Security, privacy and compliancy

Certifications & licensing

IT Security

Providing an online infrastructure for payments comes with great responsibility. Processing data is an important aspect for this infrastructure. Therefore, ensuring the availability, integrity and confidentiality of our infrastructure is one of our top priorities. This is done in order to ensure the business continuity of DDP and to minimize the risks by preventing security incidents and reducing their potential impact.

Our goal is to be as flexible and fast as possible in terms of delivering services to our -customers, while maintaining the highest standards in security and compliance (Jan Saan, CTO)

The goal of DDP’s Information Security is to protect your informational assets against all internal, external, deliberate or accidental threats. We aim to preserve confidentiality, integrity and availability of your data. This means that your data only should be accessed by those with the rights to view it, the data can be relied upon to be accurate and processed correctly and finally, that data can be accessed when needed.

In order to ensure IT security, DDP takes several measures:

In control

DDP has support personnel on-site 24/7. Our analysts are continuously monitoring security, performance and connections to suppliers and customers from our Network Operations Centre (NOC).

Validate and improve

DDP validates the results of monitoring the data to improve our infrastructure, coding practices, overall security & compliance and the effectivity of our monitoring processes.

Active, not reactive

DDP actively follows relevant changes in legal and compliance requirements, with extensive focus on, for instance, GDPR regulations. More about this can be read below.

Team effort

IT security is a high priority within DDP. Clear security guidelines are available and all employees are briefed on their responsibilities to continuously contribute to this. Furthermore, information security trainings are available for all colleagues.

General Data Protection Regulation (GDPR)

On May 25th 2018, the General Data Protection Regulation (GDPR) will come into effect, replacing current privacy regulations. By then, all companies handling personal data will need to adhere to the regulation and be able to demonstrate their compliance to the GDPR.

As a responsible processor and a responsible controller, DDP has embraced the principles that lie at the base of the GDPR. Moreover, we regularly revisit them to assure our compliance. We have all necessary tools in place to conform to the principle of accountability. Some examples are: a data controller register, data processor registers, and our specific Data Privacy Impact Assessment (DPIA). We follow data privacy principles in the development of all our services.

In addition, we have set up a GDPR compliance roadmap and took corrective actions where necessary. We updated our terms and conditions in April 2018 to comply with the upcoming GDPR and the processing of personal information by DDP. In updating our terms and conditions, DDP ensures that we provide you with a service that is compliant, and takes into account the latest regulations,techniques and functionalities in payments.

A secure and reliable online payment processing system

Your customers’ transactions are safe with CM Payments. We, as collecting payment service provider based in the Netherlands, comply with all safety rules and technologies for a secure online payment system. These safety rules were established by European financial institutions and De Nederlandsche Bank (the Dutch Central Bank).

As a collecting payment service provider, we are in possession of following licenses for our online payment system:

Verenigde Betaalinstellingen Nederland

De VBIN is de branchevereniging voor de in de Wet op het Financieel Toezicht (Wft) omschreven betaalinstellingen, elektronischgeldinstellingen (EGI’s) en ondernemingen die het bedrijf maken van betaaldienstverlening in Nederland in het algemeen.

Visa Europa

CM Payments is geregistreerd bij Visa Europa als Merchant Agent.

Betaalvereniging Nederland

De Betaalvereniging vervult een groot aantal collectieve, niet-competitieve taken binnen het Nederlandse betalingsverkeer. De Betaalvereniging stelt veiligheidseisen op voor het betalingsverkeer en certificeert marktpartijen in de betaalketen. Daarnaast houdt zij toezicht op de naleving van de regels en afspraken om de veiligheid en betrouwbaarheid van het betalingsverkeer te waarborgen en te verbeteren. De Betaalvereniging regisseert de fraudepreventie in de hele betaalketen, stelt fraudestatistieken op, analyseert deze en formuleert preventiebeleid. Daarnaast coördineert zij maatregelen die fraude moeten tegengaan.

Thuiswinkel Waarborg

Docdata is lid van Thuiswinkel Waarborg en voldoet daarmee aan een aantal belangrijke criteria op het gebied van financiële stabiliteit, veiligheid, wet- en regelgeving, en de gedragsregels van Thuiswinkel.org. Alle leden van Thuiswinkel Waarborg worden ieder jaar opnieuw gecertificeerd. Wanneer een organisatie persoonsgegevens verstrekt of een betaling doet op de website, moet dit via een beveiligde verbinding gebeuren. Leden van Thuiswinkel Waarborg hebben hun systemen up-to-date beveiligd tegen inbraak, virussen en andere aanvallen. Leden worden altijd op veiligheid van persoonsgegevens gescreend en geballoteerd.

Acceptant Payment Service Provider (APSP)

Een APSP (gecertificeerd Acceptant Payment Service Provider) is een tussenpersoon die bemiddelt tussen acceptanten en acquirers bij het afhandelen van pinbetalingen. Acceptanten zijn ondernemers en organisaties die pinbetalingen accepteren (ontvangen). Acquirers zijn partijen die pintransacties accorderen en afhandelen, zoals sommige banken en transactieverwerkers.

Waarom certificering?
CM Payments wikkelt pinbetalingen volledig af voor acceptanten, voor eigen risico en rekening, via één of meer acquirers. Een acceptant betaalt daarvoor een vergoeding aan de APSP en verwerkt de omzet die via pinbetalingen is gerealiseerd.

Gecertificeerd Acceptant Payment Service Provider
Om de rol van APSP in het betalingsverkeer te mogen vervullen, moet een APSP door de Betaalvereniging worden gecertificeerd. Hierbij wordt gecontroleerd of de APSP de gelden op een juiste en veilige wijze behandelen.

CM Payments is een gecertificeerd Acceptant Payment Service Provider (APSP) en heeft volledige toestemming om debit- en creditcard pinbetalingen te mogen verwerken.

Collecting Payment Service Provider (CPSP) licentie

CPSP staat voor een Collecting Payment Service Provider. De certificering houdt in dat de Payment Service provider is goedgekeurd door de Betaalvereniging en tevens een overeenkomst heeft gesloten met een door de betaalvereniging gelicenceerde Acquiring Bank voor het afnemen van iDEAL.

Payment Service Directive (PSD)

Collecterende payment service providers in Nederland hebben te maken met de “Payment Service Directive”, kortweg PSD. Dit is een richtlijn van het Europees Parlement en de Raad van de Europese Unie die voorziet in de harmonisering van de interne markt voor betaaldiensten. De PSD heeft als doelstelling pan-Europese mededinging in de betaaldienstverlening te bevorderen en voorziet in een vergunningenstelsel voor betaaldienstverleners. De PSD vergunning stelt specifieke eisen aan het risicobeheer en bijbehorende procedures voor ons als collecterende payment service provider. Daarbij staan wij onder toezicht van De Nederlandsche Bank.

PCI DSS Compliancy (Payment Card Industry Standard)

Deze afkorting staat voor Payment Card Industry Data Security Standard, welke is opgelegd door Visa en Mastercard. Deze richtlijnen zorgen ervoor dat creditcardgegevens op een veilige manier worden verwerkt en opgeslagen. Elk jaar controleren verschillende instanties onze werkwijze en systemen. Bij goedkeuring voorzien zij ons van een certificaat waarbij aangegeven wordt dat wij aan de hoogst mogelijke beveiligingsnormen voldoen voor online betaalsystemen. Eén van deze certificaten voor online betaalsystemen is een PCI DSS certificaat.