Gedragscode

Paybyrd wordt toevertrouwd met iets eenvoudigs en waardevols — het geld van anderen, terwijl het in beweging is. Deze Code beschrijft de standaarden die elke medewerker, opdrachtnemer, bestuurder en commissaris van Paybyrd dient te handhaven, ongeacht functie of werkplek.

Het is geen lijst regels omwille van de regels. Het weerspiegelt het gedrag dat wij verschuldigd zijn aan de merchants die met ons integreren, aan de kaarthouders en consumenten wier gegevens door onze systemen gaan, aan de toezichthouders en scheme-eigenaren aan wie wij verantwoording afleggen, en aan elkaar. Indien een keuze in de dagelijkse praktijk botst met deze Code, prevaleert de Code.

Deze Code staat naast de Merchant Terms & Conditions en het Privacybeleid van Paybyrd. Waar een specifiek beleid strenger is — bijvoorbeeld de PCI DSS-vereisten voor kaarthoudergegevens — prevaleert het specifieke beleid.

Vijf principes sturen elke beslissing die wij nemen:

• Merchant voorop. Ons product bestaat om het leven van merchants makkelijker en hun bedrijf sterker te maken. Als een beslissing Paybyrd helpt ten koste van de merchant, is het de verkeerde beslissing.
• Integriteit in elke transactie. Wij zijn eerlijk in tarieven, nauwkeurig in rapportage en duidelijk over wat wij wel en niet kunnen. Wij beloven niet wat wij niet kunnen leveren.
• Beveiliging als standaard. Kaarthouder- en merchant-gegevens worden als radioactief behandeld. Toegang is strikt need-to-know; encryptie en logging staan altijd aan.
• Transparante omgang. Tarieven, contracten, beleid en systeemstatus worden gepubliceerd, niet verborgen. Wijzigingen worden aangekondigd, nooit verrast.
• Verantwoording. Fouten worden erkend, gedocumenteerd en opgelost. Bijna-incidenten worden gedeeld, niet begraven. Ieder kwartaal beoordeelt het leiderschapsteam de toepassing van deze Code.

Paybyrd opereert onder toezicht van financiële-dienstverleningstoezichthouders in de markten waar wij actief zijn. Compliance is geen afdeling — het is een operationele randvoorwaarde die bepaalt wat wij bouwen en hoe wij ons gedragen.

Van iedere medewerker en opdrachtnemer van Paybyrd wordt verwacht dat hij of zij, op werkbaar niveau, de voor de functie relevante verplichtingen begrijpt, waaronder:

• Payment Services Directive (PSD2) en opvolgers — strong customer authentication, open banking-interfaces, termijnen voor geschillen.
• PCI DSS Level 1 — de Payment Card Industry Data Security Standard, die regelt hoe kaarthoudergegevens worden opgeslagen, verwerkt en verzonden door onze systemen.
• AVG / GDPR (EU) 2016/679 — rechtsgronden voor verwerking, rechten van betrokkenen, meldplicht datalekken, waarborgen voor grensoverschrijdende doorgifte.
• Witwasbestrijding en bestrijding van terrorismefinanciering — Wwft (Nederland) en gelijkwaardige regimes in de EU.
• Scheme-regels gepubliceerd door Visa, Mastercard, American Express, Discover en andere kaartnetwerken, zoals periodiek bijgewerkt.
• Sanctieregimes — OFAC (VS), de geconsolideerde EU-sanctielijst, UK HMT en VN-Veiligheidsraadresoluties.

Waar een Paybyrd-medewerker kennis krijgt van een werkelijke of vermoede inbreuk op deze verplichtingen, dient hij of zij onmiddellijk het Compliance-team te informeren via compliance@paybyrd.com. Niet escaleren is op zichzelf een inbreuk op deze Code.

Merchants kiezen voor Paybyrd omdat zij geloven dat wij hen eerlijk behandelen. Wij eren dat vertrouwen op vijf concrete manieren:

• Prijzen zijn eerlijk. Wij publiceren onze tarieven. Wij voeren geen verborgen kosten, verrassingstoeslagen of onverklaarde aanpassingen van uitbetalingen in. Waar tarieven wijzigen, worden merchants schriftelijk met ten minste 30 dagen opzegtermijn geïnformeerd.
• Contracten zijn duidelijk. De Merchant Terms & Conditions zijn geschreven om gelezen te worden, niet om gedrag te verbergen. Materiële wijzigingen volgen de meldprocedure in de Terms.
• Geschillen worden opgelost, niet genegeerd. Chargebacks, technische incidenten en factureringsverschillen worden te goeder trouw onderzocht en beantwoord binnen de termijnen gepubliceerd in onze Service Level Agreement.
• Data dient de dienst. Merchant-gegevens worden gebruikt om de dienst te leveren, aan onze wettelijke verplichtingen te voldoen en (met toestemming) het product te verbeteren. Ze worden nooit verkocht.
• Klant-zichtbare oppervlakken zijn respectvol. Elke checkout, betaallink, terminalflow of chatbericht die Paybyrd raakt, draagt dezelfde standaard van eerlijkheid en duidelijkheid die wij van onszelf verwachten.

Paybyrd hanteert nultolerantie voor omkoping en corruptie, in welke vorm dan ook, in elke jurisdictie, ongeacht of de lokale praktijk het lijkt te tolereren.

Medewerkers en opdrachtnemers van Paybyrd mogen niet, direct of indirect:

• enig financieel of ander voordeel aanbieden, beloven, geven, vragen, afspreken te ontvangen of accepteren met het doel ongepast gedrag uit te lokken of te belonen;
• facilitation payments doen of aannemen — kleine niet-officiële betalingen om routinematig overheidsoptreden te versnellen — ook waar dergelijke betalingen lokaal informeel worden getolereerd;
• politieke bijdragen namens Paybyrd doen zonder voorafgaande schriftelijke goedkeuring van de CEO en CFO.

Geschenken en hospitality. Redelijke zakelijke hospitality hoort bij normaal commercieel verkeer. Het wordt ongepast wanneer het buitensporig, heimelijk of verplichtend is. Elk geschenk of hospitality met een waarde boven 150 € per persoon per jaar (geaggregeerd, per tegenpartij) dient vóór aanvaarding of aanbieding gemeld te worden bij het Compliance-team.

Paybyrd meldt zorgen over omkoping en corruptie via de kanalen beschreven in sectie 10 (Spreek vrijuit). Vergelding tegen een te goeder trouw gedane melding is op zichzelf een inbreuk op deze Code.

Een belangenconflict is elke situatie waarin een privébelang het oordeel dat wij Paybyrd of haar merchants verschuldigd zijn kan aantasten of lijkt aan te tasten. Wij beheren conflicten door ze vroeg te melden en ons waar nodig terug te trekken uit besluiten.

Medewerkers en opdrachtnemers van Paybyrd dienen schriftelijk aan hun leidinggevende en aan het People-team te melden:

• elk eigenaarschap, bestuurs- of adviesrol bij een concurrent, merchant, partner, leverancier, scheme-eigenaar of acquirer;
• nauwe familie- of persoonlijke relaties met iemand die bij een van de bovengenoemde werkt;
• externe betaalde arbeid die overlapt met de activiteiten van Paybyrd of tijd in beslag neemt die de verantwoordelijkheden bij Paybyrd wezenlijk raakt;
• elk persoonlijk financieel belang — direct of indirect — bij een transactie die Paybyrd overweegt aan te gaan.

Gemelde conflicten worden beheerd, niet automatisch verboden. Wat nooit aanvaardbaar is, is een verzwegen conflict.

Vertrouwelijke informatie — commerciële data van merchants, tarieven, pipelines, productroadmaps, PAN/CHD van klanten, authenticatiegeheimen — wordt uitsluitend op need-to-know-basis, uitsluitend binnen geautoriseerde systemen en uitsluitend voor het doel waarvoor deze is verzameld, behandeld.

Specifieke verplichtingen voor elke Paybyrd-medewerker:

• Nooit Primary Account Number (PAN)-gegevens opslaan, verzenden of verwerken buiten de PCI DSS-scoped omgeving. Bij twijfel Security Engineering raadplegen voordat de gegevens worden aangeraakt.
• Gegevens at-rest en in-transit versleutelen. TLS 1.1 en lager uitschakelen. Geheimen en toegangssleutels roteren volgens de gepubliceerde cadans.
• Door Paybyrd verstrekte apparatuur gebruiken voor Paybyrd-werk. Geen vertrouwelijke gegevens e-mailen naar persoonlijke accounts of kopiëren naar niet-goedgekeurde cloud-opslag.
• Elk vermoed beveiligingsincident — phishing-poging, verloren apparaat, onverwacht systeemgedrag, lekmelding van een leverancier — binnen één uur na kennisname melden bij het Security-team. Niet zelfstandig onderzoeken.
• Rechten van betrokkenen onder de AVG respecteren. Verzoeken om inzage, rectificatie, wissen en overdraagbaarheid worden doorgestuurd naar de Functionaris voor Gegevensbescherming op dpo@paybyrd.com.

Toegang tot productiesystemen wordt gelogd. Logs worden beoordeeld. Ongebruikelijke toegang wordt onderzocht.

Paybyrd concurreert op merites — prijs, betrouwbaarheid, beveiliging, dienstverlening, integratiesnelheid — en op niets anders.

• Geen mededingingsbeperkende afspraken. Wij maken geen afspraken, stilzwijgend of anderszins, met concurrenten over prijzen, klantverdeling, marktopdeling of bidrigging.
• Geen misbruik van dominantie. Waar Paybyrd sterk is in een corridor of verticaal, wordt die kracht niet gebruikt om merchants of partners van alternatieven af te sluiten.
• Respect voor intellectueel eigendom. Paybyrd bouwt verantwoord voort op open-source en gelicentieerde code en respecteert licentieverplichtingen. Wij eigenen ons geen bedrijfsgeheimen, technische documentatie of merchantlijsten van concurrenten toe.
• Waarheidsgetrouwe marketing. Publieke claims over prestaties, besparingen of uptime zijn gebaseerd op verifieerbare data. Vergelijkende claims over concurrenten worden feitelijk gecontroleerd vóór publicatie en op verzoek herzien.
• Geen marktmanipulatie. Medewerkers met toegang tot niet-openbare informatie over Paybyrd, haar investeerders of merchants handelen niet op basis van die informatie, tippen anderen niet en bespreken deze niet buiten de minimaal noodzakelijke kring.

Paybyrd verwacht dat iedereen met respect wordt behandeld, ongeacht functie, senioriteit, achtergrond, identiteit of overtuiging. Pesterij, intimidatie en discriminatie hebben geen plaats in onze kantoren, onze thuiswerkplekken, onze klantgesprekken, onze events of onze digitale kanalen.

• Non-discriminatie. Beslissingen over werving, beloning, promotie en toewijzing zijn gebaseerd op vaardigheid, bijdrage en passendheid — nooit op ras, huidskleur, etnische of nationale afkomst, geslacht, genderidentiteit of -expressie, seksuele geaardheid, religie, leeftijd, handicap, burgerlijke of gezinsstatus, of enig ander beschermd kenmerk.
• Geen intimidatie. Intimidatie omvat ongewenst seksueel gedrag, verbaal of fysiek, en elk vijandig of bedreigend gedrag dat een kwetsende omgeving creëert. Het wordt niet aanvaardbaar doordat de context sociaal of na werktijd is.
• Gezondheid en veiligheid. Fysieke werkplekken en thuiswerkregelingen zijn ontworpen om veilig te zijn. Veiligheidspunten worden direct aangekaart; zij zijn geen lage-prioriteit backlog-item.
• Middelengebruik. Medewerkers melden zich niet bij het werk — ook niet op videocalls — onder invloed van alcohol of drugs op een manier die het oordeelsvermogen of de veiligheid aantast.
• Sociaal en klant-gericht gedrag. Gedrag op Paybyrd-offsites, branche-evenementen en klantdiners wordt op dezelfde standaard gehouden als gedrag op kantoor.

Een Code is slechts zo sterk als de bereidheid van de mensen eronder om op te staan wanneer deze wordt overtreden. Paybyrd beschermt en moedigt melding te goeder trouw aan.

Waar melden. Zorgen over werkelijke of vermoede inbreuken op deze Code, op de wet of op intern beleid kunnen worden opgeworpen via een van de volgende kanalen, in oplopende orde van onafhankelijkheid:

• uw direct leidinggevende of diens leidinggevende;
• het People-team op people@paybyrd.com;
• het Compliance-team op compliance@paybyrd.com;
• de Functionaris voor Gegevensbescherming op dpo@paybyrd.com voor data-gerelateerde zorgen;
• de vertrouwelijke klokkenluiders-inbox speakup@paybyrd.com, die uitsluitend wordt gelezen door de Audit Committee en de DPO.

Geen represailles. Paybyrd tolereert geen represailles — ontslag, degradatie, uitsluiting, bedreiging of enige andere nadelige actie — tegen iemand die te goeder trouw een zorg opwerpt, aan een onderzoek deelneemt of weigert deel te nemen aan vermeend wangedrag. Represailles zijn op zichzelf een disciplinair feit.

Anonimiteit. Meldingen kunnen anoniem worden gedaan. Anonieme meldingen worden met dezelfde ernst onderzocht als niet-anonieme, met inachtneming van de praktische grenzen van handelen op informatie die niet bij de melder kan worden geverifieerd.

Externe rechten behouden. Niets in deze Code belet een Paybyrd-medewerker vermoed onrechtmatig gedrag te melden bij een toezichthouder, rechtshandhavingsinstantie of het Huis voor Klokkenluiders.

Paybyrd doet geen zaken met personen, entiteiten of jurisdicties onder sancties, en de mensen, producten en merchants die wij aan ons netwerk koppelen worden op die basis gescreend.

• Screening. Iedere merchant, principal en tegenpartij wordt bij onboarding en doorlopend gescreend tegen de OFAC-, geconsolideerde EU-, UK HMT- en VN-sanctielijsten. Hits worden geëscaleerd naar het Compliance-team en afgewikkeld of afgewezen voordat de dienstverlening doorgaat.
• Verboden jurisdicties. Paybyrd faciliteert bewust geen betalingen van of naar jurisdicties die onderworpen zijn aan alomvattende sancties (Cuba, Iran, Noord-Korea, Syrië en de niet door de overheid gecontroleerde regio's van de Krim, Donetsk, Cherson, Loehansk en Zaporizjzja), en beperkt activiteit in gedeeltelijk gesanctioneerde jurisdicties in lijn met het toepasselijke regime.
• Leveranciersstandaarden. Elke leverancier of partner met toegang tot Paybyrd-systemen, merchant-gegevens of kaarthoudergegevens is onderworpen aan due diligence, een schriftelijke overeenkomst met bepalingen over gegevensbescherming en beveiliging, en een beoordelingscadans die in verhouding staat tot het risicoprofiel. Leveranciers van materiële diensten worden genoemd in de Paybyrd Terms & Conditions.
• Uitbestedingstoezicht. Waar Paybyrd een dienst uitbesteedt, blijft de verantwoordelijkheid voor het resultaat bij Paybyrd. Uitbesteed werk wordt bewaakt volgens dezelfde standaarden die Paybyrd voor zichzelf hanteert.

Deze Code wordt beheerd door het Compliance-team van Paybyrd, met sponsorship op bestuursniveau. De CEO en de Chief Compliance Officer zijn gezamenlijk verantwoordelijk voor de praktische toepassing.

Training. Iedere Paybyrd-medewerker voltooit tijdens de onboarding initiële Code-of-Conduct-training en jaarlijks daarna herhalingstraining. Functie-specifieke training (PCI DSS, AML/CFT, sancties) komt naast — niet in plaats van — deze basis.

Gevolgen van inbreuken. Inbreuken op deze Code worden afgehandeld via het disciplinair proces van Paybyrd, proportioneel aan de ernst en de context van de inbreuk. Gevolgen lopen uiteen van herstelplannen tot beëindiging van het dienstverband of de opdracht. Bepaalde inbreuken — waaronder omkoping, datadiefstal, ernstige intimidatie en sanctielijst-overtredingen — zijn gronden voor onmiddellijke beëindiging en kunnen worden gemeld aan rechtshandhavings- of toezichthoudende autoriteiten.

Jaarlijkse herziening. Deze Code wordt ten minste één keer per jaar herzien door het Compliance-team en bijgewerkt naarmate regelgeving, scheme-regels en onze eigen onderneming evolueren. Materiële updates worden aan alle medewerkers gecommuniceerd en gepubliceerd op paybyrd.com/nl/code-of-conduct.

Vragen. Iedere medewerker, merchant, partner of lid van het publiek met een vraag over deze Code, een zorg te uiten of een situatie waarover twijfel bestaat kan schrijven naar compliance@paybyrd.com. Het Compliance-team zegt toe binnen vijf werkdagen een inhoudelijke reactie te geven.