Cyber Security Compliance - PCI DSS
Controleer of je voldoet aan de PCI DSS richtlijnen
De PCI DSS is een veiligheidsstandaard voor data van betaalkaarten. Wanneer er betalingen kunnen uitgevoerd worden met betaalkaarten is het aangeraden om aan de PCI DSS richtlijnen te voldoen. Deze richtlijnen informeren hoe kaart- en transactiegegevens veilig bewaard moeten worden. Als je gebruik maakt van een provider zoals Shopify voor je e-commerce is het ook aan te raden om na te gaan of deze voldoet aan de PCI DSS richtlijnen.
Om een uitgebreide bron over PCI-compliance te bieden, bevat dit artikel:
- Een gedetailleerd overzicht van PCI SSC-gegevensbeveiligingsnormen (samen met meerdere bronnen voor verdere beoordeling).
- De 12 vereisten van PCI DSS Compliance opgesomd en uitgelegd.
- Voordelen van PCI-compliance.
- Mogelijke tegenvallers van niet-conform zijn.
Een overzicht van PCI SSC-gegevensbeveiligingsnormen
In een poging om de beveiliging van betaalkaartgegevens te verbeteren, biedt de PCI Security Standards Council (SSC) uitgebreide standaarden en ondersteunend materiaal, waaronder specificatiekaders, tools, metingen en ondersteuningsbronnen om organisaties te helpen de veiligheid van kaarthouderinformatie te allen tijde te waarborgen. De PCI DSS is de hoeksteen van de raad, omdat het het noodzakelijke kader biedt voor het ontwikkelen van een compleet proces voor de beveiliging van betaalkaartgegevens dat preventie, detectie en passende reactie op beveiligingsincidenten omvat.
Tools en bronnen beschikbaar bij PCI SSC:
- Zelfbeoordelingsvragenlijsten om organisaties te helpen bij het valideren van hun PCI DSS-compliance.
- Vereisten voor PIN-transactiebeveiliging (PTS) voor apparaatverkopers en fabrikanten en een lijst met goedgekeurde PIN-transactieapparaten.
- Payment Application Data Security Standard (PA-DSS) en een lijst met gevalideerde betalingsapplicaties om softwareleveranciers en anderen te helpen bij het ontwikkelen van veilige betalingsapplicaties.
- Openbare middelen:
- Lijsten van gekwalificeerde beveiligingsbeoordelaars (QSA’s)
- Payment Application Qualified Security Assessors (PA-QSA’s)
- Erkende Scanning Vendors (ASV’s)
- Opleidingsprogramma Internal Security Assessor (ISA)
DE 12 VEREISTEN VOOR PCI DSS COMPLIANCE
1. GEBRUIK EN ONDERHOUD FIREWALLS
Firewalls blokkeren in wezen de toegang van buitenlandse of onbekende entiteiten die toegang proberen te krijgen tot privégegevens. Deze preventiesystemen zijn vaak de eerste verdedigingslinie tegen (kwaadaardige) hackers. Firewalls zijn vereist voor PCI DSS-compliance vanwege hun effectiviteit bij het voorkomen van ongeautoriseerde toegang.
2. JUISTE WACHTWOORDBEVEILIGING
Routers, modems, POS-systemen (point of sale) en andere producten van derden worden vaak geleverd met generieke wachtwoorden en beveiligingsmaatregelen die gemakkelijk toegankelijk zijn voor het publiek. Te vaak slagen bedrijven er niet in deze kwetsbaarheden te beveiligen. Het waarborgen van naleving op dit gebied omvat het bijhouden van een lijst van alle apparaten en software waarvoor een wachtwoord (of andere beveiliging) nodig is om toegang te krijgen. Naast een apparaat-/wachtwoordinventarisatie, moeten ook basisvoorzorgsmaatregelen en -configuraties worden uitgevoerd (bijvoorbeeld het wijzigen van het wachtwoord).
3. BESCHERM KAARTHOUDERGEGEVENS:
De derde vereiste van PCI DSS-compliance is een tweevoudige bescherming van kaarthoudergegevens. Kaartgegevens moeten worden versleuteld met bepaalde algoritmen. Deze versleuteling wordt uitgevoerd met versleutelingssleutels, die ook moeten worden versleuteld om te voldoen aan de voorschriften. Regelmatig onderhoud en scannen van primaire accountnummers (PAN) zijn nodig om ervoor te zorgen dat er geen onversleutelde gegevens bestaan.
4. ENCRYPTE VERZONDEN GEGEVENS
Kaarthoudergegevens worden via meerdere gewone kanalen verzonden (d.w.z. betalingsverwerkers, thuiskantoor van lokale winkels, enz.). Deze gegevens moeten worden versleuteld wanneer ze naar deze bekende locaties worden verzonden. Rekeningnummers mogen ook nooit naar onbekende locaties worden gestuurd.
5. GEBRUIK EN ONDERHOUD ANTIVIRUS
Het installeren van antivirussoftware is een goede gewoonte buiten PCI DSS-compliance. Antivirussoftware is echter vereist voor alle apparaten die communiceren met PAN en/of deze opslaan. Deze software moet regelmatig worden gepatcht en bijgewerkt. Uw POS-provider moet ook antivirusmaatregelen nemen als deze niet rechtstreeks kunnen worden geïnstalleerd.
6. JUIST BIJGEWERKTE SOFTWARE
Firewalls en antivirussoftware hebben vaak updates nodig. Het is ook een goed idee om elk stukje software in een bedrijf bij te werken. De meeste softwareproducten zullen beveiligingsmaatregelen bevatten, zoals patches om recent ontdekte kwetsbaarheden aan te pakken, in hun updates, die een ander niveau van bescherming toevoegen. Deze updates zijn met name vereist voor alle software op apparaten die communiceren met kaarthoudergegevens of deze opslaan.
7. BEPERK GEGEVENSTOEGANG
Gegevens van kaarthouders zijn strikt ‘need-to-know’. Alle medewerkers, leidinggevenden en derden die geen toegang tot deze gegevens nodig hebben, zouden deze niet moeten hebben. De rollen die gevoelige gegevens nodig hebben, moeten goed gedocumenteerd zijn en regelmatig worden bijgewerkt – zoals vereist door PCI DSS.
8. UNIEKE IDS VOOR TOEGANG
Individuen die wel toegang hebben tot kaarthoudergegevens moeten over individuele inloggegevens en identificatie beschikken om toegang te krijgen. Er mag bijvoorbeeld niet één keer worden ingelogd op de versleutelde gegevens waarbij meerdere werknemers de gebruikersnaam en het wachtwoord kennen. Unieke ID’s zorgen voor minder kwetsbaarheid en een snellere responstijd in het geval dat gegevens worden gecompromitteerd.
9. BEPERK FYSIEKE TOEGANG
Gegevens van kaarthouders moeten fysiek op een veilige locatie worden bewaard. Zowel gegevens die fysiek zijn geschreven of getypt als gegevens die digitaal worden bewaard (bijvoorbeeld op een harde schijf) moeten worden vergrendeld in een beveiligde ruimte, lade of kast. Niet alleen moet de toegang worden beperkt, maar elke keer dat de gevoelige gegevens worden geopend, moeten deze in een logboek worden bewaard om aan de voorschriften te blijven voldoen.
10. TOEGANGSLOGBOEKEN MAKEN EN ONDERHOUDEN
Voor alle activiteiten die te maken hebben met kaarthoudergegevens en primaire rekeningnummers (PAN) is een logboekinvoer vereist. Misschien wel het meest voorkomende probleem van niet-naleving is een gebrek aan goede administratie en documentatie als het gaat om toegang tot gevoelige gegevens. Compliance vereist dat u documenteert hoe gegevens uw organisatie binnenstromen en hoe vaak toegang nodig is. Softwareproducten om toegang te loggen zijn ook nodig om nauwkeurigheid te garanderen.
11. SCAN EN TEST OP KWETSBAARHEDEN
Alle tien de vorige nalevingsnormen hebben betrekking op verschillende softwareproducten, fysieke locaties en waarschijnlijk een paar werknemers. Er zijn veel dingen die defect kunnen raken, verouderen of menselijke fouten kunnen veroorzaken. Deze bedreigingen kunnen worden beperkt door te voldoen aan de PCI DSS-vereiste voor regelmatige scans en kwetsbaarheidstests.
12. DOCUMENTBELEID
De inventaris van apparatuur, software en medewerkers die toegang hebben, moet worden gedocumenteerd voor naleving. De logboeken van toegang tot kaarthoudergegevens vereisen ook documentatie. Ook moet worden gedocumenteerd hoe informatie uw bedrijf binnenstroomt, waar deze wordt opgeslagen en hoe deze wordt gebruikt na het verkooppunt.
VOORDELEN VAN PCI COMPLIANCE
Voldoen aan de PCI-beveiligingsnormen lijkt op zijn minst een ontmoedigende taak. Het doolhof van standaarden en vraagstukken lijkt veel voor grote organisaties, laat staan voor kleinere bedrijven. Maar compliance wordt steeds belangrijker en is misschien niet zo lastig als u denkt, vooral als u over de juiste tools beschikt.
Volgens PCI SSC zijn er grote voordelen verbonden aan naleving, vooral gezien het feit dat niet-naleving ernstige en langdurige gevolgen kan hebben. Bijvoorbeeld:
- PCI-compliance betekent dat uw systemen veilig zijn en dat uw klanten u kunnen vertrouwen met hun gevoelige betaalkaartinformatie; vertrouwen leidt tot klantvertrouwen en terugkerende klanten.
- PCI Compliance verbetert uw reputatie bij acquirers en betalingsmerken – precies de partners die uw bedrijf nodig heeft.
- PCI-compliance is een doorlopend proces dat helpt bij het voorkomen van beveiligingsinbreuken en diefstal van betaalkaartgegevens in het heden en in de toekomst; PCI-compliance betekent dat u bijdraagt aan een wereldwijde beveiligingsoplossing voor betaalkaartgegevens.
- Terwijl u probeert te voldoen aan PCI-compliance, bent u beter voorbereid om te voldoen aan aanvullende voorschriften, zoals HIPAA, SOX en andere.
- PCI Compliance draagt bij aan bedrijfsbeveiligingsstrategieën (ook al is het maar een startpunt).
- PCI-compliance leidt waarschijnlijk tot een verbetering van de efficiëntie van de IT-infrastructuur.
MOEILIJKHEDEN DOOR PCI NON-COMPLIANCE
PCI SSC wijst ook op potentieel rampzalige gevolgen van het niet voldoen aan PCI-compliance. Nadat u heeft gewerkt aan het opbouwen van uw merk en het beveiligen van klanten, mag u geen risico nemen met hun gevoelige informatie. Door te voldoen aan PCI Compliance beschermt u uw klanten zodat zij uw klanten kunnen blijven. Mogelijke resultaten van PCI Non-Compliance zijn onder meer:
- Gecompromitteerde gegevens die een negatieve invloed hebben op consumenten, verkopers en financiële instellingen.
- Ernstige schade toebrengen aan uw reputatie en uw vermogen om effectief zaken te doen, niet alleen vandaag, maar ook in de toekomst.
- Inbreuken op accountgegevens die kunnen leiden tot catastrofaal verlies van verkopen, relaties en reputatie in de gemeenschap; bovendien zien beursgenoteerde bedrijven vaak een lage aandelenkoers als gevolg van inbreuken op accountgegevens.
- Rechtszaken, verzekeringsclaims, geannuleerde rekeningen, boetes voor betaalkaartuitgevers en boetes van de overheid.
PCI-compliance kan, net als bij andere wettelijke vereisten, uitdagingen vormen voor organisaties die niet bereid zijn om te gaan met de bescherming van kritieke informatie. Maar het beschermen van gegevens is een veel beter beheersbare taak met de juiste software en services. Kies software voor het voorkomen van gegevensverlies die gegevens nauwkeurig classificeert en op de juiste manier gebruikt, zodat u gemakkelijker kunt rusten in de wetenschap dat uw kaarthoudergegevens veilig zijn.