In het eerste deel van deze blogreeks (Hoe te beginnen aan PCI Compliance, 23 juli 2019) gaf ik een introductie tot PCI Compliance: wat deze inhoudt, voor wie zij geldt en hoe zij wordt bepaald. In dit deel vertel ik meer over de consequenties als bedrijven niet voldoen aan de PCI (Payment Card Industry) en welke stappen organisaties kunnen nemen om niet alleen te voldoen aan PCI DSS, maar ook hun algehele security-aanpak kunnen optimaliseren.
Er zijn tegenwoordig nog steeds organisaties die niet voldoen aan de PCI-standaarden (Payment Card Industry). Hierdoor lopen zij risico op datalekken, wat weer kan leiden tot een kostbare kettingreactie. Als de gegevens van gebruikers worden gestolen, zijn hun geld en kredietscores in gevaar. Ondertussen kan de onderneming te maken krijgen met boetes, verlies van goodwill en verplichte herstelwerkzaamheden omdat zij er niet in is geslaagd het gegevensverlies te voorkomen. Door de valkuilen omtrent PCI-compliance te mijden help je dus zowel jezelf als je klanten te beschermen tegen stijgende kosten, stress en ongemak. Om dit soort kosten, zowel materiële als immateriële, te vermijden, is het belangrijk om tijd te investeren in een uitgebreid beveiligingsprotocol dat PCI-standaarden bevat.
Boetes en sancties
Datalekken en non-compliance zorgen niet alleen voor slechte pr. Ze stellen ook je klanten bloot aan identiteitsdiefstal en kunnen leiden tot boetes en sancties. Boetes variëren van tweeduizend euro tot meer dan honderdduizend euro per maand voor schending van PCI-compliance. Daarnaast kunnen er extra boetes worden opgelegd voor herhaalde overtredingen, afhankelijk van je bank.
Naast de vooraf vastgestelde boetes, kunnen datalekken op den duur nog meer kosten met zich meebrengen. Als de kaarthoudergegevens van je klanten zijn gestolen, kan je ook te maken krijgen met fraudeschade door het gebruik van gestolen rekeningnummers door dieven. Het is mogelijk dat je de kosten voor het herverstrekken van gecompromitteerde kaarten voor je rekening moet nemen, plus de kosten van extra fraudepreventie of controle die de kaartverenigingen eisen. Dit soort kosten zijn niet altijd even hoog als grote datalekken, maar ze kunnen catastrofaal zijn voor kleine bedrijven en ongelegen komen voor grotere organisaties. Kortom, als je te maken krijgt met een lek, kan het moeilijk of zelfs onmogelijk zijn om hier ooit volledig van te herstellen.
Pas op voor tunnelvisie
Hoewel datalekken beangstigend zijn, moet je onthouden dat het niet de beste security-houding is om je op één specifiek aspect te concentreren. In de afgelopen jaren hebben veel grote bedrijven te maken gehad met cyberaanvallen, ondanks dat ze aan de PCI-eisen voldeden. Hoewel deze standaarden een extra bescherming bieden tegen datalekken, zal PCI DSS alleen je niet volledig beschermen. Maar als je beveiliging in de loop van de tijd een vaste prioriteit maakt, merk je waarschijnlijk dat de PCI-compliance vanzelf in orde komt.
Een instantie genaamd PCI Security Standards Council (SSC) is verantwoordelijk voor het ontwikkelen en bijhouden van PCI DSS-vereisten. Maar de handhaving wordt uitgevoerd door vijf creditcardmaatschappijen: Visa, MasterCard, American Express, JCB International en Discover. Elk merk heeft zijn eigen richtlijnen voor naleving en zijn eigen rapportage- en validatievereisten. Daarnaast hebben ze ieder hun eigen deadlines, merkspecifieke definities en straffen voor het niet naleven van de regels. Daarom is het cruciaal om rechtstreeks advies in te winnen bij de creditcardmaatschappijen om zeker te zijn dat alles onder controle is.
Hoe word ik PCI-compliant?
Als tijd en middelen beperkt zijn, is het voor organisaties moeilijk om een allesomvattende aanpak van kwetsbaarheden te implementeren dat eigenlijk een fundamenteel onderdeel van hun beveiliging zou moeten zijn. PCI-scanning geeft bedrijven meer inzicht in hun huidige kwetsbaarheden, biedt context van de risico’s en zorgt voor een actieplan om de gaten in de beveiliging te dichten.
Als je nog maar net begonnen bent met PCI-compliance, kan je veel informatie vinden op de website van de PCI Security Standards Council. Daar is informatie te downloaden, zoals een beginnershandleiding en een beknopte referentiegids.
Sommige organisaties stellen een team of taskforce samen om te voldoen aan de initiële compliance-eisen en ontbinden deze vervolgens na de certificering. Anderen schaffen nieuwe middelen of apparaten aan om aan bepaalde PCI-eisen te voldoen. Vervolgens laten ze na om deze te monitoren of te beheren nadat ze zijn geconfigureerd, wat ze onbruikbaar maakt tegen bedreigingen. Weer anderen stellen een document voor werknemersbeleid op maar werken dit nooit bij, ook al is er veel personeelsverloop. Of er wordt vanuit het management budget beschikbaar gesteld om compliant te worden, maar vervolgens geen geld vrijgemaakt om compliant te blijven. Vermijd al deze scenario’s!
Externe partijen zoals mijn werkgever kunnen op aanvraag scans uitvoeren van interne en externe netwerkapparaten, servers, webapplicaties, databases en andere systemen, zowel op locatie als in de cloud. Deze PCI-kwetsbaarheidsscans helpen om risicovolle veiligheidsgaten in je netwerk op te sporen en te voldoen aan je jaarlijkse compliance-eisen. Ze bieden ook toegang tot deskundigen wanneer je behoefte hebt aan meer informatie.
De lange termijn
Voortdurende oplettendheid is de beste verdediging tegen beveiligingsincidenten. Daarom is een vast team ideaal dat het beleid, de procedures en de algehele PCI-compliance regelmatig evalueert – niet slechts één keer per jaar. Ontwikkel een strategie voor PCI-compliance die past bij het bedrijf en rekening houdt met de algemene security-aanpak.
Vergeet niet dat PCI-compliance alleen niet volstaat om bedrijfsgegevens te beschermen tegen dure en tijdrovende cyberaanvallen. Een jaarlijkse beoordeling verliest zijn waarde als deze niet wordt gekoppeld aan voortdurende inspanningen om PCI-compliance te handhaven. Kwetsbaarheidsscans helpen de risico’s te verminderen, zorgen ervoor dat men compliant blijft en beschermen de apparaten en gegevens.
Met een duidelijk beveiligingsprogramma ben en blijf je niet alleen PCI-compliant. Je bent ook voorbereid om nieuwe en opkomende bedreigingen aan te pakken. Alleen door beproefde beveiligingscontroles te implementeren en te onderhouden, zal je bedrijf behalve compliant ook daadwerkelijk veilig zijn.
PCI compliance … zo fijn dat afkortingen hergebruikt worden binnen de ICT. Ik dacht bijna dat we een artikel kregen over Peripheral Component Interconnect compliance (de goede oude PCI compliant insteekkaarten)
De Payment Card Industry (PCI) Data Security Standard (DSS) is de zelfregulatie vanuit een branch. En deze norm voor gegevensbeveiliging is dan ook vooral gericht op het imago van een ecosysteem en houdt niet altijd rekening met de nieuwe GDPR normeringen voor de privacy.