PCI DSS: vereisten, boetes en stappen naar compliance

PCI DSS: vereisten, boetes en stappen naar compliance

PCI DSS is een cyberbeveiligingsstandaard die wordt ondersteund door alle grote creditcard- en betalingsverwerkingsbedrijven en die erop is gericht creditcard- en bankpasnummers veilig te houden. PCI DSS staat voor Payment Card Industry Data Security Standard. De standaard, die wordt beheerd door de Payment Card Industry Security Standards Council, stelt cyberbeveiligingscontroles en zakelijke praktijken vast die elk bedrijf dat creditcardbetalingen accepteert, moet implementeren. Bedrijven kunnen aantonen dat ze de standaard hebben geïmplementeerd door te voldoen aan de rapportagevereisten die in de standaard zijn vastgelegd; die organisaties die niet aan de eisen voldoen, of die de norm schenden, kunnen een boete krijgen.

 

Waar wordt PCI DSS voor gebruikt?

Creditcard- en bankpasnummers zijn waarschijnlijk de meest waardevolle cijfers achter elkaar: iedereen die er toegang toe heeft, kan onmiddellijk frauduleuze aankopen doen en geld van gebruikersaccounts halen. Omdat banken en andere creditcarduitgevers hun klanten in deze situaties over het algemeen terugbetalen, hebben zij er belang bij dat de creditcardnummers veilig blijven terwijl ze door het economische ecosysteem worden overgedragen.

 

De PCI Security Standards Council is opgericht door deze spelers uit de branche om ervoor te zorgen dat transacties met creditcardnummers zo veilig mogelijk zijn. De Raad stelt verschillende beveiligingsnormen vast die organisaties in verschillende bedrijfstakken moeten toepassen: PCI PTS dekt bijvoorbeeld fabrikanten van op PIN gebaseerde apparaten en PCI PA-DSS regelt softwareontwikkelaars die code schrijven die kaarthoudergegevens beheert.


 

Op wie is PCI DSS van toepassing?

PCI DSS is de meest uiteenlopende norm van de Raad. Het is van toepassing op “elke entiteit die kaarthoudergegevens opslaat, verwerkt en / of doorgeeft”, wat betekent dat elke organisatie die creditcardbetalingen accepteert – dat wil zeggen vrijwel elke organisatie die iets verkoopt of donaties accepteert – zich moet houden aan de standaard.

 

Naleving van PCI DSS vormt een basis van beveiliging en is zeker geen garantie tegen hacking. Zoals we zullen zien, kan compliance behoorlijk complex zijn en het is moeilijk om met zekerheid te zeggen dat elk aspect van de beveiliging van een organisatie 100% van de tijd compliant is. Sommigen hebben betoogd dat de creditcard- en betalingsbedrijven die deel uitmaken van de PCI Security Standards Council, PCI DSS gebruiken om de beveiligingstaken en de financiële last van inbreuken op de detailhandelaars te schuiven.

 

Wanneer is PCI DSS verplicht geworden?

PCI DSS-compliance werd verplicht met de uitrol van versie 1.0 van de standaard op 15 december 2004. (PCI DSS 3.2 is de huidige versie van de standaard en 4.0 is in de maak.) Maar we moeten hier even pauzeren om over te praten wat we in deze context bedoelen met “verplicht”. PCI DSS is een beveiligingsstandaard, geen wet. Naleving ervan wordt verplicht gesteld door de contracten die handelaren ondertekenen met de kaartmerken (Visa, MasterCard, enz.) En met de banken die hun betalingsverwerking daadwerkelijk afhandelen.

 

En, zoals we zullen zien, wordt voor de meeste bedrijven naleving van de norm bereikt door zelfgerapporteerde vragenlijsten in te vullen. Voor die handelaren wordt PCI DSS-naleving achteraf vooral ‘verplicht’: als er een inbreuk optreedt die kan worden herleid tot het niet correct implementeren van de standaard, kan de handelaar worden gesanctioneerd door hun betalingsverwerkers en de kaartmerken. Van verkopers kan worden verlangd dat ze een beoordeling ondergaan (en betalen) om ervoor te zorgen dat ze hun beveiliging hebben verbeterd, die we verderop in dit artikel nader zullen bespreken; mogelijk moeten zij ook boetes betalen. Van zeer grote bedrijven kan worden verlangd dat ze door derden uitgevoerde beoordelingen ondergaan, zelfs als ze geen inbreuk hebben geleden.

 

PCI DSS boetes

Wanneer verkopers een contract ondertekenen met een betalingsverwerker, gaan ze ermee akkoord boetes op te leggen als ze de PCI DSS-naleving niet naleven. Boetes kunnen variëren van betalingsverwerker tot betalingsverwerker en zijn hoger voor bedrijven met een hoger betalingsvolume. Het kan moeilijk zijn om een ​​typisch goed bedrag vast te stellen, maar het Amerikaanse bedrijf IS Partners biedt een aantal bereiken in een blogpost. Zo worden boetes beoordeeld per maand van niet-naleving en worden de kosten per maand voor langere perioden verhoogd, dus een bedrijf kan $ 5.000 per maand betalen als ze drie maanden niet voldoen, maar $ 50.000 per maand als ze zo lang gaan als zeven maanden. Bovendien kunnen boetes van $ 50 tot $ 90 worden opgelegd voor elke klant die op de een of andere manier wordt getroffen door een datalek.

 

Houd er nogmaals rekening mee dat dit geen “boetes” zijn in dezelfde zin dat u bijvoorbeeld zou betalen voor het overtreden van een overheidsregelgeving of verkeerswet; het zijn sancties die zijn ingebouwd in een contract tussen handelaren, betalingsverwerkers en kaartmerken. Over het algemeen is de card-merken beboeten de betalingsverwerkers, die op hun beurt de handelaren beboeten, en het hele proces is niet noodzakelijkerwijs gebaseerd op dezelfde bewijsnormen die men zou verwachten bij een strafrechter, hoewel geschillen bij de burgerlijke rechtbank terecht kunnen komen.

 

Een zaak uit 2012 waarbij Utah-restauranthouders Stephen en Cissy McComb betrokken waren, bracht een deel van de duistere wereld van PCI DSS-boetes in de schijnwerpers; de McCombs beweerden dat ze waren beschuldigd van lakse beveiliging op basis van geen enkel bewijs en dat $ 10.000 door hun betalingsverwerker ten onrechte van hun bankrekening was overgeheveld. In 2013 vocht de schoenenhandelaar Genesco uit Tennessee terug tegen een PCI DSS-boete van $ 13 miljoen dollar die werd genaaid na een groot datalek en uiteindelijk $ 9 miljoen terugkreeg voor de rechtbank.

 

Toch proberen de meeste handelaren deze boetes te vermijden door ervoor te zorgen dat ze voldoen aan de PCI DSS-standaard. Laten we dus eens ingaan op de details van wat dat inhoudt.

 

PCI DSS-vereisten

De PCI DSS-standaard bevat 12 fundamentele vereisten voor handelaren:

 

Installeer en onderhoud een firewallconfiguratie om gegevens van kaarthouders te beschermen.

Gebruik geen door de leverancier geleverde standaardwaarden voor systeemwachtwoorden en andere beveiligingsparameters.

Bescherm opgeslagen kaarthoudergegevens.

Versleutel de overdracht van kaarthoudergegevens via open, openbare netwerken.

Gebruik antivirussoftware en werk deze regelmatig bij.

Ontwikkel en onderhoud veilige systemen en applicaties.

Beperk de toegang tot gegevens van kaarthouders door zakelijke need-to-know.

Wijs een unieke ID toe aan elke persoon met computertoegang.

Beperk fysieke toegang tot gegevens van kaarthouders.

Volg en bewaak alle toegang tot netwerkbronnen en kaarthoudergegevens.

Test regelmatig beveiligingssystemen en -processen.

Handhaaf een beleid dat informatiebeveiliging aanpakt.

Wat betekent het om PCI DSS-compatibel te zijn?

DSS-compliance komt voort uit het voldoen aan de verplichtingen die in deze vereisten zijn vastgelegd op de manier die het beste bij uw organisatie past, en de PCI Security Standards Council geeft u de tools om dit te doen. Het RSI-beveiligingsblog splitst de stappen tot in detail op, maar het proces gaat in wezen als volgt:

 

Bepaal het PCI DSS-niveau van uw organisatie. Organisaties zijn onderverdeeld in niveaus op basis van het aantal creditcardtransacties dat ze jaarlijks afhandelen. Zo verwerken PCI DSS level 1-organisaties meer dan zes miljoen transacties per jaar, terwijl PCI DSS level 4-organisaties minder dan 20.000 verwerken.

Vul een zelfevaluatievragenlijst in. Deze zijn beschikbaar op de website van PCI Security Standards Council en er zijn verschillende vragenlijsten die zijn afgestemd op hoe verschillende bedrijven omgaan met creditcardgegevens. Als u alleen kaartbetalingen online doet via een derde partij, vult u bijvoorbeeld vragenlijst A in; als u een zelfstandige betaalterminal gebruikt die is verbonden met internet, gaat u voor vragenlijst B-IP. Elke vragenlijst bepaalt hoe goed uw organisatie voldoet aan de PCI DSS-vereisten, aangepast aan de manier waarop u omgaat met creditcardgegevens van klanten.

Bouw een veilig netwerk. De antwoorden die u op uw vragenlijst geeft, onthullen zwakke plekken in uw creditcardinfrastructuur en vereisten waaraan u niet voldoet, en zullen u begeleiden bij het dichten van die gaten.

Formeel uw naleving bevestigen. Een AOC (attest of compliance) is het formulier dat u gebruikt om aan te geven dat u PCI DSS-conformiteit heeft bereikt. Als u uw vragenlijst afrondt zonder ‘verkeerde’ antwoorden, bent u klaar om te gaan.

Het moge duidelijk zijn dat de vragenlijsten een soort checklist voor de naleving van PCI DSS bevatten. Laat dit echter niet het einde zijn van uw beveiligingsreis. Zoals David Ames, hoofd van de cybersecurity- en privacypraktijk bij PricewaterhouseCoopers, zei: “we hebben gezien dat een strikte focus op zelfstandige compliance-inspanningen een vals gevoel van veiligheid en een onjuiste toewijzing van middelen kan opleveren. Gebruik de PCI DSS als een basiscontrolekader dat wordt aangevuld met risicobeheerpraktijken ”

 

Wie is verantwoordelijk voor PCI-compliance?

Elke organisatie zal een enigszins andere kijk hebben op wie haar PCI-complianceteam zou moeten leiden, op basis van hun structuur en grootte. Zeer kleine bedrijven die de meeste van hun betalingsinfrastructuren aan derden hebben uitbesteed, kunnen in het algemeen erop vertrouwen dat die leveranciers ook PCI-compliance afhandelen. Aan de andere kant van het spectrum kunnen zeer grote organisaties leidinggevenden, IT-, juridische en business unit-managers nodig hebben. De PCI Standards Security Council heeft een diepgaand document, “PCI DSS voor grote organisaties”, met advies over dit onderwerp; bekijk sectie 4, beginnend op pagina 8.

 

PCI DSS-certificering versus PCI DSS-beoordeling

Hoe wordt u PCI DSS-gecertificeerd? Het korte is dat u dat niet kunt: er bestaat niet zoiets in de wereld van PCI DSS als ‘certificering’. Zoals besproken, is de meest gebruikelijke manier om naleving van de PCI DSS aan te tonen, het invullen van de juiste vragenlijst en het invullen van een conformiteitsverklaring (AOC). Dit proces staat bekend als zelfevaluatie.

 

Handelaren kunnen er echter ook voor kiezen om een ​​externe leverancier te betalen om een ​​PCI DSS uit te voerenbeoordeling. De PCI Security Standards Council certificeert gekwalificeerde beveiligingsbeoordelaars die deze audits kunnen uitvoeren en een zogenaamd compliance-rapport (ROC) kunnen opstellen; soms wordt dit proces ook wel PCI DSS-certificering genoemd, hoewel dat strikt genomen niet correct is. Terwijl sommige organisaties vrijwillig voor ROC’s betalen, is het mogelijk dat andere organisaties er een moeten aanschaffen als ze een inbreuk of een andere inbreuk op de beveiliging hebben geleden; en grote bedrijven die kwalificeren als PCI DSS-niveau 1 moeten regelmatig een ROC behalen prepaid creditcard aanvragen online is makkelijk.

 

Beoordelingen zijn niet goedkoop, maar zelfs als u er geen nodig heeft, kan dit op de lange termijn zijn vruchten afwerpen. Zoals Paul Cotter, senior beveiligingsarchitect bij West Monroe Partners, zei in zelfevaluaties hebben bedrijven de neiging om zichzelf ‘op de meest vleiende manier mogelijk te bekijken. U geeft misschien $ 50.000 uit om een ​​professional in te huren, maar het kan u uiteindelijk op de lange termijn redden “omdat u een eerlijke beoordeling krijgt van uw beveiligingssituatie. En in de kern is dat het soort beoordeling dat de PCI DSS-standaard zou moeten opleveren. www.123creditcardvergelijk.nl vergelijken met andere.