Wat zijn kaarthoudergegevens?

Cardholder Data (CHD) is informatie over een betaalkaart die wordt beschermd door de Payment Card Industry Data Security Standard (PCI DSS). Dit omvat het volledige Primary Account Number (PAN) en mogelijk de naam, vervaldatum en servicecode van de kaarthouder.

CHD is de informatie die beschikbaar is na het voltooien van de transactie, waaronder de naam van de kaarthouder, de vervaldatum van de kaart en het Primary Account Number (PAN). 

Bescherming van creditcardgegevens (CHD) is om verschillende redenen belangrijk. Naleving door klanten is cruciaal, omdat het helpt vertrouwen te behouden, te voldoen aan regelgeving en financiële sancties te voorkomen. Versleuteling en andere beveiligingsmaatregelen zijn essentieel om te garanderen dat gevoelige gegevens veilig blijven en de mogelijke schade van een datalek te beperken.

Financieel verlies kan op verschillende manieren ontstaan, waaronder identiteitsdiefstal en frauduleuze aankopen. Het beperken van ongeautoriseerde toegang tot gevoelige CHD-gegevens is cruciaal, omdat het het risico op mogelijke financiële verliezen kan minimaliseren. Elk bedrijf dat creditcardgegevens verwerkt, moet het vertrouwen van zijn klanten behouden. De bescherming van CHD is cruciaal voor bedrijven om de naleving te handhaven en hun geloofwaardigheid met betrekking tot gegevensbeveiliging te vergroten.

Datalekken van kaarthoudergegevens (CHD) kunnen aanzienlijke gevolgen hebben voor consumenten, financiële instellingen en retailers. Mogelijke gevolgen van datalekken zijn financiële verantwoordelijkheden, hoge boetes, juridische kosten, compensatiekosten, reputatieschade en verlies van klantvertrouwen.

Om deze risico's te beperken, is naleving van de Payment Card Industry Data Security Standard (PCI DSS) essentieel. Niet-naleving kan leiden tot extra financiële sancties en reputatieschade. 

Gevoelige authenticatiegegevens (SAD) en kaarthoudergegevens (CHD) zijn twee gegevenscategorieën die cruciaal zijn voor het verwerken van betalingen. CHD bevat gegevens zoals het primaire rekeningnummer (PAN), de naam van de kaarthouder en de vervaldatum van de betaalkaart, die na een transactiebevestiging bewaard mogen blijven.

Om kaarthouders te authenticeren, omvat SAD componenten zoals de PIN, trackgegevens van de magneetstrip of EMV-chip en de kaartverificatiecode/waarde (CVC, CVV of CID). Omdat CHD en SAD verschillende beveiligingseisen hebben, is het essentieel om te begrijpen hoe ze van elkaar verschillen. 

• Verkopers mogen CHD opslaan, maar als ze dat doen, moet het worden gecodeerd. Zelfs als SAD is gecodeerd, mogen bedrijven het echter niet opslaan na autorisatie. 
• Verkopers kunnen CHD bewaren, omdat het minder gevoelig is dan SAD.
• Verkopers mogen klanttransacties volgen met behulp van CHD.
• Verkopers moeten SAD niet bewaren, omdat het gevoeliger is dan CHD.
• Verkopers kunnen klanttransacties niet traceren met SAD. 

Alle organisaties die deelnemen aan kaarttransacties, inclusief banken, betaalgateways, verkopers en serviceproviders, moeten voldoen aan PCI DSS. Dit geldt voor elk bedrijf, ongeacht de grootte of het transactievolume, dat creditcardgegevens verwerkt, opslaat of verzendt. 

Om de veiligheid van kaarthoudergegevens tijdens transacties en opslag te garanderen, moet elke betrokken organisatie zich aan dit proces houden. Contractuele vereisten en jaarlijkse compliance-validaties worden gespecificeerd in creditcardnetwerkovereenkomsten en vereist door creditcardmaatschappijen. 

Externe verwerkers (TPSP's) moeten zich ook houden aan de Payment Card Industry Data Security Standard (PCI DSS) bij de verwerking van betaalpassen. SaaS-bedrijven moeten de PCI DSS-compliance van hun TPSP's minstens één keer per 12 maanden beheren en controleren. 

TPSP's moeten hun PCI DSS-compliance aantonen aan de SaaS-organisaties om deze te verifiëren via een jaarlijkse PCI DSS compliance-audit of meerdere, willekeurige audits van de TPSP. Een SaaS-bedrijf moet een plan opstellen om de PCI DSS-compliancestatus van de TPSP's jaarlijks te volgen en alle PCI DSS-vereisten bij te houden die onder de verantwoordelijkheid van de TPSP vallen. 

Uiteindelijk zijn SaaS-organisaties zelf verantwoordelijk voor hun eigen PCI DSS-compliance. Ze moeten ervoor zorgen dat hun TPSP's compliant zijn, aangezien zij de veiligheid van de kaarthoudergegevensomgeving beïnvloeden.

Financiële sancties, reputatieschade, verlies van klantvertrouwen en gemiste zakelijke kansen zijn slechts enkele ernstige gevolgen van niet-naleving van PCI DSS.

Bovendien lopen niet-conforme bedrijven het risico op juridische gevolgen, hogere transactiekosten, strengere auditnormen of beëindiging van bankpartnerschappen. In ernstige gevallen kan niet-naleving leiden tot faillissement.

Creditcardmaatschappijen kunnen boetes opleggen aan acquirerende banken, die de boetes vervolgens doorberekenen aan de verkopers. In het bijzonder kan niet-naleving van PCI DSS leiden tot boetes van $ 5.000 tot $ 100.000 per maand totdat aan de compliance-vereisten is voldaan.

Kaarthoudergegevens zijn mogelijk niet vrijgesteld van PCI DSS-vereisten als er alleen versleuteling wordt gebruikt. Systemen die beheren Encryptie Encryptie en decryptie vallen onder het gezag van PCI DSS, evenals elke omgeving die kaarthoudergegevens bevat, zelfs als deze versleuteld zijn. De systemen die encryptie en decryptie beheren, vallen echter wel onder de reikwijdte van PCI DSS, maar versleutelde kaarthoudergegevens niet. In omgevingen waar kaarthoudergegevens aanwezig zijn, maakt encryptie de vereiste voor PCI DSS niet ongeldig.