Een PCI-nalevingsgids voor het beveiligen van gegevens van kaarthouders in zakelijke e-mails

Voor elk bedrijf dat creditcard- of andere betaalkaarttransacties verwerkt, is inzicht in PCI-naleving essentieel voor het handhaven van een veilige omgeving die niet alleen uw klanten, maar uw hele bedrijfsvoering beschermt.

Kort samengevat vereist PCI-naleving dat bedrijven de gegevens van kaarthouders beschermen door een checklist van technische en operationele beveiligingsmaatregelen te volgen. Of uw bedrijf nu al gevestigd is of net begint, de basisbeginselen van PCI-naleving zijn niet zo ingewikkeld als u misschien denkt.

Deze eenvoudig te volgen gids biedt een overzicht van PCI-naleving, wie hieraan moet voldoen en hoe u uw e-mailcommunicatie met gegevens van kaarthouders kunt beveiligen.

Wat is PCI-naleving?

PCI staat voor Payment Card Industry, en PCI DSS staat voor Payment Card Industry Data Security Standard.

De PCI DSS is een verzameling wereldwijde beveiligingsnormen die zijn opgesteld om ervoor te zorgen dat alle bedrijven die creditcardinformatie accepteren, verwerken, opslaan of verzenden, die informatie veilig houden.

Deze normen worden beheerd door de PCI Security Standards Council — een groep opgericht door American Express, Discover Financial Services, JCB International, MasterCard Worldwide en Visa Inc.

Hoewel PCI-naleving geen wet is, is het een dwingende eis die door grote creditcardmaatschappijen wordt opgelegd in hun contracten met handelaren.

Waarom is PCI-naleving belangrijk?

PCI-naleving is cruciaal voor het beschermen van uw bedrijf en uw klanten tegen datalekken en fraude. Niet-naleving kan leiden tot zware straffen, juridische gevolgen en verlies van klantvertrouwen.

Het waarborgen dat u voldoet aan de PCI DSS-vereisten helpt gevoelige gegevens te beschermen en versterkt uw reputatie als een vertrouwde entiteit.

Wie moet PCI-compliant zijn?

Elk bedrijf wereldwijd dat betaalkaarttransacties verwerkt, moet PCI-compliant zijn. Dit geldt voor online retailers, fysieke winkels en elke organisatie die creditcardbetalingen verwerkt. Als uw bedrijf gegevens van kaarthouders accepteert, verzendt of opslaat, moet u voldoen aan de PCI DSS-vereisten(nieuw venster).

Kleine bedrijven moeten zelf PCI-compliant zijn — zelfs als ze een betalingsverwerker zoals Stripe gebruiken. Hoewel het gebruik van een PCI-compliant betalingsverwerker kan helpen om aan sommige vereisten te voldoen, blijven bedrijven zelf verantwoordelijk voor het waarborgen dat hun eigen systemen en praktijken voldoen aan de PCI DSS-normen.

PCI-nalevingschecklist

Om PCI-compliant te worden, moeten bedrijven de 12 vereisten volgen die zijn uiteengezet door de PCI DS(nieuw venster)S(nieuw venster).

1. Installeer en onderhoud een firewall om de gegevens van kaarthouders te beschermen.
2. Gebruik geen door leveranciers geleverde standaardwaarden voor systeemwachtwoorden en andere beveiligingsparameters.
3. Bescherm opgeslagen gegevens van kaarthouders door versleuteling en veilige opslagmethoden.
4. Versleutel de overdracht van gegevens van kaarthouders over openbare netwerken.
5. Bescherm alle systemen tegen malware en werk antivirussoftware of -programma’s regelmatig bij.
6. Ontwikkel en onderhoud veilige systemen en toepassingen.
7. Beperk de toegang tot gegevens van kaarthouders op basis van zakelijke noodzaak.
8. Identificeer en authenticeer de toegang tot systeemcomponenten.
9. Beperk de fysieke toegang tot gegevens van kaarthouders.
10. Traceer en controleer alle toegang tot netwerkbronnen en gegevens van kaarthouders.
11. Test beveiligingssystemen en -processen regelmatig.
12. Hanteer een beleid met betrekking tot informatiebeveiliging voor alle medewerkers. 

Het is echter belangrijk om op te merken dat elk van deze vereisten verder is onderverdeeld in verschillende subvereisten. Naleving van elk daarvan is essentieel.

Hoewel e-mailbeveiliging niet expliciet wordt genoemd, vereist de standaard de versleuteling van gegevens van kaarthouders tijdens verzending over openbare netwerken, waaronder e-mail.

Een beveiligde e-mail is cruciaal voor PCI-naleving

Een cruciaal aspect van PCI-naleving is ervoor zorgen dat e-mailcommunicatie met creditcardgegevens van klanten op de juiste manier wordt versleuteld en beschermd. Het niet beveiligen van deze waardevolle informatie kan leiden tot datalekken, wat niet alleen de reputatie van uw bedrijf kan schaden, maar ook kan leiden tot enorme financiële verliezen.

Hier zijn enkele stappen die u kunt nemen om ervoor te zorgen dat uw e-mailcommunicatie veilig is:

Gebruik end-to-end versleuteling

End-to-end versleuteling zorgt ervoor dat gegevens worden versleuteld op het apparaat van de afzender en alleen worden ontsleuteld op het apparaat van de ontvanger. Proton Mail biedt bijvoorbeeld dit beveiligingsniveau, waardoor zelfs Proton geen toegang heeft tot de inhoud van uw e-mails.

Gebruik multi-factor verificatie

Multi-factor verificatie, zoals tweestapsverificatie (2FA), voegt een extra beveiligingslaag toe die verder gaat dan alleen wachtwoorden en kan uw verdediging tegen ongeoorloofde toegang aanzienlijk verbeteren. Met een Proton for Business-abonnement kunt u het gebruik van 2FA verplicht stellen voor uw organisatie om de beveiliging te versterken en te waarborgen.

Regelmatige beveiligingsaudits

Voer regelmatig beveiligingsaudits uit om ervoor te zorgen dat uw e-mailcommunicatie en andere systemen voldoen aan de PCI DSS-vereisten. Deze audits kunnen kwetsbaarheden in verouderde firewallconfiguraties en onjuiste toegangscontroles aan het licht brengen. Dit helpt bij het identificeren en aanpakken van potentiële kwetsbaarheden voordat ze kunnen worden misbruikt.

Blijf PCI-conform met Proton

Wanneer u Proton gebruikt, beschermt u uw bedrijfsgegevens zodat niemand, zelfs Proton niet, er toegang toe heeft. De sleutels van uw meest waardevolle informatie blijven te allen tijde in uw bezit. Deze toewijding aan privacy en beveiliging maakt Proton een ideale oplossing voor bedrijven die ernaar streven PCI-naleving te bereiken en te behouden.

Proton begon als een project onder leiding van wetenschappers die elkaar ontmoetten bij CERN (de Europese Organisatie voor Kernonderzoek). Ons doel is om het internet opnieuw vorm te geven, zodat mensen en organisaties de controle over hun gegevens krijgen.

Overstappen naar Proton Mail is eenvoudig met onze Easy Switch-functie, waarmee u naadloos alle e-mails, contacten en agenda’s van uw organisatie kunt overzetten van andere diensten zonder dat er training voor uw team nodig is. Ons ondersteuningsteam staat ook 24/7 klaar om live ondersteuning te bieden als u extra hulp nodig heeft. Proton Mail, onze end-to-end versleutelde e-mail, en Proton Drive, onze end-to-end versleutelde cloudopslagdienst, maken het eenvoudig om aan de vereisten voor gegevensbescherming en privacy te voldoen.

Het gebruik van Proton for Business biedt extra voordelen, waaronder:

• Proton Mail: Bescherm uw zakelijke communicatie met end-to-end versleutelde e-mail en zorg ervoor dat alleen u en uw beoogde ontvangers uw berichten kunnen lezen.
• Proton VPN: Beveilig uw internetverbinding en bescherm uw online activiteiten met snelle VPN-toegang.
• Proton Calendar: Beheer uw planning met een versleutelde agenda die uw zakelijke afspraken privé houdt.
• Proton Pass: Bewaar en beheer uw wachtwoorden veilig met onze versleutelde wachtwoordbeheerder.
• Proton Drive: Sla bestanden veilig op en deel ze met end-to-end versleuteling, zodat uw gegevens privé en beschermd blijven.

Ontdek hoe Proton naleving eenvoudig kan maken voor uw organisatie door u aan te melden voor Proton for Business of neem contact op met ons verkoopteam voor meer op maat gemaakte oplossingen.

Wanneer u uw bedrijf naar het Proton-ecosysteem verplaatst, beschermt u tegelijkertijd uzelf en de gegevens van uw klanten, blijft u conform de regels en helpt u mee aan een toekomst waarin privacy de standaard is.