Fysieke winkels staan voor een minder bekend probleem dan e-commerce-handelaren: PCI DSS geldt ook voor de verwerking van kaartgegevens via POS-terminals, zelfs wanneer geen enkele kaart online wordt verwerkt. Detailhandelaren die klanten in de winkel accepteren, telefonische reserveringen ontvangen of loyaliteitsprogramma's beheren, hebben gegevensstromen die de CDE in hun netwerk kunnen betrekken. Dit artikel legt uit welke verplichtingen daadwerkelijk gelden voor fysieke winkels en hoe u het nalevingsbereik radicaal verkleint.
Hoe PCI DSS werkt in de fysieke detailhandel
Een detailhandelaar met fysieke winkels denkt vaak dat zijn PCI DSS-probleem eenvoudiger is dan dat van een online handelaar: men heeft een POS-terminal, de klant steekt de kaart erin, het apparaat communiceert met de acquirer en klaar. In werkelijkheid is de situatie complexer. Het POS-terminal is slechts het eerste punt van de gegevensstroom: erachter staat vaak een kassasysteem dat verbonden is met een intern netwerk dat geïntegreerd is met backoffice, voorraadbeheer en boekhoudsystemen. Wanneer het interne netwerk slecht gesegmenteerd is, kan het gehele filialennetwerk deel uitmaken van de CDE.
De PCI DSS-vereisten voor detailhandelaren hangen af van hoe het POS-terminal is geconfigureerd en hoe het interne netwerk is opgebouwd. Handelaren die uitsluitend goedgekeurde POS-terminals gebruiken (SCRP-listed devices) en geen kaartgegevens in hun systemen opslaan of verwerken, komen mogelijk in aanmerking voor SAQ B of SAQ B-IP: zelfbeoordelingsvragenlijsten met beduidend minder controles dan SAQ D. De sleutel ligt in het begrijpen welke systemen daadwerkelijk kaartgegevens aanraken.
Specifieke risico's: skimming en POS-manipulatie
Fysieke winkels worden geconfronteerd met specifieke risico's die online handelaren vreemd zijn: skimming (het aanbrengen van een gegevensleesapparaat op het POS-terminal), shoulder surfing (PIN-observatie) en fysieke manipulatie van het kassagebied. PCI DSS v4 heeft de vereisten met betrekking tot fysieke apparaatbeveiliging versterkt: vereiste 9.5 vereist een formeel beleid voor de fysieke beveiliging van POS-terminals, inclusief regelmatige inspecties op tekenen van manipulatie.
Nieuwe vereisten in PCI DSS v4 omvatten ook training van personeel om manipulatiepogingen op apparaten te herkennen, en het bijhouden van een apparateninventaris met serienummers. Deze vereisten zijn operationeel veeleisend voor detailhandelaren met veel filialen, maar kunnen worden gestandaardiseerd via geschikte apparatenbeheersystemen.
Telefonische reserveringen en callcenterrisico's
Voor detailhandelaren die kaartgegevens telefonisch ontvangen (telefonische verkoop, callcenterreserveringen), is de nalevingssituatie complexer. De medewerker die de kaart hoort en in een systeem invoert, raakt kaartgegevens aan en maakt het systeem CDE-plichtig. PCI DSS v4 heeft vereiste 3.3.2 toegevoegd, die uitdrukkelijk de elektronische opname van gevoelige authenticatiegegevens (volledige kaartnummers, CVV, PIN) vóór voltooiing van de autorisatie verbiedt.
Tokenisatie lost dit probleem op: wanneer de medewerker in plaats van het kaartnummer in een intern systeem te typen, een veilige link of een betaalterminalwidget gebruikt die de kaart direct naar een token converteert, raken interne systemen nooit PAN's aan. Dit patroon staat bekend als MOTO-tokenisatie (Mail Order / Telephone Order) en is voor veel fysieke handelaren met gemengde kanalen de meest effectieve methode voor CDE-reductie.
Tokenisatie in de fysieke detailhandel: wanneer het zinvol is
Voor een pure detailhandelaar met uitsluitend POS-transacties is tokenisatie het meest waardevol wanneer:
- de handelaar ook telefonisch of online kaarten accepteert (gemengde kanalen)
- kaartgegevens in backoffice-systemen worden opgeslagen voor facturen, terugbetalingen of loyaliteitsprogramma's
- CRM- of ERP-systemen communiceren met het kassasysteem en transactiegegevens bevatten
- medewerkers handmatig creditcardnummers invoeren voor telefoonbestellingen
In deze gevallen elimineert tokenisatie de PAN uit interne systemen en verkleint de CDE tot de tokenisatielaag, die door PCI Proxy EU Level-1-gecertificeerd is. Het interne netwerk, kassasystemen en CRM vallen buiten het PCI DSS-bereik.
Veelgestelde vragen
Geldt PCI DSS ook voor een kleine winkel met één POS-terminal?
Ja, PCI DSS geldt voor elke handelaar die betalingskaarttransacties verwerkt, ongeacht de omvang of het aantal terminals. Het SAQ-type hangt af van hoe kaarten worden geaccepteerd: een handelaar met één P2PE-gevalideerd terminal en zonder eigen kaartgegevensopslag kan SAQ P2PE invullen, dat slechts 35 vragen omvat. Een handelaar met een niet-gevalideerd terminal en interne opslagsystemen heeft een beduidend complexer bereik.
Wie is verantwoordelijk wanneer het POS-terminal wordt gecompromitteerd?
De verantwoordelijkheid is verdeeld tussen de POS-apparaatfabrikant, de betalingsdienstaanbieder en de handelaar. De handelaar is verantwoordelijk voor de fysieke beveiliging van de terminals (bescherming tegen skimming, manipulatie, onbevoegde toegang). De betalingsdienstaanbieder is verantwoordelijk voor de transactieverwerkingsinfrastructuur. PCI DSS vereist dat de handelaar een apparateninventaris bijhoudt en regelmatige fysieke inspecties uitvoert.
Wat is P2PE en waarom vereenvoudigt het PCI DSS-naleving?
P2PE (Point-to-Point Encryption) is een PCI SSC-validatiestandaard voor oplossingen die kaartgegevens versleutelen van het terminal tot aan de ontsleuteling via het beveiligde verwerkingspunt. PCI DSS-gevalideerde P2PE-oplossingen stellen de handelaar in staat de controles terug te brengen tot SAQ P2PE en het interne kassasysteem buiten de CDE te houden. P2PE en tokenisatie zijn complementaire benaderingen: P2PE voor de fysieke transactie, tokenisatie voor de backend-opslag en verdere verwerking.
Beheert u fysieke winkels met gemengde kanalen? Tokenisatie van de telefonische en online transactiestromen is de meest effectieve weg om de PCI DSS-nalevingslast te verminderen. Ontdek PCI Proxy EU.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op