Conform met PCI blijven

De veiligheidsnormcommissie van de Payment Card Industry stelt beveiligingsnormen in om creditcardgegevens te beschermen, genaamd Normen voor gegevensbescherming van de Payment Card Industry (afgekort PCI-DSS of PCI). Dat betekent dat er van instellingen die creditcardgegevens verzenden, verwerken of opslaan, wordt verwacht dat ze zich aan de PCI te houden.

Je kunt hosting gebruiken om je online aanwezigheid en productcatalogus in te stellen. Vervolgens kun je werken met een externe provider om betalingen namens jou te verwerken om creditcards van je server te houden (bijv. PayPal checkout, Square Online Checkout en Stripe Checkout). Zorg dat je je bewust bent van extra vereisten om je bedrijf conform PCI te houden.

Als je betalingen liever rechtstreeks op je site wilt accepteren, bieden we PCI-gecertificeerde producten zoals onze Beheerde WordPress Ecommerce-hosting, Webwinkel en Online afspraken. Naleving van PCI is een gezamenlijke inspanning. Als je daarom gebruikmaakt van een van onze PCI-gecertificeerde oplossingen, ontwerpen we onze processen en systemen om de creditcardgegevens van je klant te beschermen, en vragen we aan jou om je account te beschermen.

Webwinkel en Online afspraken

Betalingen via de Webwinkel en Online afspraken zijn geïntegreerd met derden die creditcardgegevens in hun beveiligde omgeving verwerken. Deze producten maken gebruik van een kleine hoeveelheid code op je website zodat je klanten creditcardgegevens rechtstreeks op de site kunnen invoeren. Zo kun je PCI-naleving bereiken door een paar acties te ondernemen om je account te beschermen:

  • Gebruikersbeheer
    • Wijs altijd een unieke ID toe aan gebruikers en maak gebruik van sterke wachtwoorden.
    • Gebruik geen groeps-, gedeelde of algemene ID's of wachtwoorden.
    • Verwijder gebruikers die niet langer toegang mogen hebben.
  • Papieren (niet-digitale) records
    • Als je creditcardgegevens op papier verzamelt, zorg dan dat je de controle houdt over de toegang tot deze gegevens en vernietig de gegevens wanneer ze niet langer nodig zijn.
  • Naleving serviceprovider
    • Als je services gebruikt om papieren records of je account te beheren, zorg dan dat de serviceprovider verantwoordelijkheid neemt voor de veilige behandeling van creditcardgegevens, en dat je er vertrouwen in hebt dat ze hun plichten vervullen.
  • Respons voor beveiligingspakket
    • Zorg dat je een lijst hebt met de personen die je moet bereiken, en hoe je communicatie met de klant aanpakt in het geval van een gegevensbreuk.
  • Vragenlijst A over PCI-zelfevaluatie verzenden (PCI SAQ-A) met je verwerker (Stripe, Square of PayPal).

Opmerking: Als je telefonisch betalingen accepteert, ben je mogelijk onderworpen aan extra vereisten om je telefoonsystemen en computers die door je callcenterpersoneel worden gebruikt, te beveiligen.

Beheerde WordPress met WooCommerce

Betalingen via Beheerde WordPress kunnen geïmplementeerd worden via de WooCommerce-plug-in. Deze integreert met derden om creditcards in hun beveiligde omgevingen te verwerken. Dit proces maakt gebruik van een kleine hoeveelheid code op je website zodat je klanten creditcardgegevens rechtstreeks op de site kunnen invoeren. Aangezien je de plug-ins beheert die in je account geïnstalleerd zijn, zijn er een paar extra stappen om PCI-naleving te bereiken:

  • Betalingsimplementatie
    • Installeer alleen de WooCommerce-plug-in voor betalingen. Mogelijk zijn er andere plug-ins voor betalingen, maar wij certificeren alleen de WooCommerce-plug-in.
    • Voeg geen functie of code toe die creditcardgegevens behandelt. We kunnen geen aangepast betalingsproces certificeren die aan een server wordt toegevoegd.
    • Zorg dat je plug-ins bijgewerkt zijn (proces wordt binnen 30 dagen bijgewerkt).
  • Gebruikersbeheer
    • Wijs altijd een unieke ID toe aan gebruikers en maak gebruik van sterke wachtwoorden.
    • Gebruik geen groeps-, gedeelde of algemene ID's of wachtwoorden.
    • Verwijder gebruikers die niet langer toegang mogen hebben.
  • Papieren (niet-digitale) records
    • Als je creditcardgegevens op papier verzamelt, zorg dan dat je de controle houdt over de toegang tot deze gegevens en vernietig de gegevens wanneer ze niet langer nodig zijn.
  • Naleving serviceprovider
    • Als je services gebruikt om papieren records of je account te beheren, zorg dan dat de serviceprovider verantwoordelijkheid neemt voor de veilige behandeling van creditcardgegevens, en dat je er vertrouwen in hebt dat ze hun plichten vervullen.
  • Respons voor beveiligingspakket
    • Zorg dat je een lijst hebt met de personen die je moet bereiken, en hoe je communicatie met de klant aanpakt in het geval van een gegevensbreuk.
  • Vragenlijst A over PCI-zelfevaluatie verzenden (PCI SAQ-A) met je verwerker (WooCommerce betalingen, Stripe, PayPal, Square, Klarna of PayFast).

Opmerking: Als je telefonisch betalingen accepteert, ben je mogelijk onderworpen aan extra vereisten om je telefoonsystemen en computers die door je callcenterpersoneel worden gebruikt, te beveiligen.

Mocht je nog meer vragen hebben, neem dan contact op met je bank of met een Qualified Security Assessor (QSA).

Meer informatie


Was dit artikel nuttig?
Hartelijk dank voor je feedback. Gebruik het supporttelefoonnummer of de bovenstaande chatoptie als je een vertegenwoordiger van de afdeling Klantenondersteuning wilt spreken.
Fijn dat we konden helpen! Kunnen we nog iets voor je doen?
Dat spijt ons. Vertel ons wat je verwarrend vond of waarom je probleem niet is opgelost via de geboden oplossing.