Bedrijven die een clouddienst afnemen bij een aanbieder die aan de richtlijnen van de Payment Card Industry Data Security Standard (PCI DSS) voldoet, zijn er nog niet. Ze moeten toch nog steeds ervoor zorgen dat hun interne organisatie aan deze standaard voldoet. Het belang van PCI-compliance voor aanbieders van cloud computing-diensten wordt door hen onderschat.
Als de aanbieder van cloud computing-diensten aan de PCI-richtlijnen voldoet, ben je echter wel verzekerd van een omgeving met een aantoonbaar hoog beveiligingsniveau. Dit is met name van belang om de transparantie van je cloud-omgeving te garanderen. Voordat je de cloud tot het verlengstuk van de organisatie maakt, wil je immers eerst over concrete informatie en selectiecriteria beschikken. PCI DSS-compliance vormt een belangrijke stap op weg naar dergelijke kwantificeerbare informatie. Maar wat betekent het nu precies als een cloud-aanbieder aan de PCI DSS-richtlijnen voldoet en welke waarde kan jouw organisatie hieraan ontlenen?
Aanbieders van cloud computing-diensten die PCI DSS compliance-niveau 1 bieden, hebben grondige voorbereidingen getroffen en hun cloud-omgeving uitvoerig getest om te waarborgen dat de technische infrastructuur en het beheer daarvan voldoen aan de beveiligingseisen van zakelijke klanten. Hun cloud-omgevingen worden daarnaast regelmatig gecontroleerd door een externe auditor. Vanwege de aard van hun omgeving zijn ze verantwoordelijk voor het dagelijkse toezicht op de beveiliging en moeten ze klanten volledige transparantie bieden. Als een cloud-aanbieder voldoet aan de richtlijnen van PCI DSS, betekent dit dat de volgende maatregelen worden getroffen:
• jaarlijkse penetratietests
• driemaandelijkse scans op kwetsbaarheden door een erkende auditor.
• controle van de architectuur op een juiste scheiding tussen klantomgevingen.
• beoordelingen van de configuratie van hypervisors en virtuele switches binnen virtuele omgevingen.
• het verzamelen van logbestanden en garanderen van hun controleerbaarheid.
• authenticatie.
• het definiëren en documenteren van processen en procedures.
Elk van deze maatregelen is een taak op zich. Aanbieders van cloud computing-diensten mogen hun aandacht op deze gebieden geen seconde laten verslappen.
Bedrijven die naar de cloud overstappen zijn afhankelijk van de architectuur, beveiliging en governance-processen die ten grondslag liggen aan de omgeving van hun cloud-aanbieder. Als uw onderneming dient te voldoen aan de richtlijnen van PCI DSS of de overheid, moet je nagaan of jouw cloud-aanbieder in staat en bereid is om er voortdurend op toe te zien dat er aan al deze eisen wordt voldaan. Hiervoor is het nodig dat de cloud-omgeving op effectieve wijze wordt beheerd, dat er regelmatig pentests worden uitgevoerd en dat er voortdurend op kwetsbaarheden wordt gescand. Je cloud-aanbieder moet daarnaast een compliance-rapport bijhouden en klanten de gelegenheid bieden om audits op locatie uit te voeren. Als er aan deze eisen wordt voldaan, kun je je netwerk op veilige wijze uitbreiden naar de cloud, zonder concessies aan het interne beveiligingsbeleid.
Voor zover ik me nog kan herinneren was het onze eigen DNB die richtlijnen heeft gemaakt ten aanzien van bescherming en beveiliging van “risicovolle (financiële) transacties”. Iedere (Nederlandse) bank moet zich als een “goed huisvader” gedragen als het gaat om dergelijke transactie en onderliggende gegevens. Ik betwijfel dan ook ten zeerste dat grootschalige financiële transacties volledig in de Cloud zullen plaatsvinden. Ook niet als daar garanties voor worden geboden. Wellicht dat door de EU op termijn andere eisen/richtlijnen zullen komen die de Cloud voor financiële instellingen wel openstelt maar daar zal het laatste nog niet over gezegd zijn.
En wat gebeurt er als er een aanval (hack) komt op een dergelijke (financiële) Cloud omgeving? Dan stopt de malaise niet bij de agrarische sector in het geval van een EHEC uitbraak, maar kan een heel land in de problemen komen en mogelijk de gehele economie van een land worden lam gelegd.