Nieuwe regels online creditcard betalingen: de gevaren van non compliance

Creditcard maatschappijen kunnen zware boetes opleggen aan webwinkels en andere bedrijven die creditcards gebruiken voor financiële transacties online, maar zich niet confirmeren aan de nieuwe richtlijnen die de industrie per 1 januari heeft afgekondigd. Onderzoek door Basefarm laat zien dat bedrijven in Nederland niet of nauwelijks op de hoogte zijn van de nieuwe regels en dus ook niet van de mogelijke consequenties.

De vijf grootste creditcard maatschappijen (Visa, Master Card, American Express, JCB en Discover) stellen gezamenlijk veiligheidsregels op waar bedrijven zich aan moeten houden als ze hun klanten de mogelijkheid willen bieden om online met een creditcard te betalen. De vijf hebben daarvoor samen de Payment Card Industry Security Standards Council opgericht, ofwel PCI. Dit samenwerkingsverband vaardigt de regels uit.

De snelle ontwikkeling van het betalingsverkeer via internet – en het misbruik ervan – zorgt ervoor dat de PCI deze beveiligingseisen, de zogeheten Data Security Standard (DSS), regelmatig vernieuwt. Sinds 1 januari van dit jaar is een nieuwe versie van kracht, aangeduid als DSS 3.0. Eind 2013 werd DSS 3.0 aangekondigd en bedrijven kregen een jaar de tijd om hun computersystemen aan te passen – tot 1 januari 2015 dus.

DSS 3.0 stelt bijvoorbeeld zwaardere eisen aan het gebruik van wachtwoorden, niet alleen van klanten maar ook van de werknemers zelf van bedrijven die zich bezighouden met elektronisch betalingsverkeer. Uit onderzoek is gebleken dat er nog altijd veel wachtwoorden worden gebruikt die makkelijk met gespecialiseerde software zijn te achterhalen, zoals ‘123456’ of ‘qwerty’. Ook stelt DSS 3.0 bijvoorbeeld hogere eisen aan procedures waarmee de veiligheid van betaalsystemen worden getest. Een overzicht van de maatregelen staat in onderstaande tabel.

Bij elk bedrijf in e-commerce moet er iemand verantwoordelijk zijn voor deze betaalsystemen, intern of extern. Ook als het gaat om een externe beheerder moet een ondernemer met bijvoorbeeld een kleine webwinkel niet te snel denken “dat heb ik toch allemaal uitbesteed”. Hij moet checken of aan de voorwaarden wordt voldaan. Want als er iets misgaat is het de ondernemer zelf die de gevolgen draagt. Creditcard maatschappijen houden zich namelijk het recht voor om schending van de regels te bestraffen met boetes van 5.000 tot 100.000 dollar per maand en “deze boetes […] kunnen catastrofaal zijn voor een kleine onderneming”, schrijft de PCI.

Eind vorig jaar hebben wij ruim 150 bedrijven gebeld met de vraag of zij op de hoogte zijn van DSS 3.0 en al werken aan implementatie. Het resultaat was ook voor onszelf tamelijk schokkend. Bij het merendeel van de bedrijven was het onmogelijk om iemand te vinden die verantwoordelijk was voor implementatie van deze beveiligingsmaatregelen. Men had meestal ook geen idee waarover we belden, en vaak ook geen enkele interesse. Voor Nederlandse vestigingen van buitenlandse bedrijven was vaak de uitweg: valt onder verantwoordelijkheid van het hoofdkantoor. Slechts een vijftal bedrijven begreep waar we over belden en zei dat het al was geregeld.

De risico’s voor een ondernemer in e-commerce, ook elke kleine webwinkel, ligt niet alleen in een boete. In de Verenigde Staten is gebleken dat sowieso 60 procent van alle kleine ondernemingen die te maken hebben gehad met een inbraak op hun computersysteem binnen een half jaar failliet is.

De veiligheid van online transacties blijft ook in Nederland een belangrijke kwestie, misschien juist omdat deze transacties zeer snel in aantal toenemen. In 2014 groeide de online retail in Nederland met zes procent tot 110 miljoen transacties, zo bleek afgelopen maand op de Webwinkel Vakdagen. In totaal spendeerden Nederlanders 13,5 miljard euro online. De strijd tussen webshops en de oude vertrouwde bakstenen winkels lijkt daarmee nog lang niet geslecht.

Maar er is meer virtueel betalingsverkeer dan de online aanschaf van vliegtickets of speelgoed. Het aantal cashless transacties groeit in Nederland sinds 2008 gestaag met krap vijf procent per jaar, aldus het World Payments Report, een jaarlijkse uitgave van Capgemini en de Royal Bank of Scotland. Het rapport spreekt zelfs over een war on cash die bedrijven en banken in Nederland voeren tegen contante betalingen, bijvoorbeeld via acties als ‘klein bedrag, pinnen mag’. En het is niet zo dat pinnen buiten het bereik van creditcard maatschappijen valt: Maestro is een dochteronderneming van Master Card.

Online winkelen is populair, maar niet zonder problemen. Zo’n 95 procent van de Nederlandse consumenten heeft weleens een online aankoop gedaan en tien procent doet dat zelfs elke week, zo bleek eind vorig jaar uit onderzoek van International Card Services (ICS). Maar liefst 40 procent is daarbij weleens tegen problemen aangelopen, zoals late levering of zelfs non-levering omdat een webwinkel een nepoperatie bleek te zijn.

Belangrijk voor creditcard maatschappijen is dat 40 procent van de creditcard bezitters in Nederland (en dat is 60 procent van de consumenten) deze kaart juist niet bij online winkelen gebruikt omdat het als onveilig wordt ervaren. Het is voor creditcard maatschappijen dus zeer belangrijk om de consument juist te overtuigen van de veiligheid van het gebruik van een creditcard, van de veiligheid van de elektronische betaalsystemen die webwinkels en andere e-commerce bedrijven gebruiken voor het afhandelen van deze transacties. Daar komt bij dat creditcard maatschappijen juist een verzekering kennen voor internetfraude en de consument zijn geld kan terugkrijgen als hij online wordt bedonderd.

Voor ieder bedrijf dat zich bezig houdt met e-commerce is het dus enorm belangrijk te voldoen aan de veiligheidsstandaard van de PCI, zodat consumenten met een gerust hart gebruik kunnen maken van hun diensten. Dat betekent vooral een veilig netwerk met goede bescherming van klantgegevens en het continue testen van deze veiligheid door het monitoren van aanvallen op het systeem en continue bijwerken van de beveiliging. Online veiligheid vereist een voortdurende inspanning omdat kwaadwillenden continue met nieuwe trucs komen om beveiligingssystemen te omzeilen. Een goede beveiliging houdt permanent zicht op deze ontwikkelingen en voert bijtijds aanpassingen door. Een gespecialiseerde consultant en systeembeheerder kan deze taken moeiteloos op zich nemen.