Elk jaar lopen bedrijven het risico op datalekken die klantinformatie in gevaar brengen. Volgens een jaarverslag van Risk Based Security was er vorig jaar een nieuwe piek in het aantal inbreuken:3.930 voorvallen resulterend in meer dan 736 miljoen blootgestelde records.

Gegevensbeveiliging is een ernstig zakelijk probleem, vooral gezien het feit dat bijna 60% van de kleine bedrijven failliet gaat na een inbreuk.

Als uw bedrijf debet-/creditbetalingen accepteert, bent u wellicht bekend met de naleving van de Payment Card Industry (PCI), de beveiligingsvereisten en maatregelen die door de branche zijn ingesteld. Veel nieuwe bedrijven (en sommige gevestigde) zijn echter helemaal niet bekend met PCI-compliance.

Uzelf vertrouwd maken met PCI-standaarden is een essentieel onderdeel van het moderne bedrijfsleven.

PCI-compliance verwijst naar een reeks verplichte normen en regels die zijn opgesteld en gehandhaafd door de betaalkaartindustrie, namelijk Visa, MasterCard, American Express en Discover.

Elke bedrijf die creditcard- en debetkaartbetalingen opslaat, verwerkt of verzendt is verplicht om te voldoen aan de richtlijnen van de PCI Security Standards Council (SSC) en jaarlijks naleving aan te tonen, anders riskeert u dure boetes en mogelijk verlies van de bevoegdheid om transacties te verwerken.

SSC-standaardvereisten voor gegevensbeveiliging

Het SSC heeft twaalf brede eisen opgesteld voor PCI-compliance. Hoewel aan deze vereisten moet worden voldaan, wordt niet specifiek beschreven hoe uw bedrijf moet hieraan voldoen. Bedrijven moeten bijvoorbeeld antivirussoftware gebruiken en updaten, maar het SSC geeft niet aan welke software moet worden gebruikt.

Om deze normen te implementeren, biedt het SSC een gids met prioriteitsaanpak voor PCI-compliance.

Vereisten voor gegevensbeveiligingsnormen:

1. Installeer en onderhoud een firewallconfiguratie om kaarthoudergegevens te beschermen
2. Gebruik geen door de leverancier geleverde standaardwaarden voor systeemwachtwoorden en andere beveiligingsparameters
3. Beveiligde gegevens
4. Verzend de gegevens van kaarthouders via open, openbare netwerken versleutelen
5. Gebruik antivirussoftware en werk deze regelmatig bij
6. Ontwikkel en onderhoud veilige systemen en applicaties
7. Beperk de toegang tot kaarthoudergegevens door zakelijke noodzaak om te weten
8. Wijs een unieke ID toe aan elke persoon met computertoegang
9. Fysieke toegang tot kaarthoudergegevens beperken
10. Alle toegang tot netwerkbronnen en kaarthoudergegevens volgen en bewaken
11. Test regelmatig beveiligingssystemen en -processen
12. Houd een beleid aan dat informatiebeveiliging aanpakt

Het 3-stappen-nalevingsproces

1:beoordelen

Het doel van de beoordeling is om kwetsbaarheden te identificeren die een risico vormen voor de veiligheid van betalingsgegevens van klanten. De beoordeling moet alomvattend van aard zijn en het volledige transactieproces van uw bedrijf van begin tot eind analyseren. Dit omvat niet alleen digitale netwerken, maar alle gebieden waar betalingsgegevens van klanten worden opgeslagen, zoals fysieke laptops, desktops en papieren bonnen.

Als een derde partij deel uitmaakt van uw betalingsproces, moet u ook hun procedures en systemen beoordelen.

Het SSC biedt ondersteuning door professionele beoordelaars op te leiden en te valideren, waarvan er twee soorten zijn:Qualified Security Assessors en Approved Scanning Vendors (ASV's).

QSA's beoordelen uw gegevensbeveiliging en bereiden bewijsmateriaal voor om in te dienen als bewijs van naleving.

ASV's bieden commerciële softwaretools die uw gegevenssystemen kunnen analyseren op zwakke punten.

2:Herstellen

Herstel is het proces van het aanpakken en corrigeren van eventuele kwetsbaarheden die tijdens uw beoordeling zijn gevonden.

Veel herstelstrategieën zijn eenvoudig:update antivirussoftware, voeg sloten toe aan deuren waar bedrijfsservers zich bevinden, gebruik nieuwe wachtwoorden die elke 90 dagen worden bijgewerkt.

Waar veel bedrijven echter mee worstelen, is het creëren en implementeren van bedrijfsbeveiligingsbeleid en -procedures. Zonder goed opgesteld beleid en procedures die duidelijk in het hele bedrijf worden gecommuniceerd, zullen de meeste bedrijven er uiteindelijk niet in slagen om de naleving te handhaven.

Elk bedrijf is uniek en daarom is sanering zeer specifiek voor elk bedrijf. Geen twee herstelstrategieën zien er precies hetzelfde uit.

3:Rapporteren

Om aan te tonen dat uw bedrijf aan de SSC-eisen voldoet, moet een Report on Compliance (ROC) worden ingediend. Een ROC is geen enkel document, maar eerder een samenvatting van bewijsmateriaal dat is verzameld tijdens de beoordelings- en herstelfasen.

ROC-documenten kunnen gedetailleerde werkdocumenten van een gekwalificeerde beoordelaar, resultaten van systeemtests, configuratiegegevens, aantekeningen bij interviews, screenshots en vele andere bewijsstukken bevatten.

Het SSC heeft een gedetailleerd rapport met rapportage-instructies van 113 pagina's verstrekt dat kan worden bekeken om het rapportageproces te begeleiden.

Lopend

PCI-compliance is een lopend proces . Een enkele beoordeling of jaarlijkse validatie is niet het einde van het proces. In plaats daarvan is compliance de continue implementatie en monitoring van talloze strategieën om ervoor te zorgen dat gegevens veilig blijven.

Veelvoorkomende misvattingen

Als ik geen creditcardgegevens opsla, is PCI niet op mij van toepassing.

PCI-compliance is van toepassing op bedrijven die debet-/creditcardbetalingsgegevens opslaan en bedrijven die deze betalingen verwerken of verzenden. Of u de gegevens nu opslaat of niet, als u debet-/creditbetalingen accepteert, is PCI-compliance op u van toepassing.

Ik verwerk slechts een klein aantal transacties en PCI is alleen van toepassing op grote bedrijven.

PCI-compliance is voor alle bedrijven die zelfs maar één enkele debet-/creditbetaling opslaan, verwerken of verzenden. De enige uitzondering is voor bedrijven die het hele transactieproces hebben overgedragen aan een derde partij.

Nadat ik de naleving heb gerapporteerd en gevalideerd, is PCI voorbij en klaar.

PCI-compliance is een continu proces, geen gebeurtenis die eenmaal per jaar plaatsvindt. Validatie moet worden gezien als een momentopname, niet als een algemeen stempel van goedkeuring. Het is gebruikelijk om bedrijven te vinden die zijn gevalideerd tijdens een jaarlijkse beoordeling, maar later een inbreuk op de beveiliging hebben ondervonden vanwege een tekortkoming in de naleving.

Andere verkopers hebben geen boete gekregen, en zelfs als ik me niet aan de regels houd, zijn de boetes niet erg.

De boetes voor niet-naleving zijn fors, variërend van $ 5000 tot $ 100.000 per maand. Bedrijven kunnen ook het recht verliezen om debet-/creditbetalingen helemaal te verwerken totdat naleving is aangetoond en bevestigd.

Ik ben geslaagd voor mijn ASV-scan, dus ik ben vrij.

ASV-scans zijn slechts een enkele stap in een continu proces. Beschouw ze als een van de vele tools in de voortdurende inspanningen om naleving te handhaven.