Skip to content

Standaard voor gegevensbeveiliging voor kaartaccepterende bedrijven

Elk bedrijf dat gegevens van kaarthouders verzendt, verwerkt en opslaat, dient alle mogelijke voorzorgsmaatregelen te nemen om klanten en zichzelf te beschermen. De implementatie van de PCI Data Security Standards door middel van compliance met de Data Security Operating Policy (DSOP) zorgt voor meer vertrouwen bij uw klanten en uw bedrijf.

Bekijk de American Express Data Security Operating Policy (PDF).

Als lid van de PCI Security Standards Council heeft American Express een belangrijke rol gespeeld bij de ontwikkeling van de PCI Data Security Standards, waarin staat beschreven hoe de veiligheid van kaarthouders moet worden beschermd.

Bekijk de Payment Card Industry Data Security Standard.

Alle kaartaccepterende bedrijven van American Express zijn in drie niveaus voor gegevensbeveiliging onderverdeeld. Deze niveaus zijn voornamelijk op het volume American Express-transacties gebaseerd. De vereisten voor gegevensbeveiliging waaraan uw bedrijf dient te voldoen, worden door uw niveau bepaald. Aan de hand van de onderstaande tabel kunt u uw niveau bepalen en krijgt u een overzicht van de compliance-vereisten van de American Express Data Security Operating Policy.



* Hoewel kaartaccepterende bedrijven op niveau 3 geen validatiedocumenten hoeven in te leveren, dienen zij wel compliant met alle andere bepalingen van de Data Security Operating Policy te zijn. Bekijk de American Express Data Security Operating Policy (PDF).

Alle kaartaccepterende bedrijven dienen compliant te zijn met de American Express Data Security Operating Policy, inclusief de Payment Card Industry Data Security Standard. Bovendien dienen sommige kaartaccepterende bedrijven mogelijk aanvullende maatregelen te nemen om de gegevensbeveiliging te garanderen.

Stap 1: bepaal het niveau van uw kaartaccepterende bedrijf en de compliance-vereisten. Raadpleeg (als u dat nog niet heeft gedaan) de tabel met niveaus kaartaccepterende bedrijven om te bepalen tot welk niveau uw bedrijf behoort.
Afhankelijk van de vereisten wordt u mogelijk gevraagd een van de volgende documenten of beide documenten te verstrekken:

Validatiedocumenten van de jaarlijkse on-site beveiligingsaudit

De jaarlijkse on-site beveiligingsaudit is een gedetailleerd on-site onderzoek van de apparatuur, de systemen en de netwerken (en de componenten ervan) van het kaartaccepterende bedrijf waarop gegevens van kaarthouders worden verwerkt, opgeslagen en verzonden.

Validatiedocumenten van de driemaandelijkse netwerkcontrole

De driemaandelijkse netwerkcontrole is een procedure waarbij de met het internet verbonden computernetwerken en internetservers van een kaartaccepterend bedrijf op mogelijk zwakke en kwetsbare punten worden getest. Deze netwerkcontrole dient op afstand te worden uitgevoerd door een externe beveiligingsauditor die door American Express wordt geaccepteerd.

Stap 2: zodra u aan deze vereisten voldoet, dient u de validatiedocumenten zoals beschreven in de Data Security Operating Policy in de vereiste bestandsindeling op cd naar het volgende adres op te sturen:

American Express Data Security Unit
PO Box 54886
Londen
SW1W 0YW
Groot-Brittannië

Boetes voor non-compliance en beëindiging van de overeenkomst voor acceptatie van de American Express kaart

Kaartaccepterende bedrijven lopen het risico op boetes als ze niet kunnen aantonen dat ze compliant met dit beleid zijn. Mogelijk wordt hun overeenkomst voor acceptatie van de American Express kaart op grond hiervan beeindigd.

Verplichting om American Express op de hoogte te brengen

Als u als dienstverlener weet of vermoedt dat er zonder autorisatie toegang tot gegevens van kaarthouders is verkregen of als deze gegevens zonder autorisatie zijn gebruikt, dient u zoals uiteengezet in de Data Security Operating Policy de volgende stappen te ondernemen:

  1. Breng American Express onmiddellijk op de hoogte.
  2. Werk samen met American Express en de auditors om een diepgaande audit van het incident uit te voeren.
  3. Verstrek alle relevante informatie en volg alle instructies van American Express met betrekking tot het incident op.

Als u vermoedt dat er gegevens van kaarthouders zijn gecompromitteerd, dient u contact op te nemen met uw vertegenwoordiger of met onze afdeling Kaartaccepterende Bedrijven via 020 504 8333.
U kunt als volgt vermijden dat u de bijkomende kosten van een gegevensincident dient te dragen:

  1. Breng American Express onmiddellijk op de hoogte als u weet of vermoedt dat er gegevens zijn gecompromitteerd.
  2. Zorg ervoor dat u volledig compliant met de American Express Data Security Operating Policy bent.
  3. Zorg ervoor dat het gegevensincident niet door onwettig gedrag van u of een van uw medewerkers of agenten is veroorzaakt.