Zodra u kaartgegevens van uw klanten bewaart, moet u de nodige maatregelen nemen. Zo mag u sommige gegevens niet bewaren, maar moet u ze vernietigen na gebruik. Erg belangrijk om weten…
De PCI-norm
De PCI-DSS-norm legt vast welke gegevens u mag bijhouden en welke vernietigd moeten worden. De onderstaande tabel geeft u een overzicht.
| |
Gegevens |
Opslaan toegestaan |
Beveiliging nodig | PCI-DSS vereist 3.4 |
|---|---|---|---|---|
| Gegevens van de kaarthouders |
Kaartnummer (PAN) |
JA | JA |
JA |
| Naam kaarthouders* |
JA |
JA* |
NEEN |
|
| Servicecode* |
JA |
JA* |
NEEN | |
| Vervaldatum* | JA |
JA* |
NEEN |
|
| Gevoelige authenticatiegegevens** | Volledige Magneetstrook | NEEN |
NVT |
NVT |
| CVC2/CVV2/CID |
NEEN |
NVT |
NVT |
|
| PIN/PIN Blok |
NEEN |
NVT |
NVT |
*
Deze gegevens moeten beschermd worden als ze samen met het kaartnummer worden
bewaard. Deze beveiliging moet in overeenstemming zijn met de PCI-DSS-vereisten
en rekening houden met de wetgeving over de bescherming van de levenssfeer van
de kaarthouder (meer bepaald de bescherming van de persoonlijke gegevens van
consumenten, privacy, identiteitsroof of beveiliging van gegevens).
De PCI-DSS-vereisten zijn niet van toepassing wanneer kaartgegevens niet worden
opgeslagen, verwerkt of meegedeeld.
** Gevoelige authenticatiegegevens / persoonlijke identificatiegegevens mogen in geen enkel geval opgeslagen worden, zelfs niet als ze versleuteld zijn.
Een overzicht van de PCI-DSS-vereisten
1. Een beveiligd netwerk bouwen en onderhouden
- Installeer en onderhoud een ‘firewall'-structuur om gegevens te beschermen.
- Gebruik geen door de fabrikant meegegeven standaardwaarden voor paswoorden en andere beveiligingsparameters. Maak dus meteen een eigen paswoord aan.
2. De gegevens van de kaarthouder beveiligen
Verstuurt u gegevens van de kaarthouder en gevoelige informatie over publieke netwerken? Zorg er dan voor dat deze gegevens gecodeerd zijn.
3. De kwetsbaarheid van uw systeem kennen en onder controle houden met een Vulnerability Management Program
- Gebruik antivirussoftware en hou die up-to-date.
- Ontwikkel en onderhoud beveiligingssystemen en -toepassingen.
4. Maatregelen nemen voor een strenge toegangscontrole
- Beperk de toegang tot gegevens die voor u van belang zijn.
- Ken een unieke identiteit toe aan iedere persoon die toegang heeft tot uw systemen.
- Beperk de fysieke toegang tot de gegevens van de kaarthouder.
5. De netwerken regelmatig controleren en testen
- Controleer elke toegang tot netwerkonderdelen en tot gegevens van de kaarthouder.
- Test regelmatig de beveiligingssystemen en -processen.
6. Een expliciet veiligheidsbeleid voeren
Voer een actief beleid voor informatiebeveiliging.
Gids voor de handelaren
Beveiliging van de betaalkaartgegevens: download hier de Gids voor de handelaren.Contact
PCI Atos Worldline
