1. V: Wat is PCI DSS-naleving?
Laten we beginnen met waar PCI DSS voor staat. PCI DSS staat voor Payment Card Industry Data Security Standard. Het is een wereldwijde standaard die is aangenomen door de grote kaartmaatschappijen en die technische en operationele vereisten definieert om kaarthoudergegevens te beschermen.
2. V: Waarom is het belangrijk?
Ondanks het feit dat het beschermen van gevoelige informatie, zoals creditcard- en creditcardhoudergegevens, van vitaal belang is voor elke partij die creditcardbetalingen accepteert, is het valideren van PCI DSS-naleving verplicht.
3. V: Hoe kunnen we PCI DSS-naleving valideren?
Het enige wat u hoeft te doen is controleren en ervoor zorgen dat u bepaalde waarborgen op zijn plaats heeft door de stappen te volgen zoals beschreven in
4. V: Wat zijn waarborgen?
Waarborgen zijn maatregelen en controles, zoals procedures en technische configuraties, die worden geïmplementeerd om informatie te beschermen. Een bekende waarborg is bijvoorbeeld wachtwoordbeveiliging.
5. V: Wie is verantwoordelijk voor het op zijn plaats hebben van de waarborgen?
Kort gezegd: Het is een gedeelde verantwoordelijkheid.
PCI DSS is een continue beveiligingsoefening. Daarom moeten alle partijen zich altijd houden aan de toepasselijke vereisten om compliant te blijven.
Aangezien we partners zijn en Convious en uw Payment Service Provider een groot deel van uw infrastructuur leveren, ligt het aantonen van de vereiste waarborgen (of vereisten) en het controleren daarvan bij deze serviceproviders terwijl u ook een verantwoordelijkheid draagt om uw deel te doen. Dat gezegd hebbende, hoewel de PCI DSS-validatie automatisch jaarlijks wordt vernieuwd, is het uw verantwoordelijkheid om ervoor te zorgen dat de waarborgen op hun plaats zijn. Zie V6 voor details over de waarborgen/vereisten
6. V: Waar kunnen we de waarborgen/vereisten bekijken die we moeten controleren?
Ga naar Instellingen > Account > Integraties
Door op Onboarding te klikken, ziet u de onboardingpagina van de PSP. Onderaan ziet u de PCI DSS-vragenlijst.
Als u op Download een kopie klikt, kunt u de meest recente versie van de PCI DSS-vragenlijst bekijken die automatisch voor u is ondertekend.
7. V: Wie en hoe kunnen we de PCI DSS-vragenlijst ondertekenen?
Goed nieuws: De PCI DSS-vragenlijst wordt automatisch ondertekend en jaarlijks vernieuwd.
Deze vragenlijst wordt ook wel SAQ-A genoemd. Dit is het document dat vereist is om uw naleving te valideren. De vragenlijst bevat alle vereisten en verantwoordelijkheden die van toepassing zijn op de betrokken partijen.
Nogmaals, het is belangrijk te benadrukken dat de antwoorden op deze vragen standaardantwoorden zijn die zijn gedefinieerd door PCI Security Standards Council en vereist zijn om compliant te zijn. Daarom kunnen ze niet worden aangepast.
Let op: Vanaf oktober 2024 is de nieuwste versie van de vragenlijst SAQ-A v4.0.1.
8. V: Hoe weten we dat Adyen de waarborgen op zijn plaats heeft?
“Adyen voldoet aan de hoogste standaard van beveiliging en stabiliteit. We zijn een PCI DSS Level 1 Service Provider, met PCI DSS-naleving die jaarlijks wordt beoordeeld door een onafhankelijke Qualified Security Assessor (QSA).” - Bron
Convious heeft een kopie van Adyen's nieuwste PCI DSS Attestation of Compliance (AoC).
9. V: Hoe weten we dat Convious de waarborgen op zijn plaats heeft die zijn opgenomen in mijn ondertekende vragenlijst?
Zoals eerder uiteengezet, zijn de gevalideerde vereisten vaak een gedeelde verantwoordelijkheid. Daarom vindt u hieronder de resultaten van onze beoordeling van de vragen die zijn gevalideerd met uw handtekening.
Een vriendelijke herinnering: Een gedeelde verantwoordelijkheid betekent dat uw antwoord op de gestelde vragen ook ja moet zijn.
Vraag | Antwoord van Convious |
Bevestigt u dat elke gebruiker in uw bedrijf unieke inloggegevens heeft voor de systemen in uw kaarthoudergegevensomgeving, en dat er geen gedeelde, groeps- of generieke accounts zijn? | Ja |
Bevestigt u dat elke gebruiker in uw bedrijf een sterk wachtwoord heeft van minimaal 7 tekens lang en een andere methode van veilige authenticatie, zoals een tokenapparaat, smartcard of biometrische controles? | Ja |
Wijzigt of beëindigt uw bedrijf de toegang van gebruikers onmiddellijk nadat ze van rol veranderen of het bedrijf verlaten? | Ja |
Zorgt uw bedrijf ervoor dat wachtwoorden onmiddellijk na het eerste gebruik en bij het resetten op een unieke waarde worden ingesteld, dat geen van de nieuwe wachtwoorden hetzelfde is als de vorige 4 wachtwoorden en dat ze minstens eens per 90 dagen worden gewijzigd? | Ja |
Bevestigt u dat uw bedrijf nooit fysiek of elektronisch kaarthoudergegevens opslaat in uw omgeving in welke hoedanigheid dan ook? | Ja |
Bevestigt u dat uw bedrijf nooit gevoelige authenticatiegegevens opslaat op een van uw systemen? | Ja |
Voert uw bedrijf due diligence uit om nieuwe serviceproviders te evalueren, zodat u de verwerking van kaarthoudergegevens alleen uitbesteedt aan serviceproviders die PCI DSS-compliant zijn? | Ja |
Onderhoudt uw bedrijf voor elke serviceprovider die u gebruikt een beschrijving van de geleverde diensten en een schriftelijke overeenkomst over de verantwoordelijkheden van elke partij met betrekking tot de beveiliging van kaarthoudergegevens? | Ja |
Verifieert uw bedrijf jaarlijks de nalevingsstatus van alle serviceproviders met wie u kaarthoudergegevens deelt? | Ja |
Onderhoudt uw bedrijf een incidentresponsplan voor het geval van een beveiligingsincident, inclusief; inperking en mitigatie voor verschillende soorten incidenten, bedrijfscontinuïteitsprocedures en dat u onmiddellijk contact opneemt met uw betalingspartner, andere betrokken serviceproviders en, indien van toepassing, de relevante autoriteiten? | Ja |
Identificeert en pakt uw bedrijf beveiligingskwetsbaarheden aan volgens een risicorangschikking door gebruik te maken van door de industrie erkende bronnen en past het dienovereenkomstig beveiligingspatches/updates toe? | Ja |
Bevestigt u dat uw bedrijf externe kwetsbaarheidsscans uitvoert door PCI SSC Approved Scanning Vendor (ASV) minstens eens per 3 maanden en na elke significante wijziging, zoals wanneer een kritieke kwetsbaarheid is opgelost? | Ja |
Verder, zoals uitgelegd in V8, kunt u binnen de ondertekende SAQ-A vereisten zien die zijn gevalideerd en die verder gaan dan uw verantwoordelijkheden. Daarom zag u ze niet binnen de vragen die u moest valideren, maar werden ze automatisch voor u ingevuld.
10. V: Hoe vaak moet de validatie worden vernieuwd?
PCI DSS-nalevingsvalidatie moet jaarlijks worden vernieuwd. Gelukkig heeft uw PSP het proces van (her-)valideren van uw PCI DSS-naleving geautomatiseerd.
11. V: Betalingen ter plaatse & PCI DSS-naleving
Voor betalingen ter plaatse moet een andere vragenlijst worden ingevuld: De SAQ B-IP. Wees ervan verzekerd dat als u PIN-terminals van Convious gebruikt, de SAQ B-IP is opgenomen in de geautomatiseerde verlengingsworkflow. Wat betreft documentatie voor continue PCI DSS-naleving, zijn er geen verdere acties van uw kant vereist. PCI DSS is echter een continue beveiligingsoefening. Daarom moeten partners zich altijd houden aan de toepasselijke vereisten om compliant te blijven.
*Houd er rekening mee dat de verstrekte informatie in geen enkele vorm juridisch advies is. De informatie is bedoeld om onze partners te helpen de basis van het onderwerp en de Convious-tools te begrijpen, zodat partners hun eigen niveau van naleving kunnen bepalen en uitvoeren. Hoewel we ons best doen om nuttige informatie te verstrekken als uitgangspunt, zijn bepaalde concepten mogelijk niet van toepassing in alle landen. Daarom kan niets regionaal juridisch advies vervangen. Convious aanvaardt geen aansprakelijkheid voor de juistheid en volledigheid van de informatie en de bevestigende acties die als reactie zijn ondernomen.
