Veiligheid, privacy en compliance

Certificeringen & licenties

IT-beveiliging

Het aanbieden van infrastructuur voor betalingen brengt een grote verantwoordelijkheid met zich mee. Het verwerken van data is een belangrijk aspect van deze infrastructuur. Eén van onze topprioriteiten is dan ook het zorgen voor beschikbare, degelijke en beveiligde infrastructuur. Hiermee waarborgen wij de bedrijfscontinuïteit van CM Payments. We minimaliseren risico’s door veiligheidsincidenten te voorkomen en door de potentiële impact daarvan te minimaliseren.

Ons doel is om onze diensten zo flexibel en snel mogelijk aan klanten te leveren, terwijl we het hoogste niveau in beveiliging en compliance handhaven. (Jan Saan, CTO)

Het doel van onze informatiebeveiliging is om data te beschermen tegen alle opzettelijke of onbewuste dreigingen uit interne en externe omgevingen. Wij behandelen je data vertrouwelijk, zijn integer en zorgen ervoor dat de data toegankelijk zijn. Dit betekent dat jouw data zorgvuldig en correct worden verwerkt, dat jouw data uitsluitend toegankelijk zijn voor mensen die de rechten daartoe hebben en dat de data op ieder moment beschikbaar zijn.

CM Payments heeft verschillende maatregelen getroffen om de IT-beveiliging te waarborgen:

Controle hebben en houden

CM Payments heeft een supportafdeling die 24/7 bereikbaar is. Onze analisten monitoren vanuit ons Network Operations Centre (NOC) de beveiliging, prestaties en verbindingen van en naar onze leveranciers en klanten.

Valideren en verbeteren

CM Payments valideert de resultaten van de monitoring om onze infrastructuur, de codeermethoden, de algehele beveiliging en de compliance te verbeteren en om de effectiviteit van ons monitoringsproces te vergroten.

Actief, niet reactief

CM Payments volgt actief de relevante wijzigingen op m.b.t. wettelijke en compliance-eisen. Zo leggen we een uitgebreide focus op bijvoorbeeld de regelgeving omtrent AVG. (Zie informatie hieronder).

Teamprestatie

IT-beveiliging is één van de topprioriteiten binnen CM Payments. We hebben duidelijke veiligheidsregels en alle werknemers zijn ingelicht over hun eigen verantwoordelijkheden om bij te dragen aan deze beveiliging. Alle medewerkers volgen tevens een training over informatiebeveiliging.

Algemene verordening gegevensbescherming (AVG)

Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming van kracht. De AVG heeft de tot dan toe geldende privacyrichtlijn vervangen. Dit betekent dat alle bedrijven en organisaties die persoonsgegevens verwerken zich aan de verordening dienen te houden en naleving van de AVG moeten kunnen aantonen.

CM Payments heeft, als verantwoordelijke verwerker en controller, de beginselen die aan de basis van de AVG liggen omarmd. We controleren regelmatig of we nog voldoen aan de eisen. We hebben alle benodigde tools om te voldoen aan de eisen en onze verantwoordelijkheid te nemen. Zo houden we data processor registers bij en een data controler register en voeren we gegevensbeschermingseffectbeoordelingen uit. We houden ons aan de beginselen van gegevensprivacy bij de ontwikkeling van al onze diensten en producten.

We hebben in aanvulling hierop een AVG compliance roadmap ontwikkeld en waar nodig correctieve acties genomen. In april 2018 hebben we onze voorwaarden geüpdatet om te voldoen aan de AVG. Met het updaten van onze voorwaarden garandeert CM Payments dat we je voorzien van een service die voldoet aan de eisen en die rekening houdt met de laatste regels, technieken en functionaiteiten binnen payments.

Een veilig en betrouwbaar online betalingsverwerkingssysteem

CM Payments zorgt ervoor dat de transacties van jouw klanten veilig worden verwerkt. Wij zijn een in Nederland gevestigde payment service provider en we voldoen aan alle veiligheidseisen voor een veilig online betalingssysteem. Deze veiligheidsregels zijn vastgesteld door Europese financiële instellingen en De Nederlandsche Bank.

Wij zijn als payment service provider in het bezit van de volgende licenties voor ons online betalingssysteem:

Verenigde Betaalinstellingen Nederland

De VBIN is de branchevereniging voor de in de Wet op het Financieel Toezicht (Wft) omschreven betaalinstellingen, elektronischgeldinstellingen (EGI’s) en ondernemingen die het bedrijf maken van betaaldienstverlening in Nederland in het algemeen.

Visa Europa

CM Payments is geregistreerd bij Visa Europa als Merchant Agent.

Betaalvereniging Nederland

De Betaalvereniging vervult een groot aantal collectieve, niet-competitieve taken binnen het Nederlandse betalingsverkeer. De Betaalvereniging stelt veiligheidseisen op voor het betalingsverkeer en certificeert marktpartijen in de betaalketen. Daarnaast houdt zij toezicht op de naleving van de regels en afspraken om de veiligheid en betrouwbaarheid van het betalingsverkeer te waarborgen en te verbeteren. De Betaalvereniging regisseert de fraudepreventie in de hele betaalketen, stelt fraudestatistieken op, analyseert deze en formuleert preventiebeleid. Daarnaast coördineert zij maatregelen die fraude moeten tegengaan.

Thuiswinkel Waarborg

Docdata is lid van Thuiswinkel Waarborg en voldoet daarmee aan een aantal belangrijke criteria op het gebied van financiële stabiliteit, veiligheid, wet- en regelgeving, en de gedragsregels van Thuiswinkel.org. Alle leden van Thuiswinkel Waarborg worden ieder jaar opnieuw gecertificeerd. Wanneer een organisatie persoonsgegevens verstrekt of een betaling doet op de website, moet dit via een beveiligde verbinding gebeuren. Leden van Thuiswinkel Waarborg hebben hun systemen up-to-date beveiligd tegen inbraak, virussen en andere aanvallen. Leden worden altijd op veiligheid van persoonsgegevens gescreend en geballoteerd.

Acceptant Payment Service Provider (APSP)

Een APSP (gecertificeerd Acceptant Payment Service Provider) is een tussenpersoon die bemiddelt tussen acceptanten en acquirers bij het afhandelen van pinbetalingen. Acceptanten zijn ondernemers en organisaties die pinbetalingen accepteren (ontvangen). Acquirers zijn partijen die pintransacties accorderen en afhandelen, zoals sommige banken en transactieverwerkers.

Waarom certificering?
CM Payments wikkelt pinbetalingen volledig af voor acceptanten, voor eigen risico en rekening, via één of meer acquirers. Een acceptant betaalt daarvoor een vergoeding aan de APSP en verwerkt de omzet die via pinbetalingen is gerealiseerd.

Gecertificeerd Acceptant Payment Service Provider
Om de rol van APSP in het betalingsverkeer te mogen vervullen, moet een APSP door de Betaalvereniging worden gecertificeerd. Hierbij wordt gecontroleerd of de APSP de gelden op een juiste en veilige wijze behandelen.

CM Payments is een gecertificeerd Acceptant Payment Service Provider (APSP) en heeft volledige toestemming om debit- en creditcard pinbetalingen te mogen verwerken.

Collecting Payment Service Provider (CPSP) licentie

CPSP staat voor een Collecting Payment Service Provider. De certificering houdt in dat de Payment Service provider is goedgekeurd door de Betaalvereniging en tevens een overeenkomst heeft gesloten met een door de betaalvereniging gelicenceerde Acquiring Bank voor het afnemen van iDEAL.

Payment Service Directive (PSD)

Collecterende payment service providers in Nederland hebben te maken met de “Payment Service Directive”, kortweg PSD. Dit is een richtlijn van het Europees Parlement en de Raad van de Europese Unie die voorziet in de harmonisering van de interne markt voor betaaldiensten. De PSD heeft als doelstelling pan-Europese mededinging in de betaaldienstverlening te bevorderen en voorziet in een vergunningenstelsel voor betaaldienstverleners. De PSD vergunning stelt specifieke eisen aan het risicobeheer en bijbehorende procedures voor ons als collecterende payment service provider. Daarbij staan wij onder toezicht van De Nederlandsche Bank.

PCI DSS Compliancy (Payment Card Industry Standard)

Deze afkorting staat voor Payment Card Industry Data Security Standard, welke is opgelegd door Visa en Mastercard. Deze richtlijnen zorgen ervoor dat creditcardgegevens op een veilige manier worden verwerkt en opgeslagen. Elk jaar controleren verschillende instanties onze werkwijze en systemen. Bij goedkeuring voorzien zij ons van een certificaat waarbij aangegeven wordt dat wij aan de hoogst mogelijke beveiligingsnormen voldoen voor online betaalsystemen. Eén van deze certificaten voor online betaalsystemen is een PCI DSS certificaat.