Creditcardmaatschappijen kunnen zware boetes opleggen aan webwinkels en andere bedrijven die creditcards gebruiken voor financiële transacties online, maar zich niet confirmeren aan de nieuwe richtlijnen die de industrie per 1 januari heeft afgekondigd. Onderzoek door Basefarm laat zien dat bedrijven in Nederland niet of nauwelijks op de hoogte zijn van de nieuwe regels en dus ook niet van de mogelijke consequenties.
De vijf grootste creditcardmaatschappijen (Visa, Master Card, American Expres, JCB en Discover) stellen gezamenlijk veiligheidsregels op waar bedrijven zich aan moeten houden als ze hun klanten de mogelijkheid willen bieden om online met een creditcard te betalen. De vijf hebben daarvoor samen de Payment Card Industry Security Standards Council opgericht, ofwel PCI. Dit samenwerkingsverband vaardigt de regels uit.
De snelle ontwikkeling van het betalingsverkeer via internet – en het misbruik ervan – zorgt ervoor dat de PCI deze beveiligingseisen de zogeheten Data Security Standard (DSS) regelmatig vernieuwt. Sinds 1 januari van dit jaar is zodoende een nieuwe versie van kracht, aangeduid als DSS 3.0. Eind 2013 werd DSS 3.0 aangekondigd en bedrijven kregen een jaar de tijd om hun computersystemen aan te passen – tot 1 januari 2015 dus.
DSS 3.0 is vooral een technisch verhaal over veiligheid van klantgegevens en de voorwaarden waaraan computersystemen moeten voldoen. “Uitbesteedt” kan een ondernemer denken, maar het is verstandig daar goed zicht op te houden. Want wat gebeurt er volgens PCI als u zich niet aan de regels van DSS 3.0 houdt? Creditcardmaatschappijen behouden zich het recht voor om schending van de regels te bestraffen met boetes van 5.000 tot 100.000 dollar per maand en “deze boetes” […] kunnen catastrofaal zijn voor een kleine onderneming, meldt de PCI.
De PCI adviseert dan ook elke onderneming in e-commerce, ook elke kleine webwinkel, om bij zijn bank en/of systeembeheerder na te gaan of alle betaalsystemen aan de nieuwe eisen voldoen. Niet alleen om een boete van een creditcardmaatschappij te voorkomen, maar ook omdat sowieso in de VS is gebleken dat 60% van alle kleine ondernemingen die te maken hebben gehad met een inbraak op hun computersysteem binnen een half jaar failliet is.
De veiligheid van online transacties blijft ook in Nederland een belangrijke kwestie, juist omdat deze transacties zeer snel in aantal toenemen. In 2014 groeide de online retail in Nederland met 6% tot 110 miljoen transacties, zo bleek afgelopen maand op de Webwinkel Vakdagen. In totaal spendeerden Nederlanders 13,5 miljard euro online. De strijd tussen webshops en de oude vertrouwde bakstenen winkels lijkt daarmee nog lang niet geslecht.
Maar er is meer virtueel betalingsverkeer dan de online aanschaf van vliegtickets of speelgoed. Het aantal ‘cashless’ transacties groeit in Nederland sinds 2008 gestaag met krap 5 procent per jaar, aldus het World Payments Report, een jaarlijkse uitgave van Capgemini en de Royal Bank of Scotland. Het rapport spreekt zelfs over een ‘war on cash’ die bedrijven en banken in Nederland voeren tegen contante betalingen, bijvoorbeeld via acties als ‘klein bedrag, pinnen mag’. En het is niet zo dat pinnen buiten het bereik van creditcardmaatschappijen valt: Maestro is een dochteronderneming van Master Card.
Online winkelen is populair, maar niet zonder problemen. Zo’n 95% van de Nederlandse consumenten heeft weleens een online aankoop gedaan en 10% doet dat zelfs elke week, zo bleek eind vorig jaar uit onderzoek van International Card Services (ICS). Maar liefst 40% is daarbij weleens tegen problemen aangelopen, zoals late levering of zelfs non-levering omdat een webwinkel een nepoperatie bleek te zijn.
Belangrijk voor creditcardmaatschappijen is dat 40% van de credit card bezitters in Nederland (en dat is 60% van de consumenten) deze kaart juist niet bij online winkelen gebruikt omdat het als onveilig wordt ervaren. Het is voor creditcardmaatschappijen dus zeer belangrijk om de consument juist te overtuigen van de veiligheid van het gebruik van een credit card, van de veiligheid van de elektronische betaalsystemen die webwinkels en andere e-commerce bedrijven gebruiken voor het afhandelen van deze transacties. Daar komt bij dat credit card maatschappijen juist een verzekering kennen voor internetfraude en de consument zijn geld kan terugkrijgen als hij online wordt bedonderd.
Voor ieder bedrijf dat zich bezig houdt met e-commerce is het dus enorm belangrijk te voldoen aan de veiligheidsstandaard van de PCI, zodat consumenten met een gerust hart gebruik kunnen maken van hun diensten. Dat betekent vooral een veilig netwerk met goede bescherming van klantgegevens en het continue testen van deze veiligheid door het monitoren van aanvallen op het systeem en continue bijwerken van de beveiliging. Online veiligheid vereist een voortdurende inspanning omdat kwaadwillenden continue met nieuwe trucs komen om beveiligingssystemen te omzeilen. Een goede beveiliging houdt permanent zicht op deze ontwikkelingen en voert bijtijds aanpassingen door. Een gespecialiseerde consultant en systeembeheerder kan deze taken moeiteloos op zich nemen.
