Certificeringen voor Beveiliging en Naleving:

Aangezien Billtrust een cloud service provider (CSP) is waarmee klanten hun producten en diensten uitbesteden, voeren we jaarlijks een SSAE 18 SOC 1 Type 2 en SOC 2 Type 2 audit uit.  Onze audits worden uitgevoerd door een geaccrediteerde, onafhankelijke derde.

Een SOC 1-audit evalueert de effectiviteit van de interne controles van een CSP die van invloed zijn op de financiële rapporten van een klant die de cloudservices van de provider gebruikt. De Statement on Standards for Attestation Engagements (SSAE 18) is de norm waaronder de audit wordt uitgevoerd en vormt de basis van het SOC 1-rapport.

Een SOC 2-audit meet de effectiviteit van het systeem van een CSP, gebaseerd op de AICPA Trust Service Criteria. Een attestopdracht onder atteststandaarden (AT) sectie 101 vormt de basis van het SOC 2-rapport.  Billtrust neemt op zijn minst Beveiliging, Vertrouwelijkheid en Beschikbaarheid op in de SOC 2-audit.

De Payment Card Industry (PCI) Data Security Standards (DSS) is een wereldwijde informatiebeveiligingsstandaard die is ontworpen om fraude te voorkomen door meer controle over creditcardgegevens. Organisaties van elke omvang moeten de PCI DSS-normen volgen als ze betaalkaarten accepteren van de vijf belangrijkste creditcardmerken: Visa, MasterCard, American Express, Discover en het Japan Credit Bureau (JCB). Naleving van PCI DSS is vereist voor elke organisatie die betalings- en kaarthoudergegevens opslaat, verwerkt of verzendt.

Billtrust voltooit jaarlijks een PCI DSS-beoordeling met behulp van een goedgekeurde Qualified Security Assessor (QSA). De beoordeling wordt afgesloten met een Attestation of Compliance (AoC) en Report on Compliance (RoC) uitgegeven door de QSA. De effectieve periode voor naleving is prospectief en begint na het slagen voor de audit en het ontvangen van de AoC van de beoordelaar, en eindigt een jaar na de datum waarop de AoC is ondertekend. Billtrust is gecertificeerd als compliant onder PCI DSS versie 3.2.1 op Service Provider Niveau 1.

Klanten die gebruik maken van de producten en diensten van Billtrust, met PCI-naleving, hebben aanzienlijk minder werk, kosten en inspanningen bij hun eigen PCI-nalevingscontrole.

Billtrust is een compatibele dienstverlener op lijsten met door VISA goedgekeurde dienstverleners.

De Health Insurance Portability and Accountability Act (HIPAA) is een Amerikaanse gezondheidswet die eisen stelt aan het gebruik, de openbaarmaking en de bescherming van individueel identificeerbare gezondheidsinformatie. Het is van toepassing op bepaalde gedekte instanties — dokterspraktijken, ziekenhuizen, zorgverzekeraars en andere zorgbedrijven — met toegang tot de beschermde gezondheidsinformatie (PHI) van patiënten, evenals op zakenpartners, zoals cloudservice- en IT-providers die namens zulke instanties de PHI verwerken. (De meeste gedekte entiteiten voeren functies zoals claims of gegevensverwerking niet zelf uit; ze vertrouwen op zakenpartners om dit te doen.)

Billtrust is een zakenpartner voor enige klanten die gedekte entiteiten zijn.

De HIPAA-regelgeving vereist dat gedekte entiteiten en hun zakenpartners — dat wil zeggen Billtrust, bij dienstverlening aan gedekte entiteiten — contracten aangaan om ervoor te zorgen dat de zakenpartners de PHI adequaat beschermen. Zulke contracten, Business Associate Agreements (BAA's) genaamd, verduidelijken en beperken hoe de zakenpartner met de PHI kan omgaan, en stellen vast dat elke partij zich houdt aan de beveiligings- en privacybepalingen die zijn uiteengezet in HIPAA en de HITECH-wet. Momenteel is er echter geen officiële certificering voor naleving van de HIPAA- of HITECH-wet, maar Billtrust ondergaat jaarlijks een risicobeoordeling.

NACHA is de trustee van het ACH-netwerk en beheert de ontwikkeling, administratie en regels voor het betalingsnetwerk dat financiële instellingen in de VS universeel met elkaar verbindt. Het netwerk, dat geld en informatie rechtstreeks van de ene bankrekening naar de andere verplaatst, ondersteunt meer dan 90 procent van de de totale waarde van alle elektronische betalingen in de VS NACHA vergemakkelijkt de uitbreiding en diversificatie van elektronische betalingen, door directe storting en directe betaling via ACH-transacties te ondersteunen, inclusief ACH-krediet- en debetbetalingen; terugkerende en eenmalige betalingen; overheids-, consumenten- en zakelijke transacties; internationale betalingen; en betalingen plus betalingsgerelateerde informatie. De NACHA Operating Rules & Guidelines is een jaarlijkse publicatie van NACHA — The Electronic Payments Association.

Billtrust verwerkt ACH-betalingen namens onze klanten als zowel een externe dienstverlener als een externe afzender. Daarom voert Billtrust jaarlijks een onafhankelijke, externe audit uit van onze ACH-activiteiten, zoals vereist door de ACH-bedrijfsregels.

Billtrust voert jaarlijks een risicoanalyse uit voor Bedrijfscontinuïteit en Noodherstel. Onze plannen zijn gebaseerd op de NFPA1600-norm voor beheer van rampen/noodgevallen en bedrijfscontinuïteit/continuïteit van activiteiten (editie 2022).

Billtrust voert jaarlijks een risicoanalyse uit voor Bedrijfscontinuïteit en Noodherstel. Onze plannen zijn gebaseerd op de NFPA1600-norm voor beheer van rampen/noodgevallen en bedrijfscontinuïteit/continuïteit van activiteiten (editie 2022).

Billtrust heeft ook een pandemieplan dat jaarlijks wordt getest en met succes is geïmplementeerd tijdens de coronacrisis.  Meer dan 90% van het personeelsbestand van Billtrust vervulde met succes onze zakelijke functies en rollen terwijl ze op afstand werkten. Billtrust blijft dit hanteren als een doorlopende bedrijfsstrategie. 

Billtrust onderhoudt een gedocumenteerd anti-witwasprogramma (AML) dat is ontworpen om te voldoen aan de contractuele verplichtingen met sponsorbanken. Het doel van ons AML-programma is om het algemene kader vast te stellen voor de strijd tegen het witwassen van geld, terrorisme, corruptie en andere financiële misdaden, om het witwassen van geld en de financiering van terrorisme te voorkomen, en om hiertoe toegewijd personeel op te leiden in juridische en interne procedures. AML staat ook bekend als Know Your Customer (KYC), Customer Due Diligence (CDD) of Customer Identification Program (CIP).

We vertrouwen niet langer op het EU-VS-privacyschild om persoonsgegevens uit de EER en het VK over te dragen naar de VS, maar blijven de privacyschildprincipes toepassen op persoonsgegevens die we hebben ontvangen uit de EER en het VK. Billtrust handhaaft de certificaties volgens de EU-VS en Zwitsers-VS Privacyschild Frameworks.

ISO/IEC 27001:2013 is een beveiligingsnorm waarin best practices voor beveiligingsbeheer en beveiligingscontroles via een Information Security Management System (ISMS) formeel gespecificeerd zijn. Deze formele specificatie bepaalt de vereisten voor het implementeren, bewaken, onderhouden en continu verbeteren van een ISMS. Certificering volgens ISO/IEC 27001:2013 helpt Billtrust Collections (iController) en Order2Cash te voldoen aan tal van wet- en regelgeving met betrekking tot informatiebeveiliging. Deze certificering wordt uitgevoerd door onafhankelijke, externe auditors. Onze naleving van deze norm is het bewijs van onze toewijding aan informatiebeveiliging om de binnen onze organisatie verwerkte gegevens en informatie te beschermen.