PCI-conformiteit
Naleving van betaalkaartindustrie (PCI) verwijst naar de technische en operationele normen die bedrijven moeten volgen om te waarborgen dat creditcardgegevens die door kaarthouders worden verstrekt, worden beschermd. PCI-naleving wordt afgedwongen door de PCI Standards Council en alle bedrijven die creditcardgegevens elektronisch opslaan, verwerken of verzenden, moeten de nalevingsrichtlijnen volgen.
UITBREIDING PCI-conformiteit
Conformiteitsnormen voor de betaalkaartindustrie (PCI) vereisen dat handelaars en andere bedrijven creditcardinformatie op een veilige manier verwerken, waardoor de kans kleiner wordt dat kaarthouders gevoelige financiële gegevens kunnen stelen. Als verkopers creditcardinformatie niet correct verwerken, kan de kaartinformatie worden gehackt en worden gebruikt om frauduleuze aankopen te doen. Bovendien kan gevoelige informatie over de kaarthouder worden gebruikt bij identiteitsfraude.
PCI-compatibel zijn betekent dat u zich consequent houdt aan een reeks richtlijnen die zijn opgesteld door bedrijven die creditcards uitgeven. De richtlijnen schetsen een reeks stappen die creditcardverwerkers continu moeten volgen. Bedrijven worden eerst gevraagd om hun informatietechnologie-infrastructuur, bedrijfsprocessen en creditcardverwerkingsprocedures te beoordelen om mogelijke bedreigingen te identificeren die creditcardgegevens in gevaar kunnen brengen. Bedrijven wordt vervolgens gevraagd om eventuele lacunes in de beveiliging aan te pakken en te voorkomen dat gevoelige kaarthouderinformatie, zoals sociale zekerheid en rijbewijsnummers, indien mogelijk worden opgeslagen. Bedrijven moeten nalevingsrapporten verstrekken aan de kaartmerken waarmee ze werken, zoals American Express en VISA.
Alle bedrijven die creditcardinformatie verwerken, moeten PCI-compliance handhaven, ongeacht hun grootte of het aantal creditcardtransacties dat ze verwerken. Alle bedrijven zijn onderverdeeld in handelaarsniveaus op basis van het aantal transacties dat gedurende een bepaalde periode wordt verwerkt. PCI-naleving wordt geregeld door de Payment Card Industry Security Standards Council, een organisatie die in 2006 is opgericht om de beveiliging van creditcards te beheren. De vereisten, bekend als de Payment Card Industry Data Security Standards (PCI DSS), worden beheerd door de grote creditcardbedrijven, waaronder VISA, American Express, Discover en MasterCard, onder anderen.
PCI-conformiteit en datalekken
Veel van de grootste datalekken in de geschiedenis zijn mogelijk vermeden als de getroffen verkopers of financiële instellingen PCI-compatibel waren. Hier zijn enkele belangrijke punten uit het Verizon 2017 Payment Security Report, een diepgaande studie van PCI DSS-compliance:
- Retailorganisaties toonden de laagste PCI-conformiteitsduurzaamheid in alle belangrijke industrieën.
- De IT-dienstenindustrie heeft de hoogste volledige conformiteit bereikt van alle onderzochte belangrijke industriegroepen.
- 77 procent van de bedrijven beoordeeld na een datalek was niet in overeenstemming met de nummer één PCI-vereiste: installeer en onderhoud een firewall-configuratie.
- De studie toont een "aantoonbare" correlatie tussen bedrijven die op de hoogte zijn van de PCI-normen en bedrijven die zich succesvol hebben verdedigd tegen cyberdreigingen.
- Het aantal bedrijven dat 100% PCI-compliant is, groeit aanzienlijk op jaarbasis.