PCI-nalevingsgids

Om de beste beveiligingspraktijken te standaardiseren en kredietkaartfraude te bestrijden, werd in 2006 de PCI Security Standards Council opgericht door American Express, Discover, JCB International, Mastercard en Visa Inc. Het doel van de groep, die nu honderden leden telt, was een rigoureuze reeks beveiligingspraktijken vast te stellen om het hele betaalecosysteem te beschermen tegen fraude en diefstal.

Dat is geen geringe prestatie. Elk jaar worden er miljarden gegevens gekraakt. Veel daarvan bevatten financiële gegevens en kredietkaartgegevens, want daar zit natuurlijk het geld.

Bescherming tegen identiteitsdiefstal en creditcardfraude houdt in dat elke stap in de bewakingsketen van financiële en transactiegegevens wordt versterkt. Daarom is PCI-compliance zo belangrijk geworden, niet alleen voor handelaars en financiële dienstverleners, maar ook voor elk bedrijf dat dit soort gegevens kan verwerken of opslaan .

Wat is PCI-naleving?

PCI-compliance verwijst naar het naleven van de Payment Card Industry Data Security Standard (PCI DSS). Als zodanig is PCI-compliance van toepassing op elk bedrijf van elke omvang dat creditcardbetalingen accepteert. Elk bedrijf dat kredietkaartgegevens ontvangt, opslaat, verwerkt of verzendt, moet dus PCI-compliant zijn.

De PCI-veiligheidsnormen bestaan hoofdzakelijk uit technologische beveiligingspraktijken en -oplossingen die bedoeld zijn om de gegevens van betaalrekeningen gedurende de hele betalingscyclus te beschermen. De normen omvatten praktijken voor handelaars, kleinhandelaars, dienstverleners en financiële dienstverleners, alsook vereisten voor ontwikkelaars en verkopers die betrokken zijn bij het creëren of ondersteunen van betalingsproducten en -oplossingen. PCI-compliance strekt zich dus uit van hardware voor verkooppunten tot online winkelwagentjes, databanken, netwerken en de transmissie van alle gerelateerde gegevens.

"Het doel is in wezen ervoor te zorgen dat onbevoegden de gegevens niet kunnen achterhalen", benadrukt Shane Harris, senior director product management van Mimecast.

Waarom is PCI Compliance Management belangrijk?

Inbreuken op privé- en persoonlijke gegevens kunnen niet alleen consumenten en grote financiële dienstverleners treffen, maar ook ondernemingen van elke omvang. Als PCI-compliance niet wordt nageleefd, kunnen lekken en aanvallen het gevolg zijn, variërend van verlies van omzet tot boetes en rechtszaken.

Cyberbeveiliging is slechts zo goed als de zwakste schakel in de keten, en daarom kan een gebrek aan PCI-compliance de reputatie van een bedrijf schaden en zelfs verhinderen dat het zaken doet met andere bedrijven. Betalingsverwerkers kunnen bijvoorbeeld compliance vragen als onderdeel van hun verplichte rapportage aan betaalkaartbedrijven. Potentiële partners vragen vaak bevestiging van PCI-conformiteit als voorwaarde om zakelijke overeenkomsten aan te gaan. En klanten van technologieplatforms die on-linetransacties vergemakkelijken, kunnen een bewijs van PCI-conformiteit vragen om aan te tonen dat het platform op een veilige manier met gegevens omgaat.

Bovendien helpt PCI-compliance bedrijven om andere aanvallen te voorkomen door best practices te gebruiken voor het opsporen, voorkomen en herstellen van inbreuken op gegevens. Het naleven van de PCI-gegevensbeveiligingsnorm helpt bedrijven ook te voldoen aan verwante wetten op het gebied van gegevensbeveiliging en privacy, zoals de Europese General Data Protection Regulation (GDPR) en de California Consumer Privacy Act (CCPA).

Ten slotte helpt het volgen van de PCI-gegevensbeveiligingsnorm bedrijven te beschermen tegen aanvallen die kunnen resulteren in extra juridische kosten, schikkingen, boetes, vonnissen - en zelfs de beëindiging van het vermogen van een bedrijf om betaalkaarten te aanvaarden.

De 12 vereisten van PCI-naleving

Dit zijn de twaalf vereisten van het hoogste niveau, zoals vastgesteld door de PCI Security Standards Council, [1] met aanvullende input van deskundigen:

1. Firewalls: Installeer en onderhoud een firewallconfiguratie om gegevens van kaarthouders te beschermen. Firewalls zijn de eerste verdedigingslinie tegen cyberaanvallen op netwerken en servers.
2. Wachtwoorden: Gebruik geen standaardwaarden voor systeemwachtwoorden en andere beveiligingsparameters die door de leverancier zijn verstrekt. Wachtwoorden op software, diensten en apparaten zoals routers moeten regelmatig worden gewijzigd.
3. Gegevensopslag: Bescherm opgeslagen kaarthoudergegevens. Alle kaartgegevens moeten worden gecodeerd, en primaire rekeningnummers (PAN) moeten regelmatig worden gescand om ervoor te zorgen dat geen niet-gecodeerde gegevens worden blootgesteld. Beveiligingscodes en PIN-nummers mogen na verificatie niet worden opgeslagen.
4. Gegevensoverdracht: Versleutel de overdracht van kaarthoudergegevens over open, openbare netwerken. Alle daarmee verband houdende communicatie moet worden versleuteld om te voorkomen dat criminelen betalingsgegevens onderscheppen.
5. Software: Bescherm alle systemen tegen malware en werk antivirussoftware of -programma's regelmatig bij. Het gebruik van actuele antivirussoftware is vereist voor alle apparaten die communiceren met PAN en/of dit opslaan.
6. Systemen: Ontwikkelen en onderhouden van veilige systemen en toepassingen. Alle software en diensten, niet alleen cyberbeveiligingssoftware, moeten regelmatig worden gepatcht en geüpgraded om bekende kwetsbaarheden te verhelpen.
7. Gegevenstoegang: Beperk de toegang tot gegevens van kaarthouders op basis van zakelijke noodzaak tot kennisname. Beoordeel en documenteer regelmatig alle werknemers en derden die toegang hebben tot gevoelige gegevens.
8. Systeemtoegang: Identificeer en verifieer de toegang tot systeemonderdelen. Voor elke account met toegang moeten unieke ID's worden gebruikt, met wachtwoordversleuteling, authenticatie en inloglimieten.
9. Fysieke toegang: Beperk de fysieke toegang tot gegevens van kaarthouders. Alle gegevensopslag en verwante netwerkfaciliteiten moeten worden beveiligd, met inbegrip van het gebruik van bewakingssystemen, en papieren dossiers moeten worden bewaard op een afgesloten locatie.
10. Monitoring: Tracken en monitoren van alle toegang tot netwerkbronnen en kaarthoudergegevens. Dergelijke toegang moet worden geregistreerd met loggingsystemen die de gebruikersactiviteit traceren in geval van een inbreuk op de gegevens.
11. Testen: Test beveiligingssystemen en -processen regelmatig. Systemen en netwerken moeten routinematig worden gescand op mogelijke kwetsbaarheden.
12. Beleid: Handhaaf een beleid dat betrekking heeft op informatiebeveiliging voor al het personeel. Alle beveiligingspraktijken moeten worden gedocumenteerd, en er moet een beleid worden vastgesteld voor de opleiding van werknemers en de reactie op bedreigingen.

Wat betekent het om PCI DSS-compliant te zijn?

PCI DSS-naleving is in overeenstemming met de Payment Card Industry Standard (PCI DSS), die van toepassing is op elke onderneming van elke omvang die creditcardbetalingen aanvaardt. Elke entiteit die kredietkaartgegevens in ontvangst neemt, opslaat, verwerkt of verzendt, moet PCI DDS-conform zijn.

Hoe kan ik mijn PCI-naleving valideren?

Er zijn twee primaire manieren om PCI compliance te valideren. U kunt verplicht worden elk kwartaal een kwetsbaarheidsscan uit te voeren en een jaarlijkse zelfbeoordelingsvragenlijst in te vullen om aan te tonen dat uw bedrijf zich aan de PCI richtlijnen houdt. Of uw bedrijf moet een gecertificeerde kwaliteitscontroleur in de arm nemen om een jaarlijkse audit van uw bedrijf uit te voeren. Welk validatieniveau vereist is, hangt doorgaans af van het aantal transacties dat een bedrijf jaarlijks verwerkt, waarbij bedrijven die minder dan 6 miljoen transacties verrichten, minder nauwkeurig hoeven te worden nagegaan.

Acquirerende banken (banken die krediet- en debetkaartbetalingen verwerken) kunnen echter bijkomende vereisten hebben voor handelaars of e-commercesites, aangezien banken en andere financiële dienstverleners degenen zijn die het meeste geld kunnen verliezen in geval van fraude. Zij zijn het ook die door de PCI Security Standards Council worden beboet (naar verluidt tot 10.000 dollar per dag) als de voorschriften niet worden nageleefd. [2]

Hoe kan ik mijn PCI-naleving handhaven?

Na de PCI-validatie moeten bedrijven jaarlijks een zelfevaluatie uitvoeren en regelmatig controles uitvoeren om aan de eisen te blijven voldoen. De PCI-raad beveelt bijvoorbeeld aan om elk kwartaal een kwetsbaarheidsscan uit te voeren, waarbij draadloze netwerken op onbevoegde apparatuur worden gescand, interne netwerken op kwetsbaarheden worden getest en databases worden gecontroleerd om er zeker van te zijn dat alle PCI-gegevens versleuteld zijn. [3]

Aanvullende controles van openbare diensten en apps zijn ook een integraal onderdeel van PCI-compliance, met inbegrip van penetratietests voor webtoepassingen . De instellingen van firewalls, routers en andere apparatuur moeten extra worden gecontroleerd. En werknemers moeten jaarlijks een veiligheidsbewustzijnstraining volgen.

Ook moet worden opgemerkt dat de PCI Security Standards Council de beveiligingsmaatregelen voortdurend herziet en bijwerkt om nieuwe bedreigingen het hoofd te bieden. Dus net zoals bedrijven up-to-date moeten blijven met de huidige softwarepatches, zo zeggen deskundigen, moeten zij ook de adviezen en wijzigingen van de PCI Security Standards Council opvolgen.

Sancties voor inbreuken op de PCI-naleving

Bij een PCI overtreding variëren de sancties van wijzigingen in de voorwaarden van de overeenkomst tot zware financiële boetes. Sommige kaartbedrijven zullen de eisen voor naleving verhogen, bijvoorbeeld door te eisen dat een bedrijf dat vroeger alleen zelfbeoordelingen hoefde te ondergaan, nu volledige audits ondergaat, ongeacht het aantal transacties dat jaarlijks wordt verwerkt.

Bij ernstigere overtredingen kan een kaartmaatschappij een handelaar verbieden nog langer kredietkaartbetalingen te aanvaarden. Voor sommige bedrijven zou dit de sluiting van het bedrijf betekenen, wat een zware straf is.

En hoewel het niet naleven van de PCI richtlijnen geen specifieke wet overtreedt, kan de wervende bank boetes en sancties opleggen aan een bedrijf dat zich niet aan de richtlijnen houdt. Hoewel een lijst van boetebedragen per overtreding niet publiek beschikbaar is, variëren de boetes naar verluidt van 5.000 dollar tot tienduizenden dollars per maand. Deze boetes zijn opgelegd om naleving af te dwingen en de frauduleuze kosten te compenseren die uiteindelijk door de kaartbedrijven moeten worden gedekt.

Beste praktijken van PCI SSC-gegevensbeveiligingsnormen

De beste praktijken van de PCI SSC-normen voor gegevensbeveiliging omvatten:

1. Installatie en onderhoud van een firewallconfiguratie ter bescherming van de gegevens van de kaarthouder.
2. Regelmatig bijwerken van wachtwoorden en vermijden van door de leverancier verstrekte standaardwachtwoorden.
3. De encryptie van alle kaartgegevens en primaire rekeningnummers (PAN) moet regelmatig worden gescand om ervoor te zorgen dat geen onversleutelde gegevens worden blootgelegd. Beveiligingscodes en PIN-nummers mogen na verificatie niet worden opgeslagen.
4. Versleutelde overdracht van kaarthoudergegevens over open, openbare netwerken. Alle gerelateerde communicatie wordt gecodeerd om te voorkomen dat criminelen betalingsgegevens onderscheppen.
5. Bescherm alle systemen tegen malware en werk antivirussoftware of -programma's regelmatig bij. Het gebruik van actuele antivirussoftware is vereist voor alle apparatuur die in contact komt met PAN en/of deze opslaat.
6. Ontwikkelen en onderhouden van veilige systemen en toepassingen. Alle software en diensten, niet alleen de cyberbeveiligingssoftware, worden regelmatig gepatcht en geüpgraded om bekende kwetsbaarheden weg te nemen.
7. Beperk de toegang tot gegevens van kaarthouders op basis van "business need to know". Beoordeel en documenteer regelmatig alle werknemers en derden die toegang hebben tot gevoelige gegevens.
8. Identificeren en verifiëren van toegang tot systeemcomponenten. Voor elke account met toegang worden unieke ID's gebruikt, inclusief versleuteling van wachtwoorden, authenticatie en inlogtijdlimieten.
9. Beperken van de fysieke toegang tot gegevens van de kaarthouder. Alle gegevensopslag en bijbehorende netwerkfaciliteiten worden beveiligd, onder meer met bewakingssystemen, en papieren dossiers worden op een afgesloten locatie bewaard.
10. Alle toegang tot netwerkbronnen en kaarthoudergegevens bijhouden en controleren. Dergelijke toegang wordt geregistreerd met loggingsystemen die de gebruikersactiviteit traceren in geval van een inbreuk op de gegevens.
11. Regelmatig testen van beveiligingssystemen en -processen. Systemen en netwerken worden routinematig gescand op potentiële kwetsbaarheden.
12. Handhaven van een beleid dat betrekking heeft op informatiebeveiliging voor alle personeelsleden. Alle beveiligingspraktijken worden gedocumenteerd, en er wordt een beleid vastgesteld voor de opleiding van werknemers en de reactie op bedreigingen

De kern van de zaak

De PCI-gegevensbeveiligingsnorm werd oorspronkelijk ontwikkeld om het ecosysteem van kredietkaartbetalingen te beschermen. Als zodanig had de norm aanvankelijk alleen rechtstreeks betrekking op handelaren en financiële ondernemingen. Maar naarmate bedrijven meer digitaal met elkaar verbonden zijn geraakt, is PCI-compliance relevanter geworden voor een grotere verscheidenheid aan bedrijven. "Want als uw bedrijf klantgegevens in huis heeft," onderstreept Harris van Mimecast, "dan is beveiliging van het grootste belang."

[1] " PCI-veiligheidsnormen ," PCI-raad voor veiligheidsnormen

[2] " Inzicht in PCI-nalevingsboetes: Wie is verantwoordelijk voor de handhaving van PCI? ", Help Net Security

[3] "Hoe PCI-compliance te behouden na uw eerste QSA-beoordeling," PCI Compliance Guide