PCI/CISP: Wat is het en wat moet je ermee?

PCI, DSS en CISP zijn afkortingen die je beter moet leren kennen als je creditcard betalingen accepteert.

Ontworpen door AMEX, MasterCard en VISA, deze afkortingen staan voor een set regels en wetten waaraan webwinkeleigenaren zich moet houden als ze iets doen met creditcards. Als ze dit niet doen, riskeren ze hoge boetes.

Alleen al het lezen van de regels kan je doen omvallen van schrik. Het goede nieuws is dat ShopFactory het makkelijk maakt om je aan de regels te houden.

PCI, CISP veiligheidsstandaard

Om creditcards te accepteren moet je je aan de PCI / CISP-regels houden als jij of je software creditcard nummers opslaat, verwerkt of overzet. Dit is van toepassing op jou als je ze over de toonbank, over de telefoon of via internet accepteert.

Deze veiligheidsstandaard is vastgesteld door de creditcard providers om de diefstal van creditcard nummers te doen afnemen, zowel online als offline.

(PCI: https://www.pcisecuritystandards.org/ en CISP: http://usa.visa.com/merchants/risk_management/cisp_merchants.html)

Deze regels kunnen als vrij intimiderend beschouwd worden en beschrijven hoe je creditcard gegevens moet beveiligen tegen mogelijke diefstal. Dit geldt voor de software die je gebruikt, je servers and je kantooromgeving.

Dus wat moet je doen?

ShopFactory

De makkelijkste manier om je eraan te houden is om voor ShopFactory te kiezen, want in deze software worden creditcard nummers niet verwerkt, overgezet of opgeslagen.

Veel eCommerce oplossingen doen maar één van deze drie dingen niet, en sommige doen ze zelfs allemaal. Veel open source webwinkelsoftware is hieraan schuldig.

Als je hiermee om moet gaan, dan zou je je webwinkel moeten hosten via een server die binnen de regelementen van PCI / CISP valt en je houden aan alle veiligheids richtlijnen. Een enorme taak voor een onderneming.

Handmatige creditcard transacties

Als je creditcards zelf wil accepteren en goedkeuren, maak dan gebruik van een provider die de creditcard gegevens opslaat in een PCI-veilige omgeving, zoals Santu.

Op deze manier hoef je niet zelf de creditcards te verwerken of over te zetten, waardoor je je ook niet zelf aan de regelgeving hoeft te houden.

Real-time betalingen

De veiligste optie is echter om gebruik te maken van een real-time betalingsprovider, die creditcard betalingen namens jou accepteren en goedkeuren op hun eigen server. Opnieuw hoef je geen creditcard gegevens te verwerken, over te zetten of op te slaan, waardoor je je geen zorgen hoeft te maken over de regels.

Als je veel bestellingen binnenkrijgt kan een real-time betalingsprovider je ook helpen met het stroomlijnen van je handel. De meeste van deze diensten maken ook gebruik van uitgebreide creditcard fraude detectiemethoden, die je beschermen tegen fraude, en het is hun taak om zich aan PCI te houden.

Maar pas op: als je verbinding maakt met de real-time betalingsgateway in de achtergrond, en de klant zijn gegevens op je website invoert, dan moet je je alsnog houden aan de PCI regels.

Onthoud ook dat je voorzichtig moet zijn met welke eCommerce software je koopt. Hoewel ShopFactory veilig is, zijn er veel andere eCommerce oplossingen die creditcard gegevens via je server doorsturen naar de betalingsprovider. Hierdoor moet je je houden aan de PCI en CISP regels, zowel op je server als in je kantoor. Niet erg handig.

Misvattingen

Er zijn veel misvattingen over de PCI regels. De grootste is dat je je er alleen aan hoeft te houden als je creditcard nummers opslaat.

Dit is dus onjuist. Als eCommerce software creditcard gegevens doorstuurt naar de betalingsprovider vanaf de klant, dan geld dit als overzetten. Als je software dit doet, dan moeten zowel je server als je hosting provider zich houden aan PCI.

Een andere misvatting is dat servers die door tests door goedgekeurde beveiligingsdiensten heen komen automatisch PCI-goedgekeurd zijn.

Dit is ook fout. De veiligheidstest maar een deel van de PCI regelingen. Als je hosting provider zich er niet aan houd, dan kan jij je er ook niet aan houden, ongeacht of je servers als veilig worden gezien. Je moet je ook houden aan de eisen van de zelfbeoordelings vragenlijst van PCI / CISP. De meeste van deze eisen worden niet vervuld door een test alleen.

Samenvatting

Als je ShopFactory gebruikt in combinatie met een real-time betalingsprovider die de creditcard gegevens voor je accepteert op hun server of order management gateway. Hierdoor doe jij zelf niks met deze gegevens, wat je houden aan de regels erg makkelijk maakt.