Het onderzoek naar pci dss-standaarden en security is uit. Voor het tweede jaar op een rij blijkt uit het Verizon Payment Card Industry Compliance Report dat teveel bedrijven moeite hebben met het naleven van de beveiligingsstandaarden voor creditcardgegevens. Vertrouwelijke gegevens van consumenten komen in gevaar met diefstal en creditcardfraude als gevolg. Op zich niets nieuws, maar wel zorgwekkend. Tijd dat er wat aan gedaan wordt.
Het onderzoek naar pci dss-standaarden en security is uit. Voor het tweede jaar op een rij blijkt uit het Verizon Payment Card Industry Compliance Report dat teveel bedrijven moeite hebben met het naleven van de beveiligingsstandaarden voor creditcardgegevens. Vertrouwelijke gegevens van consumenten komen in gevaar met diefstal en creditcardfraude als gevolg. Op zich niets nieuws, maar wel zorgwekkend. Tijd dat er wat aan gedaan wordt.
Bedrijven slagen er niet in om voortdurend aan deze richtlijnen te voldoen, ondanks het feit dat ze hiermee strafmaatregelen riskeren zoals hoge boetes en een verhoging van de transactiekosten die creditcardbedrijven hen in rekening brengen. Tegelijkertijd staan bedrijven onder druk van partners en klanten om hun voortdurende naleving van de pci dss-standaard te bewijzen. De huidige situatie rondom compliance is niet verslechterd of verbeterd; het is nog steeds teleurstellend. Slechts 21 procent van alle bedrijven bleek tijdens de eerste audit volledig aan de pci-richtlijnen te voldoen. Mogelijke redenen zouden zelfvertrouwen, gemakzucht en de noodzaak om zich op andere nalevings- en beveiligingskwesties te concentreren kunnen zijn.
Bedrijven die niet voldoen aan de pci-richtlijnen maken een grotere kans om het slachtoffer te worden van identiteitsdiefstal en fraude. Nu blijkt dat bedrijven het vooral moeilijk vinden om opgeslagen creditcardgegevens te beschermen, toegang te controleren, systemen en processen regelmatig te testen en het leidende beveiligingsbeleid te handhaven. De in 2009 geïntroduceerde Prioritized Approach is speciaal ontwikkeld om bedrijven te helpen met het identificeren en reduceren van risico's, maar bedrijven verliezen belangrijke beveiligingsrisico's uit het oog die hen juist de grootste schade kunnen berokkenen. Malware en hacking zijn de meest gebruikte methoden om creditcardgegevens te stelen. Verschillende pci-standaarden bieden bescherming tegen dergelijke aanvalsmethoden.
Om bescherming te garanderen een aantal adviezen. Allereerst moet compliance in het allerdaagse meegenomen worden als onophoudelijk proces. Compliance betekent voortdurende naleving van de pci dss-richtlijnen. Dit betekent dat bedrijven hun logbestanden dagelijks moeten evalueren, de integriteit van hun bestanden wekelijks moeten bewaken, hun infrastructuur elk kwartaal op kwetsbaarheden moeten controleren en jaarlijkse penetratietests moeten uitvoeren. Een Ppcimanager aanstellen, helpt hierbij.
Voer zelf een uiterst nauwkeurige controle uit, of controleer zelf helemaal niets. Handelaars op niveau 1 en 2 die het hoogste aantal creditcardtransacties verwerken, mogen volgens de standaard zelf audits uitvoeren. Vanwege de talloze problemen en belangenverstrengelingen waartoe dit kan leiden, is het beter om een objectieve externe partij in te schakelen om de omvang van de audit te bepalen en/of de audit uit te voeren.
Tot slot, leg de lat hoger. In oktober 2010 kondigde de PCI Security Standards Council de introductie aan van versie 2.0 van de PCI DSS-standaard. Deze versie vereist een striktere managementsamenvatting en rechtvaardiging van de methodiek die is gehanteerd voor het bepalen van de auditomvang. Bedrijven die serieuze problemen hebben met de huidige standaard doen er daarom goed aan om zich snel klaar te stomen voor de nieuwe versie.
Over het rapport
Het rapport is gebaseerd op meer dan honderd PCI DSS-audits die in 2010 werden uitgevoerd door een team gekwalificeerde pci-consulenten. Het Verizon Risk Intelligence-team zette de onderzoeksresultaten vervolgens af tegen de bevindingen uit het 2011 Verizon Data Breach Investigations Report met als resultaat een rijkere en diepgaandere gegevensverzameling. De onderzoeksgegevens hebben betrekking op informatie die werd verkregen via bedrijven in de Verenigde Staten, Europa en Azië en vormen daarmee voor de eerste keer een neerslag van het mondiale karakter van de pci-standaard.
Het probleem met PCI is dat velen dit zien als de Holy Grail, maar het zou eigenlijk je basis van ict beveiliging al moeten zijn. Daarnaast zijn er zoveel do’s and don’ts in het gehele process van compliant worden, neem bijvoorbeeld maar een het onderwerp virtualisatie en/of Cloud.
Ik heb geen aandelen in dit boek, maar een hele praktische gids omtrent dit onderwerp is geschreven door Anton Chuvakin: PCI Compliance: Understand and Implement Effective PCI Data Security Standard Compliance