E-commerce & Mail Order-Telephone Order
Opslag van Creditcard Gegevens ‘if you don’t need it, don’t store it’
Opslag van Creditcard Gegevens Creditcard accepterende bedrijven vormen een potentieel doelwit voor (computer)criminelen. Zij zijn erop uit om creditcard gegevens* te bemachtigen door in te breken in de computersystemen van E-commerce en Mail Order-Telephone Order (MOTO) acceptanten. Zij maken hierbij gebruik van zwakheden in de (internet)beveiliging.
Ontvreemding van klant- en creditcard gegevens kan onder meer resulteren in: • imagoschade voor uw onderneming (gedupeerde kaarthouders, verlies van klanten) • aanzienlijke boetes (> € 10(0).000) van MasterCard en Visa (voor rekening van uw onderneming)) • kosten voor heruitgifte van creditcards kunnen ten laste komen van uw onderneming • frauduleuze transacties waarvan kaarthouders en (internet)ondernemers de dupe zijn.
Euopean Merchant Services (EMS) wil samen met u ervoor zorgen dat de kans op ontvreemding zo klein mogelijk wordt gehouden. EMS wil u daarom tijdig informeren over toegestane acceptatiewijze(n) en welke betaaloplossingen en maatregelen uw risico kunnen verminderen. * Creditcard gegevens: het kaartnummer, eventueel in combinatie met de vervaldatum en/of CVC security code. De CVC security code is een 3-cijferige veiligheidscode die is afgedrukt op de achterzijde van creditcards.
Acceptatiewijze: wat is wel en niet toegestaan? Op basis van de veiligheidsvoorschriften van MasterCard en Visa heeft EMS bepaald dat creditcard gegevens bij Mail Order-Telephone Order acceptatie alleen via de volgende kanalen mogen worden verkregen: • per telefoon • per fax • per papieren bestelformulier (bijv. bestelbon uit een brochure)
Het is niet toegestaan om creditcard gegevens te verkrijgen via: • E-mail: u mag uw klanten niet verzoeken om hun creditcard gegevens door te geven via e-mail(s). • Elektronisch bestelformulier (bijv. creditcard gegevens ‘afvangen’ via een pagina die gekoppeld is aan uw webwinkel en deze vervolgens handmatig te verwerken in uw MOTO applicatie)
Mocht u creditcard gegevens op een andere manier (willen) verkrijgen als hierboven beschreven, neemt u dan contact met ons op. Wij zullen dan bekijken of, en zo ja, onder welke voorwaarden gegevens mogen worden verkregen.
In geval van E-commerce acceptatie dient de kaarthouder zelf de transactie te initiëren via een betaalpagina die gekoppeld is aan uw webwinkel. Het is niet toegestaan om bestellingen die via telefoon, fax of bestelformulier bij u zijn binnengekomen te verwerken via uw eigen webwinkel als zijnde E-commerce transacties.
Opslag van creditcard gegevens: wat is wel en niet toegestaan? Om het risico op ontvreemding en daarmee potentiële imago en financiële schade voor u te minimaliseren stelt EMS dat: • (tijdelijke of permanente) elektronische opslag van kaartnummer(s) evt. in combinatie met de vervaldatum niet is toegestaan. Alleen onder strikte aanvullende voorwaarden (o.a. PCI DSS validatie1) en met uitdrukkelijke toestemming van EMS mag elektronische opslag plaatsvinden. • (tijdelijke of permanente) opslag van de CVC security code2 nooit is toegestaan. • creditcard gegevens onleesbaar gemaakt moeten worden indien deze fysiek worden bewaard (bijv. op bestelbonnen, notities), nadat autorisatie is verkregen.
Wat kunt u doen ter voorkoming van creditcard opslag? Zowel voor E-commerce en/of Mail Order-Telephone Order acceptanten zijn er manieren om ervoor te zorgen dat geen creditcard gegevens worden opgeslagen:
E-commerce Acceptatie Uw onderneming accepteert creditcards via uw webwinkel waarbij uw klanten zelf de creditcard transactie initiëren. De Payment Service Providers (PSPs) waar EMS mee samen werkt bieden E-commerce betaaloplossingen die ervoor zorgen dat uw klant de creditcard gegevens ingeeft op de betaalpagina3 binnen de omgeving van de Payment Service Provider. Zie hieronder een schematische weergave:
2 Klant kiest zijn product en rond de bestelling af binnen de webshop
3 Kaarthouder wordt al dan niet zichtbaar ‘doorgestuurd’
1 Klant (kaarthouder) ‘surft’
naar de betaalpagina van de Payment Service Provider
en komt op uw webwinkel
5 De creditcard gegevens worden door de
4 Kaarthouder voert creditcard nummer, vervaldatum en CVC
beveiligde systemen van EMS verwerkt.
security code in op de betaalpagina - ‘gehost’ door uw Payment Service Provider
“
De meest effectieve en efficiënte E-commerce betaaloplossing: Laat uw Payment Service Provider uw betaalpagina ‘hosten’ > Géén creditcard opslag binnen uw systemen
EMS adviseert u om meer informatie in te winnen bij de door u gekozen Payment Service Provider. 1 PCI DSS validatie: kostbare, tijdrovende en terugkerende certificering (door een derde partij) van uw systemen en procedures t.b.v. veilige gegevensopslag. 2 CVC security code: de 3 of 4 cijferige veiligheidscode afgedrukt op de achterzijde van MasterCard/Visa cards, en op de voorzijde van American Express cards. 3 Betaalpagina: de webpagina waar de kaarthouder zijn/haar creditcard gegevens invoert en de betaaltransactie initieert.
Mail Order-Telephone Order (MOTO) Acceptatie Uw onderneming accepteert creditcard betalingen via telefoon, fax of (papieren) bestelformulier. Uzelf initieert de creditcard transactie via de MOTO applicatie van uw Payment Service Provider of via de EMS e-Terminal.
In geval van MOTO acceptatie ontkomt u er niet aan dat op enig moment creditcard gegevens in uw bezit zijn en (tijdelijk) op papier worden opgeslagen. U ontvangt de creditcard gegevens per papieren bestelformulier of fax, of u noteert uw klant-, order- en creditcard gegevens bij een telefonische bestelling of reservering. Zie hieronder een schematische weergave van een MOTO transactie:
1 Uw onderneming ontvangt creditcard gegevens per
2 U logt in op de MOTO
telefoon, fax of bestelformulier
“
applicatie van uw
“
Payment Service
“
Provider of van EMS.
3 De creditcard gegevens worden door
U voert de verkregen
de beveiligde systemen
creditcard gegevens in
van EMS verwerkt.
en initieert de betaling.
De verkregen creditcard gegevens mogen niet elektronisch worden opgeslagen (bijv. in uw klanten-administratie). Het is namelijk zeer waarschijnlijk dat de computersystemen waar u de gegevens in zou opslaan in connectie staan met het internet (bijv. vanwege emailverkeer). Bij elektronisch opslag wordt uw onderneming potentieel doelwit van ‘hackers’ en loopt uw onderneming onnodig (en onacceptabele) risico’s.
Hoe om te gaan met verkregen creditcard gegevens (op papier)? EMS verplicht u de verkregen creditcard gegevens direct (gedeeltelijk) onleesbaar te maken nadat u autorisatie voor desbetreffende betaling heeft ontvangen. Onderstaand een voorbeeld van het ‘maskeren’ van creditcard gegevens. Zorg ervoor dat ten minste een gedeelte van het kaartnummer is gemaskeerd en de CVC security code volledig onleesbaar is.
De creditcard gegevens voordat autorisatie is verkregen
Maskering van de creditcard gegevens nadat autorisatie is verkregen
Wat moet u doen als u creditcard gegevens gaat opslaan of door derde(n) laat opslaan? Bij wijze van hoge uitzondering staat EMS het Acceptanten toe om creditcard gegevens op te slaan of door te sturen. U moet zich realiseren dat EMS hier aanvullende voorwaarden aan stelt, voortkomend uit de veiligheidsvoorschriften van MasterCard, Visa en American Express.
In het geval creditcard gegevens elektronisch bij uw onderneming mogen worden opgeslagen, zult u moeten voldoen aan de zogeheten Payment Card Industry Data Security Standard (PCI DSS). Deze beveiligingstandaard houdt in dat uw onderneming ieder jaar een uitgebreide vragenlijst moet invullen waarmee uw beveiligingsbeleid en –maatregelen worden getoetst. Aanvullend dient u minstens 1 keer per kwartaal een ‘network scan’ uit te laten voeren door een onafhankelijke partij. Deze door MasterCard en Visa gecertificeerde partij kan uw computernetwerk scannen op mogelijke ‘gaten’ in de beveiliging. De vragenlijst en scans zullen moeten aantonen dat uw onderneming afdoende beveiligd is tegen inbreuk van binnenuit of van buitenaf.
N.B. U dient eveneens aan te tonen dat derde partijen (anders dan uw Payment Service Provider*), die creditcard gegevens van uw klanten opslaan of doorsturen, voldoen aan de Data Security Standard. U kunt hierbij denken aan uw website developer en/of hosting partij. *Payment Service Providers (PSPs): partijen die technisch gekoppeld zijn aan de transactiesystemen van EMS en de ‘internetkassa’ ondersteunen. PSPs in connectie met EMS zijn gecertificeerd tegen de zwaarste data beveiligingseisen van MasterCard en Visa.
‘if you don’t need it, don’t store it’ Simpeler kunnen we het niet stellen: het is niet nodig om creditcard gegevens elektronisch op te (laten) slaan. Payment Service Providers bieden betaaloplossingen die ervoor zorgen dat creditcard gegevens niet in uw systeem hoeven worden opgeslagen. Uzelf of uw website developers kunnen relatief eenvoudig uw ‘winkelwagen-systeem’ integreren met de betaalomgeving van de Payment Service Provider. Het ‘maskeren’ van creditcard gegevens op papier is de meest simpele en kostenbesparende maatregel om opslag op papier te voorkomen. Geen opslag van creditcard gegevens betekent geen risico, geen verplichtingen en geen overbodige investeringen.
Voor al uw vragen Wij geven u graag meer advies en informatie betreffende het veilig omgaan met creditcard gegevens. Neemt u dan contact met ons op telefoonummer +31 20 660 3140 of via
[email protected]
Postadres Postbus 22764, 1100 DG Diemen Bezoekadres Wisselwerking 58, 1112 XS Diemen KvK Amsterdam 34.226.533 www.emscard.com
