliance en auditing correct wordt bepaald.
02
BEPALEN VAN DE TOEPASSINGSGEBIED VAN PCI DSS
Bij het bepalen van de reikwijdte, de bedrijfsprocessen, locaties, datacenters, systemen, medewerkers, serviceproviders, alle processen en componenten met betrekking tot de verzending, werking, opslag, vernietiging van de creditcard/betaalkaart en alle andere aspecten die van invloed zijn op de veiligheid van de kaartgegevens worden in aanmerking genomen.
01
PROJECT START VERGADERING
Met een project kick-off meeting die wordt bijgewoond door het senior management en relevante unitmanagers, worden het doel, het proces, de benodigde middelen en de risico’s van het project. In overleg met de betrokken eenheden wordt ervoor gezorgd dat de scope die de basis zal vormen voor PCI DSS-compliance en auditing correct wordt bepaald.
02
BEPALEN VAN DE TOEPASSINGSGEBIED VAN PCI DSS
Bij het bepalen van de reikwijdte, de bedrijfsprocessen, locaties, datacenters, systemen, medewerkers, serviceproviders, alle processen en componenten met betrekking tot de verzending, werking, opslag, vernietiging van de creditcard/betaalkaart en alle andere aspecten die van invloed zijn op de veiligheid van de kaartgegevens worden in aanmerking genomen.
03
PCI DSS VERSCHIL (GAP) ANALYSE
Er wordt een verschilanalyseservice uitgevoerd om te bepalen of de bestaande structuur voldoet aan de huidige PCI DSS-standaard.
Met het analyseonderzoek worden de elementen die niet voldoen aan de norm en de redenen voor niet-naleving vastgesteld. Als resultaat van de analyseservice wordt een Verschilanalyserapport opgesteld. Het wordt uitgevoerd door QSA-experts (Qualified Security Assessor) die zijn geautoriseerd door PCI SSC.
04
PCI DSS VERBETERINGSCONSULTING SERVICE
Consultancy diensten worden geleverd voor Credit/Debit card applicaties en betalingsinfrastructuur in overeenstemming met PCI DSS. Secureway samenwerken met de organisatie; er wordt een geprioriteerd aanpakdocument opgesteld, werkstappen, verantwoordelijken en deadlines vastgesteld voor het verhelpen van onverenigbaarheden.
Vereiste documenten worden voorbereid voor naleving.
03
PCI DSS VERSCHIL (GAP) ANALYSE
Er wordt een verschilanalyseservice uitgevoerd om te bepalen of de bestaande structuur voldoet aan de huidige PCI DSS-standaard.
Met het analyseonderzoek worden de elementen die niet voldoen aan de norm en de redenen voor niet-naleving vastgesteld. Als resultaat van de analyseservice wordt een Verschilanalyserapport opgesteld. Het wordt uitgevoerd door QSA-experts (Qualified Security Assessor) die zijn geautoriseerd door PCI SSC.
04
PCI DSS VERBETERINGSCONSULTING SERVICE
Consultancy diensten worden geleverd voor Credit/Debit card applicaties en betalingsinfrastructuur in overeenstemming met PCI DSS. Secureway samenwerken met de organisatie; er wordt een geprioriteerd aanpakdocument opgesteld, werkstappen, verantwoordelijken en deadlines vastgesteld voor het verhelpen van onverenigbaarheden.
Vereiste documenten worden voorbereid voor naleving.
05
PCI DSS SITE-AUDIT
(ON-SITE AUDIT) SERVICE
Nadat alle in het Verschilanalyserapport geïdentificeerde tekortkomingen zijn verholpen, wordt een On-Site Audit uitgevoerd met door PCI SSC geautoriseerde QSA-experts (Qualified Security Assessor).
ROC als resultaat van auditservice
(Rapport over naleving) wordt opgesteld.
06
CERTIFICAAT VAN OVEREENSTEMMING (AOC)
VOORBEREIDEN EN DELEN
Nadat het ROC-document is opgesteld en gedeeld door Secureway, wordt het document beoordeeld door de organisatie. Na bevestiging van de organisatie wordt het PCI DSS Compliance Certificate – Attestation of Compliance (AOC) document opgesteld. Het auditproces eindigt met de handtekeningen van de auditor (QSA) en de functionarissen van de Autoriteit.
Als de klant auditdocumenten moet delen met betaalmerken of banken, zorgt Secureway hiervoor voor de nodige communicatie en informatiedeling.
05
PCI DSS SITE-AUDIT
(ON-SITE AUDIT) SERVICE
Nadat alle in het Verschilanalyserapport geïdentificeerde tekortkomingen zijn verholpen, wordt een On-Site Audit uitgevoerd met door PCI SSC geautoriseerde QSA-experts (Qualified Security Assessor).
ROC als resultaat van auditservice
(Rapport over naleving) wordt opgesteld.
06
CERTIFICAAT VAN OVEREENSTEMMING (AOC)
VOORBEREIDEN EN DELEN
Nadat het ROC-document is opgesteld en gedeeld door Secureway, wordt het document beoordeeld door de organisatie. Na bevestiging van de organisatie wordt het PCI DSS Compliance Certificate – Attestation of Compliance (AOC) document opgesteld. Het auditproces eindigt met de handtekeningen van de auditor (QSA) en de functionarissen van de Autoriteit.
Als de klant auditdocumenten moet delen met betaalmerken of banken, zorgt Secureway hiervoor voor de nodige communicatie en informatiedeling.
PCI SSC en standaarden
Het is een standaard die is ontwikkeld door de PCI-raad om de veiligheid van betaalkaarten te waarborgen. De raad is opgericht door VISA, Mastercard, American Express, Discovery en JCB en stelt veiligheidsnormen voor betaalkaarten vast en is toonaangevend in de sector van betaalkaarten in hun aankondigingen, trainingen en audits.
Normen gepubliceerd door de PCI-raad
PCI SSC en standaarden
Het is een standaard die is ontwikkeld door de PCI-raad om de veiligheid van betaalkaarten te waarborgen. De raad is opgericht door VISA, Mastercard, American Express, Discovery en JCB en stelt veiligheidsnormen voor betaalkaarten vast en is toonaangevend in de sector van betaalkaarten in hun aankondigingen, trainingen en audits.
Normen gepubliceerd door de PCI-raad
PCI DSS-handelaarsniveaus
PCI DSS-handelaar
Niveaus
| CATEGORIE | CRITERIA | VEREISTEN |
|---|---|---|
| Niveau 1 | • Bedrijven die zijn blootgesteld aan een hack of aanval en waarvan de klantinformatie is gecompromitteerd (Account Data Compromise - ADC) - Bedrijven met in totaal meer dan 6 miljoen Mastercard- en Maestro-transacties per jaar • Bedrijven die voldoen aan de niveau-1-criteria van VISA • Bedrijven die MasterCard vrijwillig als niveau-1 beschouwt om het risico te verminderen | • Jaarlijkse audit ter plaatse |
| Niveau 2 | • Bedrijven met in totaal meer dan 1 miljoen Mastercard- en Maestro-transacties van minder dan of gelijk aan 6 miljoen per jaar • Bedrijven die voldoen aan de Niveau 2-criteria van VISA | • Jaarlijkse audit ter plaatse of zelfevaluatie |
| Niveau 3 | • Bedrijven met in totaal meer dan 20.000 Mastercard- en Maestro-e-commercetransacties per jaar, maar minder dan of gelijk aan 1 miljoen totale jaarlijkse Mastercard- en Maestro-transacties • Bedrijven die voldoen aan de Niveau 3-criteria van VISA | • Jaarlijkse zelfevaluatie • On-site audit volgens de voorkeur van de werkplek (On-site Audit) |
| Niveau 4 | • Alle andere bedrijven | • Jaarlijkse zelfevaluatie • Jaarlijkse zelfevaluatie |
Niveaus van PCI DSS-serviceproviders
PCI DSS-serviceprovider
Niveaus
| CATEGORIE | CRITERIA | VEREISTEN |
|---|---|---|
| Niveau 1 | • Alle externe verwerkers - Alle externe verwerkers (TPP's) • Alle externe verwerkers - Alle externe verwerkers (TPP's) • Alle aanbieders van digitale activiteiten – Alle aanbieders van digitale activiteiten (DASP's) • Alle Token Service Providers – Alle Token Service Providers (TSP's) • Alle 3D Secure Service Providers – Alle 3D Secure Service Providers (3-DSSP's) • Alle AML/Sancties Service Providers – Alle AML/Sancties Service Providers • Alle Data Storage Entities (DSE's) en Payment Facilitators (PF's) met in totaal meer dan 300.000 gecombineerde Mastercard- en Maestro-transacties per jaar | • Jaarlijkse audit op locatie. Moet worden uitgevoerd door een door PCI SSC goedgekeurde QSA. |
| Niveau 2 | • Alle gegevensopslagbedrijven en betalingsdienstaanbieders met 300.000 of minder totale Mastercard- en Maestro-transacties per jaar Alle DSE's1 en PF's met 300.000 of minder totale gecombineerde Mastercard- en Maestro-transacties per jaar • Alle Terminal Providers – Alle Terminal Services (TSs) | • Jaarlijkse zelfevaluatie (Zelfbeoordeling) |
Neem contact met ons op
Laat ons weten
hoe we kunnen helpen
De bedrijfsfilosofie van Secureway is om innovatieve oplossingen van de hoogste kwaliteit, totale klanttevredenheid, tijdige levering van oplossingen en de beste prijsprestaties in de branche te bieden.
Onze missie is om u te helpen uw beveiligingsprestaties te verbeteren, risico’s te verminderen, u productiever, minder gestrest en een beetje zelfverzekerder te maken.
Contact Formulier
Neem contact met ons op
Laat ons weten
hoe we kunnen helpen
De bedrijfsfilosofie van Secureway is om innovatieve oplossingen van de hoogste kwaliteit, totale klanttevredenheid, tijdige levering van oplossingen en de beste prijsprestaties in de branche te bieden.
Onze missie is om u te helpen uw beveiligingsprestaties te verbeteren, risico’s te verminderen, u productiever, minder gestrest en een beetje zelfverzekerder te maken.
