Nederlandse webwinkeliers zijn zich onvoldoende bewust van de creditcardrisico's, zoals diefstal van de kaartgegevens. De mogelijkheden om zich tegen cybercriminelen te wapenen zijn er, maar worden nog te weinig gebruikt.
Tekst: Arne ter Laak
Inmiddels beschikt ruim veertig pro-cent van de Nederlanders over een creditcard. Wereldwijd azen cyber-crimi-nelen op de kaartgegevens. Zij verkopen de gestolen gegevens op criminele websites, voor enkele dollars per stuk, inclusief bijbehorende gegevens, zodat de gegevenskoper er op internet zijn aankopen mee kan doen.
Niet bewust van gevaar
Webwinkeliers zijn zich vaak onvol-doende bewust van het risico op gegevensdiefstal. Zo weten veel bedrij-ven niet of zij creditcardgegevens opslaan. Als webwinkeliers wel ge--gevens opslaan, bewaren ze in veel gevallen te veel gegevens van hun klanten, op plaatsen die relatief gemakkelijk toegankelijk zijn voor hackers.
Gegevensdiefstal is niet alleen schade-lijk voor de consumenten, het raakt ook de webwinkels. Het is funest voor de reputatie van de online-winkel en schaadt daarnaast het imago van het doen van aankopen op internet in zijn algemeen. En niet onbelangrijk: creditcardfraude kost de winkeliers veel geld, zowel aan inbraakonderzoek als aan boetes die de creditcardmaatschappijen de winkeliers opleggen.
Veilige standaard
Ondanks alles pakken de webwinkeliers en de banken de beveiliging van creditcardgegevens nog altijd niet structureel aan. Dit terwijl de vijf grote creditcardmaatschappijen, waaronder MasterCard, Visa en American Express, een standaard hebben ontwikkeld voor het veilig verwerken van kaartgegeven: de Payment Card Industry - Data Security Standard (PCI DSS). In de standaard zijn tweehonderd veiligheidseisen gedefinieerd, onder andere op het gebied van netwerkbeveiliging, encryptie en toegang tot vertrouwelijke gegevens.
Deze standaard is een vereiste voor web-winkeliers die creditcards accepteren, maar de toepassing ervan is tot op heden niet afgedwongen in Europa. Dat gaat veranderen. Zo heeft Visa International deadlines geformuleerd. Per september 2010 moeten organisaties die veel creditcardtransacties verwer-ken, kunnen aantonen dat zij aan de standaard voldoen. Voor Europa zullen vergelijk-bare deadlines gaan gelden. Ge--kwalificeerde veilig-heids--beoordelaars gaan namens de credit-card-maatschappijen, verenigd in de Payment Card Industry, de standaard toetsen bij grote organisaties. Kleinere bedrijven kunnen de controle zelf uitvoeren. De standaard is dus al verplicht. Op korte termijn zullen de creditcardmaatschappijen strenger gaan controleren.
Wat kunt u nog meer doen?
Webwinkeliers kunnen het risico op gegevensdiefstal sterk beperken door alleen de gegevens op te slaan die strikt noodzakelijk zijn voor de afhandeling van transacties. Daarnaast kunnen ze het computernetwerk waarbinnen de creditcardtransactiegegevens worden op-geslagen, slim segmenteren. Dit is echter geen garantie voor veiligheid. Web-winkeliers moeten alert blijven, ontwikkelingen volgen op het gebied van beveiliging en hun beveiliging aanpassen als de ontwikkelingen daarom vragen.
Arne ter Laak is associate director bij risk- en businessconsultant Protiviti.
Dit artikel verscheen eerder in Twinkle 04-2009.
Er is op dit moment 0 keer gereageerd op:
Wapens tegen cybercriminaliteit weinig benut
Je kunt niet meer reageren op dit artikel.