7 inzichten voor veiligere creditcardbetalingen
— 28 oktober 2016Wie creditcardbetalingen verwerkt, krijgt te maken met strenge veiligheidseisen. De industriestandaard PCI DSS moet fraude met persoonsgegevens tegengaan. Wij delen enkele tips uit een roundtable die onlangs plaatsvond bij IT-dienstverlener Basefarm.
Eerder dit jaar trad de informatiebeveiligingsstandaard PCI DSS versie 3.2 in werking. Deze is door de vijf grootste creditcardmaatschappijen ter wereld (Visa, MasterCard, American Express, Discover en JCB) ontwikkeld en stelt bedrijven die persoonsgegevens voor betalingen verwerken verantwoordelijk voor de bescherming hiervan. Deze organisaties krijgen te maken met ruim driehonderd bepalingen, uitgebreide audits en ingrijpende consequenties bij non-compliance.
Basefarm, dienstverlener die zich richt op het beheer van bedrijfskritische applicaties, was onlangs gastheer voor een discussie over PCI DSS. De financiële risico’s voor bedrijven die niet compliant zijn, zijn groot. Zelfs als er bij hen maar het vermoeden van een datalek bestaat, volgt forensisch onderzoek waarvoor zij zelf de kosten betalen. Ondertussen loopt de omzet terug omdat het bedrijf geen betalingen mag verwerken, zijn er kosten voor het herstel én is sleutelpersoneel niet beschikbaar voor dagelijkse taken. Kortom: non-compliance is een regelrechte business killer.
PCI-compliant zijn is dus zeer belangrijk. Maar hoe? Enkele tips van Basefarm:
1. Verken de kloof
Een advies van Basefarm betreft de eerste stap in elk project voor bedrijven die PCI-compliant dienen te zijn. Dit is een assessment van de IT-omgeving, de procedures en de organisatie van alle processen waarbij medewerkers met persoonsgegevens werken. Dit maakt de kloof zichtbaar die zij moeten overbruggen om compliant te worden en de aanzet van een actieplan.
2. Benader het als een transformatieproces
Het implementeren van maatregelen voor PCI DSS is een veelomvattend transformatieproject. PCI DSS grijpt namelijk niet alleen in op de technologie, maar ook op mensen en processen. De impact is voelbaar in de volledige digitale stack van de organisatie. Dit betekent dat niet alleen technologie onder de loep komt te liggen, maar ook het managen van veranderingen in deze omgeving en het monitoren van alle processen en over hoe men communiceert.
3. Update het beleid
PCI DSS kent vele aspecten die een organisatie moet implementeren. Met meer dan driehonderd bepalingen is de laatste versie van de standaard bijzonder ingrijpend voor de documentatie van organisaties. Een advies is om huidige beleidsdocumenten één op één te vergelijken met de PCI-eisen. Dit geeft een beeld van bepalingen die de organisatie bijvoorbeeld zou moeten toevoegen aan de algemene voorwaarden voor klanten of in andere beleidsstukken
4. Streef naar verbetering – voortdurend
Sommige bedrijven zullen moeten veranderen als gevolg van PCI DSS. Niet voor het certificaat zelf – auditors maakt het immers niet uit hoe een bedrijf georganiseerd is, zolang deze maar werkt volgens de PCI-eisen – maar wel voor wat optimaal is voor het bedrijf. Deze moet immers rekening houden met budgetten, timeframes en de kwaliteit van de diensten. Om problemen voor te zijn en efficiënt te blijven zou eigenlijk het voortdurend aanbrengen van verbeteringen op organisatorisch en technisch niveau het uitgangspunt moeten zijn. Voor het implementeren van deze voortdurende verbeterslagen is een vast proces nodig waar medewerkers steeds weer op kunnen terugvallen.
5. Haal de discipline aan
In alle lagen van de organisatie moet een security awareness bestaan. Dit vertaalt zich onder meer naar een proces waarin veranderingen voortdurend gecheckt worden door verantwoordelijke (compliance) managers, en assessments volgen. Het aanbrengen van veranderingen in PCI-omgevingen vereist veel discipline. Logs moeten bijvoorbeeld chronologisch kloppen, wat vraagt om strikte controles op vaste momenten.
6. Stimuleer innovatie
Om de adoptie van PCI DSS soepel te laten verlopen, moet een bedrijf nieuwe tools en processen implementeren. Organisaties moeten innovatief zijn en nadenken over nieuwe manieren van werken. Bedrijven waar iedereen op ‘eilandjes’ werkt, zijn in het nadeel bij PCI DSS omdat zij minder flexibel zijn. organisaties daarentegen waar mensen aan verschillende projecten tegelijk werken, met uiteenlopende activiteiten en technologieën en waar korte communicatielijnen zijn naar het management vormen een goede voedingsbodem voor creativiteit. Dit zorgt voor de innovatiedrang die nodig is voor PCI DSS.
7. Investeer in flexibiliteit
PCI DSS schrijft op veel onderdelen tot in het kleinste detail voor aan bedrijven hoe zij systemen moeten inrichten. Ook in de toekomst zullen de creditcardmaatschappijen achter de standaard dit blijven doen. Recent kondigden zij bijvoorbeeld aan het verouderde netwerkprotocol TLS 1.0 te willen verbieden, wat op weerstand stuitte van banken met verouderde systemen. Een belangrijke les uit deze kwestie is: investeer in flexibele systemen om toekomstige eisen eenvoudig te kunnen implementeren.
Outsourcing kan een oplossing zijn
Veel bedrijven – waaronder veel kleine (e)retailers maar ook grote banken – kiezen voor outsourcing. Met name de infrastructuur en hun applicatieplatform zetten zij graag buiten de deur. Dit is niet alleen (kosten)efficiënt, maar maakt ook dat niet zij, maar de leverancier de verantwoordelijkheid draagt over PCI-compliance. Wel kiezen veel bedrijven er voor zelf de volledige controle over hun applicaties te behouden omdat zij zich hiermee differentiëren ten opzichte van de concurrentie. Voor dit deel blijven zij verantwoordelijk voor PCI DSS, maar de risico’s hiervan zijn lager dan wanneer zij verantwoordelijk zouden zijn voor alle systemen.
Lees meer over PCI DSS op de site van Basefarm.