Creditcardgegevens behoren al jarenlang tot de meest gewilde identiteitsgegevens bij criminelen. Niet zo gek, want met behulp van slechts enkele simpele gegevens is het mogelijk om aanzienlijke uitgaven te doen. Door de komst van het internet zijn de mogelijkheden voor creditcardfraude nog eens enorm verruimd. Maar PCI/DSS maakt het fraudeurs juist weer minder makkelijk.
Tekst: Rob van der Staaij
Enkele jaren geleden hebben een aantal grote creditcardmaatschappijen besloten om gezamenlijke richtlijnen op te stellen ter bescherming van creditcardgegevens. Deze voorschriften staan bekend als PCI/DSS (Payment Card Industry Data Security Standard). Alle bedrijven en organisaties die zich met de opslag en verwerking van creditcardgegevens bezighouden, moeten aan de richtlijnen van PCI/DSS voldoen, ongeacht de omvang of aard van de organisatie en ongeacht het aantal transacties.
Maatregelen
Creditcardgegevens moeten zowel online als offline worden beschermd. De richtlijnen van PCI/DSS vormen hiervoor een heel bruikbaar kader. Ze zijn een weerspiegeling van best practices die al grotendeels worden toegepast en waarover iedereen het eens is dat ze het criminelen flink lastig maken.
De richtlijnen omvatten maatregelen op zowel business- als IT-niveau. Procedures en technische maatregelen maken dus allebei deel uit van het pakket. Procedurele maatregelen omvatten goedkeuringsprocedures voor autorisaties, wachtwoordregels (die deels weer technisch kunnen worden afgedwongen), functiescheiding en het op regelmatige basis toepassen van updates. Technische maatregelen omvatten firewalls, antivirussoftware, encryptietechnieken, de laatste patches en identitymanagement monitoring. Veel van de hier genoemde maatregelen zijn binnen de meeste organisaties al aanwezig. Het aanbrengen van samenhang en overzicht, is wat vaak nog moet gebeuren.
Implementatie
Bij het implementeren van de maatregelen is het goed om te realiseren dat er geen kant-en-klare producten te koop zijn die PCI/DSS-compliance garanderen, ook al claimen sommige leveranciers van wel. Daarnaast kennen de meeste afzonderlijke IT-componenten hun eigen specifieke kwetsbaarheden die niet in de PCI/DSS-richtlijnen staan. Bovendien zijn sommige van de richtlijnen maar deels van toepassing. Zo is het implementeren van antivirussoftware niet relevant voor bijvoorbeeld Unix-computers, voor deze systemen is immers geen commerciële antivirussoftware verkrijgbaar. De ervaring heeft echter geleerd dat deze computersystemen wel degelijk kwaadaardige software kunnen bevatten. Hier zijn dus andere mechanismen nodig.
Qualified Security Assessor
Een extra uitdaging hebben organisaties die het beheer van creditcardgegevens uitbesteden aan een service provider. Die organisaties moeten nagaan of de partij aan wie ze de diensten uitbesteden compliant is, iets waarover PCI/DSS slechts in grote lijnen uitspraken doet. Organisaties die moeten voldoen aan PCI/DSS kunnen een audit laten verrichten en zich laten certificeren door een PCI Security Standards Council gecertificeerde Qualified Security Assessor (QSA). Een lijst van QSA’s is beschikbaar op de website van de PCI Security Standards Council. De keuze van een QSA is vrij, maar moet in ieder geval worden gebaseerd op sterke affiniteit met informatiebeveiliging en op kennis van de betreffende branche. Kleinere organisaties of organisaties met een gering aantal transacties kunnen volstaan met een zogenaamd Self-Assessment Questionnaire (SAQ).
Tot slot
Creditcardfraude is een serieus en wereldwijd probleem en PCI/DSS vormt een bruikbaar kader voor het inrichten van een omgeving waarin creditcardgegevens beter zijn beveiligd. De richtlijnen van PCI/DSS zijn veelomvattend, maar het vereist deskundigheid om ze goed te kunnen implementeren. Voor organisaties die moeten voldoen aan PCI/DSS kan het daarom nuttig zijn een consultant in te huren of eerst een zogenaamde pre-audit of gap-analyse te laten verrichten, voordat ze een audit door een QSA doen of een Self-Assessment Questionnaire invullen.
____________________
PCI/DSS
PCI/DSS is een set richtlijnen die een kader bieden voor het inrichten van een omgeving die creditcardgegevens beter beschermt. De richtlijnen zijn alleen van toepassing indien creditcardnummers (PAN: Primary Account Number) worden opgeslagen, verwerkt of verstuurd. Andere kaarthoudergegevens (zoals kaarthoudernaam en vervaldatum) behoeven alleen bescherming indien ze samen met de gerelateerde creditcardnummers worden verwerkt of opgeslagen. Authenticatiegegevens als pincode en CVC (Card Validation Code) mogen hoe dan ook niet worden opgeslagen. Overigens blijven andere regelgevingen onverminderd van toepassing, zoals de Wet bescherming persoonsgegevens.
De richtlijnen van PCI/DSS zijn op hoofdlijnen gedefinieerd. Er zijn twaalf hoofdrichtlijnen verdeeld over zes secties:
Bouw en onderhoud een veilig netwerk
Vereiste 1:
installeer en onderhoud een firewallconfiguratie om kaarthoudergegevens te beschermen.
Vereiste 2:
Gebruik geen leverancierstandaarden voor systeemwachtwoorden en andere beveiligingsparameters.
Bescherm kaarthoudergegevens
Vereiste 3:
Bescherm kaarthoudergegevens die zijn opgeslagen.
Vereiste 4:
versleutel het versturen van kaarthoudergegevens via openbare netwerken.
Onderhoud een programma voor het beheersen van kwetsbaarheden
Vereiste 5:
Gebruik antivirussoftware en actualiseer deze regelmatig.
Vereiste 6:
Ontwikkel en onderhoud beveiligde systemen en applicaties.
Implementeer krachtige maatregelen voor toegangscontrole
Vereiste 7:
Beperk de toegang tot kaarthoudergegevens op basis van need-to-know.
Vereiste 8:
Wijs een unieke identifier toe aan iedere persoon die toegang heeft tot relevante systemen.
Vereiste 9:
Beperk de fysieke toegang tot kaarthoudergegevens.
Controleer en test IT-infrastructuren regelmatig
Vereiste 10:
Bewaak en controleer alle toegang tot relevante IT-componenten en kaarthoudergegevens.
Vereiste 11:
Test beveiligingscomponenten en -processen regelmatig.
Handhaaf een informatiebeveiligingsbeleid
Vereiste 12:
Handhaaf een beleid dat op informatiebeveiliging is gericht.
Dr. Rob van der Staaij is principal security consultant bij Atos Origin en auteur van het boek: Identiteitsmanagement - Beheersen van identiteiten.
Dit artikel verscheen eerder in Twinkle 10-2009.
Misschien een aardige tip over dit onderwerp: het gratis boekje PCI Compliance for Dummies. Dit behandelt op lichtvoetige wijze wat PCI Compliance is en hoe je als (web)winkelier compliant kunt worden en blijven. Een aanrader. http://www.qualys.com/forms/ebook/pcifordummies/