Ondernemen met de beste ondersteuning

Nieuws

‘Minimaliseer de scope van PCI DSS’

7 april 2016 - Organisaties die creditcards of pinpassen van bijvoorbeeld Visa, MasterCard of Maestro accepteren, moeten voldoen aan de Payment Card Industry Data Security Standard (PCI DSS). "Voor bedrijven zoals retailers is dat geen eenvoudige opgave," weet Lior Yotam, PCI QSA (Qualified Security Assessor) bij Comsec in de Benelux. "Dan is het belangrijk dat u de scope van PCI DSS zo klein mogelijk houdt."

De Nederlandse Vereniging van Banken en Betaalvereniging Nederland zijn al enkele jaren op rij positief gestemd als het gaat om het terugdringen van fraude in het betalingsverkeer. Sinds 2012 is de totale schade stelselmatig gezakt van 81,8 miljoen euro in 2012 naar 17,3 miljoen euro in 2014. "De procentuele daling was voor alle elektronische betaalmiddelen nagenoeg gelijk, zowel voor betaalpassen, creditcards als voor internetbankieren," meldden de twee organisaties in 2015.
Met name het skimmen van betaalpassen werd fors teruggedrongen, onder andere door de invoering van EMV (Europay, MasterCard, Visa)-betaalchips op betaalpassen. Uit onderzoek van Barclays blijkt dat de EMV-chip in het Verenigd Koninkrijk zelfs heeft gezorgd voor een fraudedaling van 70 procent. "Maar ook de Payment Card Industry Data Security Standard heeft er aan bijgedragen dat de schade door fraude met creditcards is teruggedrongen,"zo verzekert Yotam.
 
Complex raamwerk
PCI DSS werd in 2004 gezamenlijk opgericht door vijf grote creditcardbedrijven: Visa, MasterCard, Discover, JCB en American Express. Alle organisaties die creditcardgegevens verwerken, moeten voldoen aan de beveiligingsnorm, dus bijvoorbeeld ook winkels en restaurants die creditcards accepteren van een van de deelnemende creditcardmaatschappijen. "Winkeliers die niet kunnen aantonen dat ze compliant zijn met PCI DSS, zijn in het geval van fraude zelf verantwoordelijk voor de schade en kunnen daarnaast een boete en een aanzienlijke reputatieschade verwachten," stelt Yotam. "Het aantonen van compliance is echter geen eenvoudige opgave."
De informatiebeveiligingsnorm voorziet in een complex raamwerk van richtlijnen waaraan organisaties moeten voldoen om ‘PCI DSS compliant’ te zijn. Zo moeten organisaties compliance aantonen op twaalf deelgebieden en maar liefst 329 vragen beantwoorden. Organisaties met een hoog volume aan transacties moeten de compliance jaarlijks on-site laten valideren door een Qualified Security Assessor die een formeel ‘Report on Compliance’ opstelt. Als het aantal transacties per jaar onder de zes miljoen blijft, kunnen bijvoorbeeld Visa en MasterCard genoegen nemen met een self-assessment.
Maar volgens Yotam blijft het niet bij de ‘assessment’. "Neem een retailer die creditcardbetalingen accepteert; die heeft binnen zijn bedrijfsnetwerk de ‘kaarthouderdata’ al snel over meerdere systemen verspreid staan. Dat brengt ook de verplichting met zich mee om al die systemen op regelmatige basis te scannen op kwetsbaarheden, te upgraden en te ‘hardenen’ door overbodige of onveilige functies van het besturingssysteem of de software te verwijderen."

Scope verkleinen
"Bij het doorlopen van een PCI DSS-compliancetraject is onze doelstelling dan ook om de scope van PCI DSS zoveel mogelijk te verkleinen," vervolgt Yotam. Daar zijn volgens PCI QSA van Comsec meerdere mogelijkheden voor, zoals een goede segmentatie van het netwerk waardoor de kaarthouderdata worden ‘opgesloten’ binnen een beperkt deel van het netwerk zodat het complexe PCI DSS-beveiligingsraamwerk op minder systemen betrekking heeft. Een andere optie is volgens Yotam gebruikmaken van ‘tokenization’. Hiermee wordt een deel van het nummer van de betaalkaart onherkenbaar gemaakt waardoor het voor fraudeurs lastiger wordt om een kaart te koppelen aan een persoon of voor transacties te gebruiken.
"Redelijk nieuw binnen de PCI-wereld is de toepassing van P2PE," stelt Yotam. "P2PE staat voor point-to-point encryptie en ook hiermee kan de scope van PCI DSS aanzienlijk worden beperkt."

Point-to-point encryptie
‘Fase 1’ van P2PE werd in 2012 vrijgegeven door de ‘Council’ van PCI. Het idee achter dit initiatief is dat kaarthouderdata en de data die nodig zijn om de identiteit van de kaarthouder vast te stellen worden versleuteld op het moment dat de betaalpas door bijvoorbeeld de winkelier wordt ‘gelezen’. Voor het lezen van de betaalpas maakt de verkopende partij gebruik van een betaalterminal die beschikt over een fraudebestendige module voor versleuteling – in PCI-termen het ‘point of interaction’ – en die is gecertificeerd voor P2PE.
De data worden vervolgens naar een geëncrypte omgeving, zoals een ‘payment gateway’ of andere derde partij gestuurd en pas weer naar een leesbaar formaat omgezet als ze zich binnen de beveiligde zone bevinden van de ‘processor’ die de betaling verwerkt. Deze verwerkende partij biedt de data vervolgens aan bij de bank die de betaling moet goedkeuren.
P2PE-oplossingen en -applicaties worden gevalideerd door een door de PCI Council aangewezen Quality Security Assessor en geleverd door een ‘solution provider’ die ook verantwoordelijk blijft voor een correcte werking van de gehele P2PE-implementatie. Zo ziet de solution provider toe op de uitgifte en beheer van encryptiesleutels en op het beheer van de apparatuur die wordt gebruikt voor de point-to-point encryptie.
 
Slechts 35 vragen
Het grote voordeel van P2PE voor de consument is dat de gevoelige data die bij een betaling worden uitgewisseld – vanwege encryptie – op geen enkel moment zichtbaar zijn voor de verkopende partij die de betaling accepteert. Hierdoor neemt de kans op fraude aanzienlijk af. "Maar ook voor bijvoorbeeld een retailer of horecaondernemer zijn de voordelen aanzienlijk,"zo concludeert Yotam.
Volgens hem kost het compliancetraject voor bedrijven die een goedgekeurde PCI P2PE oplossing gebruiken aanzienlijk minder tijd en middelen. Zo hoeft een winkelier die gebruikmaakt van een erkende P2PE-solution provider nog maar op vier ‘deelgebieden’ compliance aan te tonen in plaats van op twaalf. De in te vullen vragenlijst wordt met P2PE teruggebracht van 329 tot slechts 35 vragen. "De scope van PCI DSS wordt daarmee echt geminimaliseerd," besluit Yotam. "P2PE versnelt bovendien het betalingsproces, en in geval van fraude is niet de verkopende partij maar de P2PE-solution provider."

Doorsturen  |  Reageer  |  Nieuwsbrief

Reacties

Er zijn nog geen reacties.

Reageren

http://
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de
code te wijzigen.