Spraakmakende datalekken hebben de betaalkaarten-branche gedwongen manieren te vinden om gebruikersgegevens beter te beschermen. Om dit doel te bereiken, werken verschillende grote spelers binnen de branche samen aan de ontwikkeling van een reeks standaarden die bekend staan als de Payment Card Industry Data Security Standard (PCI DSS).
Naleving van de PCI DSS is een vereiste voor iedere organisatie die creditcardtransacties verzendt, verwerkt of opslaat. Een belangrijk onderdeel hiervan is onder andere een driemaandelijkse interne PCI-kwetsbaarheidsscan. Deze kan zowel intern als door een externe partij zoals Secureworks worden uitgevoerd. Kwetsbaarheidsscans zijn geautomatiseerde tests die potentiële “zwakke plekken” in je infrastructuur opsporen en onder de aandacht brengen.
PCI-scans resulteren in PCI-kwetsbaarheidsrapporten. Dit is vergelijkbaar met een bouwtechnische keuring, een gedetailleerde lijst van problemen die zijn gevonden en maatregelen die moeten worden genomen. PCI-scans moeten niet worden verward met penetratietesten. Bij een penetratietest gedraagt een tester zich als een hacker, analyseert hij je netwerk, identificeert hij mogelijke kwetsbaarheden of coderingsfouten en probeert hij deze fouten te benutten om toegang tot je netwerk te krijgen. Een PCI-scan is een geautomatiseerde test die op aanvraag beschikbaar is en waarmee je een wekelijks, maandelijks of jaarlijks overzicht krijgt van je netwerkbeveiliging.
Weet je nog steeds niet zeker of je regelmatige PCI-scans nodig hebt? Laten we dan eens kijken naar PCI Compliance en wat het precies inhoudt.
Wat is PCI Compliance?
De PCI DSS is ontwikkeld om de veiligheidscontroles te verbeteren die betaalkaartgegevens beschermen tegen diefstal en misbruik. Elke organisatie die betaalgegevens verwerkt, is verplicht om aan de PCI DSS te voldoen. Bedrijven die niet voldoen aan de huidige PCI-vereisten lopen het risico op hoge boetes en sancties, het intrekken van vergunningen en zelfs het opschorten van rekeningen. PCI-normen blijven zich ontwikkelen; versie 3.2.1 werd in mei 2018 uitgebracht.
Voldoen aan de PCI DSS vereist een sterke focus op het beschermen van de persoonlijke informatie van je klanten. De standaarden verplichten je om niet alleen de primaire accountnummers (PAN) van de kaarthouder te beschermen, maar ook alle andere gegevens van de kaarthouder die worden opgeslagen, verwerkt of verzonden. Dit zijn gegevens zoals de naam van de kaarthouder, de vervaldatum en de servicecodes.
Naleving van de DSS-eisen is verplicht, ongeacht de grootte van je bedrijf of het aantal transacties per jaar. Zelfs als je de verwerking van betalingen uitbesteedt aan derden, kan het zijn dat je toch verplicht bent aan te kunnen tonen dat jouw PCI reporting op orde is. Met andere woorden, de veiligheid van consumentendata is aan jou, ongeacht of je de transacties zelf verwerkt of niet.
Voor wie geldt het?
Eigenlijk voor iedereen. PCI-vereisten gelden voor alle organisaties die gegevens van kaarthouders verzenden, verwerken of opslaan. Maar ook voor dienstverlenende organisaties die invloed hebben op de veiligheid van de gegevens van kaarthouders. Dit geldt zelfs voor organisaties die weinig transacties afhandelen en de betalingsverwerking uitbesteden. Er moeten beleidslijnen en procedures worden opgesteld die de gegevens van de kaarthouder in alle stadia beschermen – niet alleen wanneer je ze ontvangt, maar ook wanneer je terugboekingen en terugbetalingen verwerkt.
De PCI DSS-vereisten gelden voor handelaars overal ter wereld. Van oudsher is de handhaving in de VS strenger, maar in het Verenigd Koninkrijk en Europa neemt de handhaving toe, hetgeen wordt onderstreept door de invoering van de AVG. Naarmate meer landen strengere wetten invoeren over het melden van datalekken door klanten, zal wereldwijd het aantal organisaties dat voldoet aan de PCI ook toenemen.
PCI Compliance bepalen
PCI-scans helpen je te tonen dat je de mogelijkheden voor cybercriminelen om toegang te krijgen tot je kritieke it-middelen en gevoelige informatie hebt verholpen.
De vereisten voor PCI Compliance variëren afhankelijk van de omvang van je bedrijf – met name wat betreft het aantal betalingstransacties dat je elk jaar verwerkt. Handelaren moeten jaarlijks bewijzen dat zij voldoen aan de PCI en de eisen variëren afhankelijk van het aantal transacties dat jaarlijks wordt verwerkt en het merk van de betaalkaart.
Organisaties die grote hoeveelheden transacties verwerken (zes miljoen per jaar voor handelaren; driehonderdduizend per jaar voor dienstverleners) moeten een jaarlijkse audit ondergaan, uitgevoerd door een Qualified Security Assessor (QSA) of door een werknemer die het PCI Internal Security Assessment Training Program heeft doorlopen.
Organisaties met minder transacties per jaar moeten een PCI Self-Assessment Questionnaire (SAQ) en een Attestation of Compliance invullen en deze documentatie vervolgens aan hun acquiring bank voorleggen. Bovendien hebben verschillende betaalkaartmerken verschillende compliance-eisen, dus organisaties moeten goed kijken naar wat er voor elk betaalkaartmerk op ieder organisatieniveau nodig is om er zeker van te zijn dat ze aan alle eisen voldoen.
Regelmatige PCI Compliance Scanning zorgt ervoor dat je op alle fronten klaar bent voor PCI DSS – ongeacht de grootte van je bedrijf of de unieke eisen die je bank stelt. Zo zorg je ervoor dat ook jouw bedrijf op een veilige manier omgaat met kaart- en transactiegegevens.
In een volgende blog ga ik dieper in op het belang van PCI Compliance en welke stappen organisaties gericht kunnen nemen om te kunnen voldoen aan de PCI DSS.
