Wat zijn industriestandaarden voor betaalkaarten?
Normen voor de betaalkaartindustrie zijn de normen die bepalen hoe creditcardbedrijven en de handelaars waarmee zij zaken doen, omgaan met creditcardgegevens en betalingen verwerken. In principe zouden alle standaarden of best practices die algemeen worden gevolgd in de creditcardindustrie, normen voor de betaalkaartindustrie kunnen worden genoemd. De uitdrukking wordt echter meestal gebruikt in verband met de universele Payment Card Industry Data Security Standard, ook bekend als PCI DSS. De PCI DSS is een document ontwikkeld door vijf grote creditcardbedrijven dat onder meer richtlijnen biedt voor het opslaan van creditcardnummers en -bewijzen, het beveiligen van computernetwerken van verkopers en het verwerken van betalingsverwerking. Naleving van de industriestandaarden voor betaalkaarten in de PCI DSS is technisch vrijwillig, maar niet-naleving heeft vaak negatieve gevolgen voor bedrijven en winkeleigenaren.
Creditcards worden vaak gebruikt om alles te betalen, van grote, eenmalige aankopen tot dagelijkse behoeften zoals boodschappen en gas. Wanneer een klant over een creditcard veegt, leest een computersysteem van de handelaar de creditcardinformatie en verzendt die informatie vervolgens via een internetverbinding naar het computerhoofdframe van de creditcardmaatschappij voor authenticatie. Hoewel deze transactie meestal maar een paar seconden duurt, gaat het om veel zeer gevoelige informatie. Als die informatie niet goed wordt beschermd, kan dit zowel kaarteigenaren als handelaren blootstellen aan fraude. Algemene normen voor de betaalkaartindustrie zijn ontworpen om die fraude te voorkomen of op zijn minst te verminderen.
Hoewel sommige landen uniforme normen voor gegevensbeveiliging vaststellen voor financiële transacties, doen niet alle landen dat. Zelfs de bestaande wetten reguleren meestal de financiële sector in het algemeen, een minimumnorm die niet is afgestemd op de behoeften van de creditcardindustrie. Er zijn simpelweg geen brede regelgeving voor de betaalkaartindustrie. Als breed genoeg wordt aangenomen, kunnen de normen van de betaalkaartindustrie deze leemte opvullen.
Een van de grote voordelen van industriestandaarden voor betaalkaarten is dat ze zijn gemaakt voor en door de bedrijven die het meest gebruik maken van en omgaan met creditcards. Door hun definitie zijn normen vrijwillig en geen enkele wet dwingt bedrijven om ze aan te nemen. Wanneer voldoende bedrijven overeengekomen betaalkaartnormen beginnen te implementeren, worden de normen echter vaak universeel verwacht. Normen zoals de PCI DSS zijn bedoeld om creditcardbeveiligingsmaatregelen over de hele wereld te verenigen.
De PCI DSS is oorspronkelijk opgesteld door een groep die bekend staat als de PCI Security Standards Council. Die raad bestaat uit vertegenwoordigers van vijf van 's werelds grootste creditcardbedrijven: American Express®, Discover®, JCB®, MasterCard® en Visa®. Naast het opstellen en bijwerken van de normen streeft de raad ernaar de algemene normen voor de creditcardindustrie en de sectorale voorschriften te verbeteren. De raad informeert de privacy- en beveiligingssectoren over creditcardgegevensbeveiliging ter bevordering van dit doel. Het biedt ook trainingsprogramma's en sponsorconferenties om bedrijven te helpen compliant te worden.
Elk van de creditcardbedrijven met een aandeel in de PCI Security Standards Council vereist van leveranciers die hun kaarten accepteren dat ze voldoen aan de industrienormen van de Council. Dit betekent dat leveranciers moeten vaststellen en controleren hoe hun systemen de specificaties van de betaalkaartsector in de normen implementeren als ze creditcards als betaling willen blijven accepteren. Creditcardbedrijven controleren meestal jaarlijks zelf de naleving van grote bedrijven. Kleine bedrijven mogen meestal zelf hun naleving melden. Als wordt vastgesteld dat een handelaar niet voldoet aan de voorschriften, kunnen boetes variëren van boetes tot volledige intrekking van de betaalkaartservice, afhankelijk van de ernst van de overtreding.