Nieuwe regels voor creditcard betalingen

Sinds begin 2014 gelden er nieuwe regels voor webwinkels welke creditcard betalingen accepteren. Hoewel deze regels grote consequenties kunnen hebben voor webwinkels, zijn de meeste webwinkels hier niet van op de hoogte.

Vorig jaar werden we al opgebeld door Basefarm, welke een onderzoek deed naar PCI DSS 3.0. De PCI DSS 3.0. is een nieuwe standaard in creditcard beveiliging. Wij moesten toen zelfs als branche organisatie concluderen (te) weinig weet te hebben van deze nieuwe standaard. Hoe kunnen wij dan van webwinkels verwachten deze kennis wel in huis te hebben?

Deze maand werd er in Twinkle weer aandacht aan PCI DSS 3.0 besteed en ook hierbij werd om onze mening gevraagd. Zo hebben creditcard maatschappijen de mogelijkheid om hoge boetes op te leggen aan webwinkels die niet aan de standaard voldoen. Ons standpunt hierin is dat het opleggen van boetes een uiterste maatregel zou moeten zijn en dat voorlichting over de standaard de eerste prioriteit is. Vandaar dat wij ook graag webwinkels voorlichten over PCI DSS 3.0.

Hoewel in Nederland nog weinig gebruik wordt gemaakt van de creditcard (11% in 2014), zien we wel een stijgende lijn in het aantal creditcard gebruikers. Zeker wanneer je internationaal zaken doet is het beschikken over een creditcard betaalmogelijkheid een must. Vaak kiezen webwinkels er dan voor om creditcard betalingen te accepteren via een payment service provider, omdat gedacht wordt dat dan alles voor je geregeld wordt.

In de nieuwe eisen worden echter ook wanneer je gebruik maakt van een PSP (Payment Service Provider)  eisen gesteld aan de webwinkelier. De meeste PSPs hebben hun zaakjes goed op orde, het risico zit hem dan ook vooral bij de beveiliging van jouw webwinkel en de mensen die toegang hebben tot jouw webwinkel.

De risico’s van onvoldoende beveiliging
Neem je niet de nodige voorzorgsmaatregelen? Dan zijn de (financiële) risico’s groot. Hoewel creditcard maatschappijen contractueel boetes mogen opleggen van 5.000 tot 100.000 dollar per maand, zal het naar ons idee niet snel zo ver komen en gaan de financiële ricico’s dan ook verder dan deze boetes. Of je nu wel of geen creditcard betalingen aanbied, zonder de nodige voorzorgsmaatregelen ben jij namelijk verantwoordelijk door schade ontstaan door onvoldoende beveiliging.

Stel een hacker krijgt zonder dat jij het weet toegang tot jouw webwinkel. Hij vervangt daarbij de betaalpagina en stuurt mensen die met iDEAL of creditcard willen betalen door naar zijn eigen website. Nietsvermoedend voeren klanten daar hun ideal login of creditcard informatie in. Vervolgens misbruikt deze hacker deze gegevens door bij andere webwinkels grote orders te doen. Pas na 3 dagen kom jij hier achter en blijken 15 klanten de dupe te zijn. Per persoon is er €1500 euro van hun rekening gehaald. De totale schade is daarmee €22.500. Deze schade kan op jou verhaald worden net als de bijkomende kosten… Het spreek dus voor zich dat een goede beveiliging van jouw webwinkel zeker geen luxe is.

Begrijpelijke maatregelen voor jouw webwinkel
De maatregelen die je als webwinkel moet nemen zijn niet complex, maar je moet hier als webwinkel wel bewust van zijn. Voor de gemiddelde kleinere webwinkel welke gebruik maakt van een PSP komt dat op het volgende neer:

1. Zorg ervoor dat je webwinkel software up-to-date is. Gebruik je open-source zoals bijvoorbeeld Magento, Prestashop, Opencart of WordPress? Zorg er dan voor dat je altijd werkt met de nieuwste versie en dat je plugins ook up-to-date zijn. Zorg er ook voor dat je hosting periodiek bijgewerkt wordt door iemand die daar verstand van heeft. Werk je met met een SAAS systeem als SEOshop of CCV? Dan is dit een taak van je webwinkel software en is dit meestal al goed voor elkaar.
2. Gebruik geen standaard wachtwoorden en gebruik 1 wachtwoord niet voor meerdere logins. Dit geldt altijd en overal op het internet. Goede wachtwoorden hebben vooral een voldoende lengte en zijn zowel door mensen als computer niet eenvoudig te raden. Gebruik deze tool om te kijken of jouw wachtwoorden makkelijk te raden zijn.
3. Jouw website moet minimaal SSL hebben, dat geldt niet alleen voor de betaling, maar voor de gehele winkelwagen. Alleen SSL bij je PSP is dus niet voldoende, jouw webwinkel (of minimaal formulieren die persoonsgegevens versturen) moet ook onder SSL draaien. Vergeet ook zeker de beheeromgeving niet!
4. Installeer altijd een virusscanner op alle computer waarmee je inlogt op jouw webwinkel.
5. Installeer altijd een firewall op alle computers waarmee je inlogt op jouw webwinkel.
6. Zorg ervoor dat de software op de computers die je gebruikt up-to-date is.
7. Hebben meerdere mensen toegang tot jouw webwinkel of PSP account? Zorg dan dat ze niet dezelfde login gebruiken, maar allemaal een eigen gebruikersnaam en wachtwoord hebben.
8. Geef mensen alleen toegang tot je webwinkel wanneer dat nodig is en verwijder de login weer wanneer de toegang niet meer nodig is. In de meeste systemen kun je zelf aangeven tot welke gegevens welke gebruiker toegang heeft, geef daarbij gebruikers niet meer rechten dan noodzakelijk. Iemand die alleen productgegevens invoert hoeft bijvoorbeeld geen toegang te hebben tot de klantinformatie…
9. Controleer periodiek of je webwinkel nog veilig is en controleer daarbij onder andere de bovenstaande punten.

Twijfel je of bovenstaande ook voldoende is voor jouw webwinkel? Neem dan gerust contact op met je PSP of creditcard maatschappij, zij kunnen je informeren over de PCI DSS 3.0 eisen. Accepteer je geen creditcard betalingen? Dan is het ook heel verstandig om veiligheid de nodige prioriteit te geven, omdat je verantwoordelijk blijft voor schade wanneer je onvoldoende maatregelen neemt.

Meer informatie
Onderstaand hebben we de eisen van PCI DSS 3.0 nog eens samengevat. Voor de echte techneuten is er ook een Engelstalige samenvatting beschikbaar met de verschillen tussen de PCI DSS 2.0 en PCI DSS 3.0 eisen. Is dat voor jou toch wat te droge kost? Bekijk dan eens deze (Engelstalige) infographic. Heb je nog vragen? Stel ze gerust in onderstaande comments!