Beveiliging is het product.

Handelaren vertrouwen Paybyrd twee zaken toe die moeilijk te herstellen zijn zodra zij beschadigd raken: hun geld onderweg en de kaartgegevens van hun klanten. Onze belofte is dat beide met meer zorg worden behandeld dan onze eigen zaken. Wij opereren onder toezicht van financiële toezichthouders, wij houden PCI DSS Level 1 — het hoogste niveau binnen de betaalkaartindustrie voor handelaren en dienstverleners — en wij behandelen kaarthoudergegevens als radioactief: zij worden door zo weinig mogelijk systemen, zo weinig mogelijk mensen en om zo weinig mogelijk redenen aangeraakt als de dienst toelaat.

Deze pagina omvat het volledige productielandschap van Paybyrds betaaldiensten: de publieke API's, het handelaarsdashboard, de POS-vloot en het ondersteunende platform waarop autorisaties, captures, restituties en webhook-aflevering draaien. Corporate IT en interne tooling vallen onder gelijkwaardig beleid, maar zijn buiten de reikwijdte van dit document.

De verplichtingen hieronder zijn geschreven om verifieerbaar te zijn. Elke uitspraak op deze pagina is iets dat wij bereid zijn te onderbouwen in een beveiligingsvragenlijst, een audit door een toezichthouder of een scheme-onderzoek.

Paybyrd stemt haar beveiligingsprogramma af op de kaders die ertoe doen binnen betalingsverkeer, in de EU en in de jurisdicties waarin wij actief zijn.

• PCI DSS Level 1 — gecertificeerd. Jaarlijks Report on Compliance elke 12 maanden vernieuwd door een onafhankelijke Qualified Security Assessor; driemaandelijkse ASV-scans op onze publieke ingress; attestatie beschikbaar voor handelaren onder NDA.
• ISO/IEC 27001 — informatiebeveiligingsmanagementsysteem in stand gehouden over het gehele platform; onafhankelijke certificering in uitvoering.
• SOC 2 Type II — rapport in voorbereiding, met een observatievenster van 12 maanden dat in 2026 is aangevangen; bridge letter op verzoek beschikbaar zodra het eerste rapport is uitgebracht.
• PSD2 — sterke cliëntauthenticatie. Authenticatiestromen implementeren SCA conform de RTS, met afhandeling van uitzonderingen (TRA, low-value, MIT) en 3-D Secure 2.x voor remote kaarttransacties.
• AVG / GDPR. Volledige afstemming met Verordening (EU) 2016/679 en de Nederlandse uitvoering; DPO aangesteld; verwerkingsregister bijgehouden; meldprocedure voor datalekken afgestemd op de artikelen 33 en 34 (zie Privacybeleid).
• NIS2. Waar de richtlijn van toepassing is op Paybyrd of een groepsentiteit, voeren wij een daarop afgestemd regime voor risicobeheer, toeleveringsketen en incidentrapportage.

Wij claimen geen certificeringen die wij niet houden. Wanneer een controle of certificering in uitvoering is, vermelden wij dit.

Het platform is zo ontworpen dat compromittering van een enkele component geen compromittering van de kaarthoudergegevens of het geldverkeer tot gevolg heeft.

• PAN-tokenisatie bij ingress. Primary Account Numbers worden getokeniseerd op het eerste systeem dat ze ziet; downstream-diensten houden en verzenden tokens, geen PAN. Detokenisatie is afgeschermd, geauditeerd en beperkt tot het minimale aantal processen dat deze nodig heeft.
• Versleuteling in transit. TLS 1.2+ afgedwongen op elk publiek endpoint (TLS 1.0 en 1.1 uitgeschakeld); HSTS met preload; uitsluitend moderne cipher suites; mTLS voor gevoelige service-to-service calls en voor partnerintegraties die dit vereisen.
• Versleuteling at rest. AES-256-versleuteling voor alle productiegegevensopslag, backups en snapshots; afzonderlijke encryptiedomeinen voor PCI-scoped gegevens.
• Sleutelbeheer. Cryptografische sleutels worden gegenereerd, opgeslagen en gebruikt binnen HSM-ondersteunde sleutelbeheerinfrastructuur; sleutelgebruik wordt gelogd; rotatie volgt een gepubliceerde cadans met procedures voor noodrekening.
• Netwerksegmentatie. Productie draait in geïsoleerde VPC's met private subnets, uitsluitend uitgaande NAT en geen inkomende internettoegankelijkheid voor compute. De PCI DSS-scope is een onderscheiden omgeving met eigen ingress, eigen identiteiten en eigen change-control.
• Onveranderlijke auditlogs. Beveiligingsrelevante gebeurtenissen — authenticatie, autorisatie, configuratiewijzigingen, gegevenstoegang — worden geschreven naar append-only opslag met manipulatiebestendige bewaring die geschikt is voor forensisch onderzoek.

Wie productie mag aanraken is even belangrijk als hoe productie is gebouwd.

• Minste rechten. Toegang wordt verleend via rolgebaseerde toegangscontrole, geprovisioneerd vanuit HR-systemen en gereviewd tegen de functie. De standaard is geen toegang.
• MFA met hardwaresleutel. Hardware security keys (WebAuthn / FIDO2) zijn verplicht voor elk productieraakvlak — SSO, cloud console, bastion hosts, deployment pipelines, administratieve tooling. Software-eenmalige codes worden voor productie niet geaccepteerd.
• Driemaandelijkse toegangsreviews. Elk productierecht wordt ten minste elke 90 dagen door de verantwoordelijke manager opnieuw gecertificeerd; verouderde toekenningen worden aan het einde van het reviewvenster automatisch ingetrokken.
• Just-in-time verhoging. Voor incidentrespons en zeldzame operationele taken wordt bevoorrechte toegang verkregen via tijdgebonden JIT-toekenningen met gedocumenteerde onderbouwing; permanente admin-rechten worden waar redelijkerwijs mogelijk vermeden.
• Sessieopname. Bevoorrechte shells worden sessiegericht opgenomen en bewaard voor forensische afspeling.
• Offboarding-SLA. Bij beëindiging of functiewijziging wordt productietoegang binnen één uur na het bepalende HR-event ingetrokken, ongeacht kantoortijden.

Aanvallen worden gedetecteerd door de controles die ze zien, niet door hoop.

• 24/7 SIEM-correlatie. Beveiligingstelemetrie van het platform, het cloud control plane, endpoints en identity providers wordt gecentraliseerd en in real time gecorreleerd; detectieregels dekken bekende aanvalstechnieken en zijn afgestemd op het eigen dreigingsmodel van Paybyrd.
• Anomaliedetectie. Authenticatiegebeurtenissen, transactiestromen en API-gebruikspatronen worden gemodelleerd op afwijking; afwijkend gedrag leidt tot geautomatiseerde containment en een menselijke review.
• On-call en pager-SLA. Een beveiligings-on-call beantwoordt Sev-1-pagers binnen 15 minuten, 24/7. Engineering-, platform- en fraude-on-calls worden parallel gepaged voor incidenten die domeinen overstijgen.
• SOC-bezetting. Monitoring wordt geleverd door een interne security operations-functie, ondersteund door een gekwalificeerde managed-detection partner voor dekking buiten kantooruren; overdrachtsrunbooks worden beoefend.

Problemen vroeg vinden is goedkoper dan ze later uitleggen.

• Externe penetratietests. Onafhankelijke pentests worden ten minste elk kwartaal uitgevoerd, waaronder de publieke API's, het handelaarsdashboard, het POS-landschap en het interne geauthenticeerde oppervlak. Bevindingen worden tot afsluiting gevolgd met een SLA-gebonden hersteltermijn.
• Continue SAST en DAST. Statische analyse en dynamische applicatiebeveiligingstests draaien bij elke deploy; pipelines blokkeren merges die kritieke bevindingen introduceren.
• Software composition analysis. Alle afhankelijkheden worden continu gescand tegen gezaghebbende CVE-feeds; kritieke patches worden uitgerold met een SLA van 7 dagen vanaf disclosure, korter bij waargenomen actieve exploitatie.
• Bug bounty. Paybyrd exploiteert een responsible disclosure-programma dat openstaat voor te goeder trouw handelende beveiligingsonderzoekers. Meldingen gaan naar security@paybyrd.com.
• Safe harbour. Onderzoek te goeder trouw binnen de scope van het programma is toegestaan en zal door Paybyrd niet worden beantwoord met juridische stappen. Onderzoekers die de scope respecteren, dienstdegradatie vermijden en geen gegevens exfiltreren of openbaar maken buiten hetgeen strikt noodzakelijk is om een bevinding te onderbouwen, vallen onder deze safe harbour.

Incidenten worden beoefend, niet geïmproviseerd.

• Classificatie. Incidenten worden getrieerd in vier severities — Sev-1 (betalingen systemisch geraakt, vermoeden van datalek, regelgevende blootstelling), Sev-2 (aanzienlijke degradatie zonder systemische impact), Sev-3 (lokale impact of enkele handelaar/partner), Sev-4 (beperkte impact, workaround beschikbaar).
• Meldplicht binnen 72 uur. Wanneer een inbreuk op persoonsgegevens de drempel van artikel 33 AVG haalt, meldt Paybyrd dit zonder onredelijke vertraging en, waar haalbaar, binnen 72 uur aan de bevoegde toezichthoudende autoriteit. Getroffen handelaren worden parallel geïnformeerd, zodat verwerkingsverantwoordelijken hun eigen verplichtingen kunnen nakomen; wanneer de inbreuk waarschijnlijk een hoog risico voor de betrokkenen oplevert, volgt de melding op grond van artikel 34 zonder onredelijke vertraging.
• Rapportage aan schemes en toezichthouders. Operationele-incidentrapporten aan kaartschemes en meldingen aan de financiële toezichthouder worden ingediend binnen de termijnen voorgeschreven door de toepasselijke regels.
• Maandelijkse IR-oefeningen. Het responsteam voert elke maand minstens één tabletop- of technische oefening uit, met een roterend scenarioset (ransomware, sleutelcompromittering, fraudegolf, uitval van derde partij).
• Publieke post-mortem. Voor elke Sev-1 die handelaren raakt, publiceert Paybyrd binnen een redelijke termijn een post-incident review op de statuspagina, met beschrijving van impact, hoofdoorzaak en herstelmaatregelen.

Gegevens worden behandeld volgens het beginsel dat het veiligste record is wat nooit werd verzameld, en het op één na veiligste record is wat al is vernietigd.

• Dataresidentie. Productiegegevens voor het betaalplatform worden standaard opgeslagen in de Europese Economische Ruimte (primaire regio: eu-central-1, Frankfurt). Doorgifte over grenzen vindt uitsluitend plaats met passende waarborgen uit artikel 46 en is gedocumenteerd in het Privacybeleid.
• Bewaring. Gegevens worden bewaard gedurende de termijnen die wettelijke, regulatoire en scheme-verplichtingen vereisen, zoals uiteengezet in het Privacybeleid. Bewaring wordt door automatisering gehandhaafd, niet door geheugen.
• Vernietiging. Aan het einde van de bewaartermijn worden gegevens vernietigd via cryptografische shredding — de encryptiesleutels die de gegevens beschermen worden in de HSM vernietigd, waardoor de ciphertext onherstelbaar wordt — naast logische verwijdering uit de opslag.
• Scheiding van omgevingen. Live- en sandboxomgevingen zijn strikt gescheiden: afzonderlijke netwerken, afzonderlijke identiteiten, afzonderlijke sleutels, afzonderlijke datasets. Productiegegevens worden niet gebruikt in sandbox of ontwikkeling.

Betalingen kunnen niet op pauze, en het platform is ontworpen om door te blijven functioneren wanneer componenten uitvallen.

• Multi-AZ deployment. Kernbetaaldiensten draaien over meerdere availability zones binnen een regio; het verlies van een enkele zone wordt verwacht en automatisch afgehandeld.
• Geautomatiseerde failover. Database-primaries, API-gateways en message brokers zijn geconfigureerd voor geautomatiseerde failover met routing op basis van health checks.
• RTO en RPO. Voor productiebetaaldiensten is het recovery-time objective ≤ 4 uur en het recovery-point objective ≤ 15 minuten voor een gebeurtenis op regionaal niveau die activering van het disaster-recoveryplan vereist.
• Tabletop-oefeningen. Plannen voor bedrijfscontinuïteit en disaster recovery worden ten minste elk kwartaal beoefend, waaronder ten minste één oefening met volledige scope per jaar die engineering, security, operations en klantgerichte functies omvat.