Best practices voor PCI-DSS compliance

Naleving van de PCI DSS 4.0 regels kan in het begin ontmoedigend lijken. In dit artikel beschrijven we enkele van de meest relevante veranderingen die het nieuwe framework met zich meebrengt en delen we best practices om dit voor jou zo gemakkelijk mogelijk te maken.

 

Disclaimer

Dit document dient alleen als richtlijn en niet als definitief advies. We nodigen u uit om een PCI DSS Qualified Veiligheid Assessor (QSA) te raadplegen voor opheldering.

 

Online Betalingen

Als algemene aanbeveling kunt u PCI compliance handhaven door:

  • Gebruik een van Mollie's aanbevolen betalingsintegraties om betalingsinformatie veilig rechtstreeks naar Mollie te verzenden.
  • Ervoor zorgen dat je betaalpagina's beveiligd zijn met Transport Layer Veiligheid (TLS) en HTTPS gebruiken.

Er zijn nog veel meer vereisten die deel uitmaken van het PCI-DSS raamwerk.

Houd er rekening mee dat Mollie je geen definitief advies kan geven voor je eigen PCI compliance, omdat we niet over alle details van je opstelling beschikken. Aangezien er niet één advies is dat voor alle PCI-compliance geldt, zijn er mogelijk PCI-vereisten van toepassing als u kaartgegevens opslaat en verwerkt.  Afhankelijk van uw integratie en opstelling bent u verantwoordelijk voor de naleving van de toepasselijke PCI-DSS vereisten. 

 

In-persoon betalingen

Klanten van Mollie die POS-apparaten gebruiken, hebben ook bepaalde verantwoordelijkheden om de veiligheid van hun systemen te garanderen en zowel de hardware van de terminal als de gevoelige gegevens die via deze apparaten worden verwerkt, te beschermen.

 

Accepteer en installeer software-updates die naar de terminals worden gestuurd

 

Mollie verwacht dat Bedrijven software-updates en kwetsbaarheidspatches accepteren wanneer deze naar de terminals worden gepusht en deze updates niet onnodig uitstellen.

 

 

Netwerk Veiligheid

 

Je moet ervoor zorgen dat je netwerkinfrastructuur beveiligd is met firewalls en inbraakdetectiesystemen (indien van toepassing). Bovendien bent u verantwoordelijk voor de beveiliging van uw integratiesystemen met Mollie om ze te beschermen tegen manipulatie.

 

Fysieke veiligheidsmaatregelen

 

Je moet fysieke beveiligingsmaatregelen implementeren om POS-apparaten te beschermen tegen diefstal, knoeien of onbevoegde toegang. Dit kan het installeren van beveiligingscamera's, het gebruik van kluisjes en het beperken van de toegang tot gebieden waar POS-apparaten staan omvatten.

 

Training voor werknemers

 

Je moet regelmatig veiligheidstrainingen geven aan je werknemers die met POS-apparaten omgaan en ze gebruiken. De training moet onderwerpen behandelen zoals phishing, skimming en bewustzijn van substitutie, zoals uiteengezet in de richtlijnen waarnaar hieronder wordt verwezen.

 

Controleer de identiteit van personen van derden of Verzoeken om verbinding op afstand

 

Voordat u toegang verleent om uw apparaten aan te passen of problemen op te lossen, moet u eerst de identiteit verifiëren van externe personen (die beweren reparatie- of onderhoudspersoneel te zijn) die persoonlijk bij u op het bedrijf verschijnen of online op afstand verbinding met u of uw terminal proberen te maken.

 

Een actuele lijst met apparaten bijhouden

 

Wanneer je je POS-systeem van Mollie ontvangt, controleer dan je dashboard of factuur om te controleren of je het juiste apparaat hebt ontvangen voordat je het in gebruik neemt. Je kunt je apparaten bijhouden in je eigen inventaris, zoals een spreadsheet, of het dashboard van Mollie gebruiken.

 

Periodiek inspectie apparaat

 

Zoals vereist door PCI-DSS moet je periodiek je POS-apparaten inspecteren om er zeker van te zijn dat ze beveiligd zijn tegen knoeien en ongeautoriseerde vervanging.

 

We hebben een voorbeeldchecklist voor apparaatinspectie opgesteld om de periodieke apparaatinspectie voor u gemakkelijker te maken. Download dit document via de onderstaande link: