Direct naar inhoud

PCI SSC

Voor kaartbetalingen gelden veiligheidseisen die worden opgesteld en beheerd door de Payment Card Industry Security Standards Council (PCI SSC).

Wat doet PCI SSC?

PCI SSC ontwikkelt en onderhoudt internationale beveiligingsstandaarden ter bescherming van betaaalkaartgegevens. Dit gebeurt in samenwerking met internationale kaartmerken (zoals Visa, Mastercard, American Express en Union Pay) en fabrikanten van betaalchips.

  • De Betaalvereniging is als Affiliate Member aangesloten bij PCI SSC.
  • Elke standaard heeft een levenscyclus voor periodieke revisies, marktconsultaties en de publicatie van nieuwe versies.
  • PCI accrediteert inspecteurs en beveiligingsexperts die toetsen of producten, transactieverwerkers, acquirers en acceptanten voldoen aan de standaarden.
  • Het gebruik van standaarden wordt afgedwongen door de kaartmerken, niet door PCI SSC zelf.
  • PCI SSC organiseert jaarlijks community meetings voor het delen van kennis en ervaringen (in de VS, EU en Azië).

Belangrijkste PCI-standaarden

PCI DSS – Data Security Standard

Standaard voor beveiligen van betaalkaart- en transactiegegevens.

  • Relevante partijen: vooral acquirers, transactieverwerkers en acceptanten.
  • Bestaat uit 12 veiligheidsvereisten voor systemen, netwerken en processen.
  • Vorm van toetsing hangt af van het aantal e-commerce transacties (van jaarlijkse audit tot self-assessment).
  • Voor Nederlandse toonbankacceptanten zonder e-commerce geldt een vrijstelling.

PCI PTS – PIN Transaction Security

Standaard voor beveiliging van betaalautomaten (hardware en software).

  • Gericht op het beveiligen van pincode-invoer en verwerking op terminals.
  • Erkende onafhankelijke experts testen de terminals; PCI SSC geeft certificaten af.
  • Certificaten hebben een einddatum voor de verkoop van ieder type terminal; de kaartmerken bepalen wanneer terminals buiten gebruik moeten worden gesteld.

PCI PIN

Eisen voor het veilig doorgeven en verwerken van pincodes door de hele betaalketen.

  • Vooral relevant voor transactieverwerkers.
  • Hangen nauw samen met de PCI PTS standaarden.

PCI MPOC – Mobile Payments on COTS

Standaard voor kaartacceptatie op smartphones (COTS: commercial off-the-shelf).

  • Eisen voor apps die kaartgegevens of pincodes verwerken op een open mobiel apparaat.
  • Vereist doorlopende bewaking van de beveiliging van toestellen en real-time ondervangen van risico’s.

Relevantie

  • De standaarden zijn primair relevant voor transactieververwerkers, betaaldienstverleners en leveranciers van hard- en software.
  • Uitzondering: PCI DSS geldt ook voor acceptanten die e-commerce betalingen verwerken.
  • Een acquirer moet aan kaartmerken rapporteren of zijn acceptanten voldoen aan PCI DSS.
  • Onder voorwaarden (bijv. geen eerdere datalekken, gebruik van tokenized transacties) kan een acceptant vrijstelling van inspecties krijgen.

Perspectief PCI

Veilige kaartbetalingen zijn essentieel voor het vertrouwen in het betalingsverkeer. PCI SSC speelt hierin een centrale rol met duidelijke beveiligingsstandaarden voor alle schakels in de betaalketen. De Betaalvereniging volgt deze ontwikkelingen actief en vertegenwoordigt de Nederlandse markt in relevante gremia.