Er zijn verschillende betaalveiligheidsnormen die eCommerce-retailers moeten adopteren om ervoor te zorgen dat ze een veilig betaalproces aanbieden. Certificeringsinstanties voor betaalveiligheid kunnen je compliance met deze normen controleren als je een kwaliteitszegel wilt verkrijgen om te laten zien hoe veilig je betaalproces is.
PCI DSS-standaard voor creditcardbetalingen
PCI DSS staat voor Payment Card Industry Data Security Standards. Dit zijn de betaalveiligheidsrichtlijnen die je moet volgen bij het verwerken van betalingen die met een creditcard worden gedaan. Verschillende creditcardmaatschappijen hebben samengewerkt om het PCI DSS-framework te ontwikkelen, met als doel een wereldwijde standaard te creëren om de gegevensbeveiliging te verhogen. Om slechts één voorbeeld te noemen: online retailers mogen de creditcardinformatie van hun klanten alleen opslaan als ze PCI DSS-gecertificeerd zijn.
Het is de verplichting van de retailer om regelmatig te bewijzen dat ze voldoen aan de veiligheidsrichtlijnen. Om PCI DSS-gecertificeerd te worden, moet je de volgende bewijzen van veiligheid leveren:
Jaarlijkse zelfbeoordeling: Dit omvat algemene informatie over je bedrijf, je relaties met andere bedrijven en technische details over hoe je creditcardinformatie verwerkt.
Kwartaalscans op kwetsbaarheden: Deze helpen om zwakke punten in je systemen of websites op te sporen die hackers toegang kunnen geven tot de creditcardgegevens van je klanten. Ze omvatten een evaluatie van je netwerkcomponenten, de besturingssystemen en applicaties die je gebruikt, en andere delen van je infrastructuur.
Jaarlijkse audits ter plaatse: De beveiligingsaudit ter plaatse is vooral gericht op grote bedrijven die miljoenen transacties per jaar afhandelen. Het omvat een inspectie van serverlocaties, interviews met werknemers, controle van procesdocumentatie en hardeningnormen, evenals een audit van systeemconfiguraties.
PSD 2
De Payment Services Directive 2 (PSD2) is een betaalveiligheidsnorm die voornamelijk van toepassing is op betalingen in EU/EER-valuta's. Het doel is de betaalveiligheid bij digitale transacties te verhogen en een grotere consumentenbescherming te waarborgen. Om te voldoen aan PSD2, hebben creditcardmaatschappijen Visa en Mastercard samengewerkt met de creditcardindustrie vereniging EMVCo om het 3-D Secure protocol te ontwikkelen. De nieuwste versie van het protocol, 3-D Secure 2, voldoet aan PSD2 en is van toepassing in alle EU-landen en Zwitserland.
Two-factor authentication: Sterkere betaalveiligheid voor je klanten
Onder PSD2 moeten alle online retailers die betalingen in EU/EER-valuta's accepteren, hun transacties beveiligen met Strong Customer Authentication (SCA), vanaf 1 januari 2021. Dit houdt het gebruik van two-factor authentication in, gebaseerd op minimaal twee van deze drie factoren:
Kennis: Iets dat alleen de klant weet, zoals hun wachtwoord
Bezit: Iets dat de klant fysiek in bezit heeft, zoals hun smartphone waarop ze een transactie-authenticatienummer (TAN) ontvangen
Inherentie: Een uniek persoonlijk kenmerk, zoals een vingerafdruk.
Voorbeeld: Als een klant wil betalen via bankoverschrijving, moeten ze eerst hun wachtwoord invoeren om toegang te krijgen tot hun online bankplatform. Daarna moeten ze hun identiteit bevestigen met gezichtsherkenning op hun smartphone voordat het betaalproces kan worden voltooid.
Aanvullende betaalveiligheid voor retailers
Two-factor authentication zorgt voor verhoogde betaalveiligheid, niet alleen voor consumenten, maar ook voor retailers. Het is een snelle, eenvoudige en kosteneffectieve manier om de identiteit van de gebruiker te verifiëren en het risico op fraude te verkleinen. PSD2 maakt transacties ook veiliger voor directe betaaldiensten zoals Giropay. Voor retailers zijn deze betaalmethoden vooral veilig, omdat:
De bestelling wordt onmiddellijk betaald en het betaalproces wordt direct geverifieerd. Dit stelt je in staat om de bestelling sneller te verwerken en te verzenden.
Klanten kunnen een geverifieerde betaling niet direct terugdraaien. Dit verkleint het risico op ingetrokken betalingen voor online retailers.
Een ander belangrijk aspect van verhoogde betaalveiligheid onder PSD2 is dat online retailers hun betaalprocessen zo kort en duidelijk mogelijk moeten houden. Als een klant door te veel stappen moet klikken, vormt dat een onnodige hindernis voor het voltooien van het afrekenproces.
Redelijke betaalopties
In veel landen, zoals Duitsland, zijn online winkels verplicht om ten minste één gangbare betaaloptie aan te bieden die kosteloos is. Deze vereiste is ook relevant voor de betaalveiligheid. De rechtbank van Frankfurt heeft geoordeeld dat de bankoverboekingsmethode Sofort niet als 'redelijk' kan worden geclassificeerd. Dat komt omdat het gebruikers verplicht hun banklogin gegevens, inclusief een PIN en TAN, in te voeren in een omgeving die buiten hun gebruikelijke online bankplatform ligt. Dit brengt een verhoogd risico op schending van de privacy van gegevens met zich mee. Als je veilige betaalmethoden in je shopsysteem wilt integreren, is het belangrijk om ook in de gaten te houden welke klantgegevens aan derden moeten worden overgedragen.
Met dat in gedachten, hier is een lijst van betaalmethoden die als gangbaar en redelijk worden beschouwd:
Koop nu, betaal later (betaling per factuur)
Vooruitbetalen (bijv. bankoverboeking)
SEPA-incasso
PayPal
Grote creditcards