Development

Dit is een bijdrage van Verizon Nederland
Security
Blog Verizon Payment Security Report 2019

Compliance in betaalkaartindustrie onder druk

Wat gaat er mis en wat kan er beter?

9 april 2020
Door: Verizon Nederland, partner

Wat gaat er mis en wat kan er beter?

In 2004 bundelden betaal- en creditkaartmaatschappijen hun krachten en lanceerden de Payment Card Industry Data Security Standard. Naleving van de PCI DSS is nu een eis voor iedere organisatie die creditcardtransacties verzendt, verwerkt of opslaat. PCI DSS vierde eind 2019 dus zijn 15e verjaardag, maar het is de vraag of er reden is voor een feestje. Onderzoek van Verizon toont aan dat het realiseren van een effectieve en duurzame controle-omgeving voor vele organisaties een uitdaging blijft. Wat gaat er mis en wat kan er beter? De betaalindustrie lijkt vooral behoefte te hebben aan de juiste begeleiding om effectiviteit en volwassenheid van security- en compliance-maatregelen te meten.

Compliance is meer dan het bijwerken van afvinklijstjes en het strooien met geld. Vaak leiden deze maatregelen tot een vals gevoel van veiligheid. Te veel organisaties zitten vast in een reactief patroon dat je kunt vergelijken met een periodieke wasbeurt van je auto: wassen en spoelen graag. Het is een procedure die zich alleen richt op het voldoen aan basiseisen en dat is niet toereikend voor de voorwaarden waar je volgens de PCI DDS aan moet voldoen. Toen de standaard in 2004 effectief werd, was het de verwachting dat organisaties vijf jaar nodig zouden hebben om volledige en duurzame compliance te bereiken. Nu we 15 jaar verder zijn, blijkt dat in 2018 minder dan de helft van de betrokken organisaties (38 procent) volledig compliant was. Hoogtepunt was 2016 toen 55 procent PCI DSS compliant was, wat onder meer inhoudt dat zij ieder kwartaal interne (automatische) scans uitvoeren om kwetsbaarheden in hun infrastructuur te ontmaskeren. In 2012 beleefden we volgens het Verizon Payment Security Report 2019 het dieptepunt met 11 procent compliant organisaties.

Strategie is essentieel
Wat gaat er dan verkeerd in al die jaren? Er zijn verschillende uitdagingen waar de betaalkaartindustrie tegenaan loopt. In de eerste plaats kunnen we met een beschuldigende vinger wijzen naar security professionals die denken dat zij data kunnen beschermen door een vast script te volgen. Als je A doet, vervolgens B uitrolt en ten slotte C uitvoert, in deze enige juiste volgorde, dan komt het goed. Dan ben je zeker van effectieve en duurzame databescherming. Maar de praktijk is een stuk weerbarstiger, de wereld rotter. 

In de tweede plaats kunnen we vaststellen dat organisaties erg veel geld stoppen in het optuigen van hun Data Protection Compliance Program (DPCP). Desondanks zijn veel van deze programma’s niet effectief en blijken alleen op papier te leiden tot adequate maatregelen. En in de derde plaats blijkt een DPCP niet zelden te worden ontwikkeld zonder deugdelijke strategie. Databescherming moet je benaderen als een schaakpartij: je hebt een speelstrategie in je hoofd, waar het bepalen van risico’s en het vooruit plannen van zetten deel van uit maken. Iedere zet moet je evalueren en daarop acteren. Dat gebeurt niet en CISO’s nemen maar al te vaak genoegen met basale controlemechanismen, maar daarmee win je de wedstrijd niet. Ook remise wordt lastig. En dat kan in een kwetsbare sector als de bancaire grote gevolgen hebben. Vertrouwen komt te voet en gaat te paard.

Databescherming
Natuurlijk doen organisaties in de betaalkaartindustrie alles om toch een controle-omgeving te realiseren die compliant is. Het is gewoon lastig om een databeschermingsprogramma te laten renderen. Niet in de laatste plaats omdat de technologie waar de betaalkaart infrastructuur op draait steeds complexer en geavanceerder wordt. Verder heb je vooral veel nodig: capaciteit, mensen, kennis en vaardigheden, betrokkenheid en communicatie. Heb je als organisatie deze elementen op orde, dan kun je stappen zetten om een meer volwassen databeschermingsprogramma te bouwen. Deze stappen zijn:

  • Prioriteren. Security-professionals moeten leren om prioriteiten aan te brengen in hun doelstellingen. Er zijn namelijk altijd meer issues op te lossen dan een organisatie tegelijkertijd aan kan. Het aanbrengen van focus is dan ook cruciaal.
  • Registreer de interne vorderingen gedetailleerd. Om problemen te kunnen identificeren en te bepalen of afwijkingen acceptabel of onacceptabel zijn, is het noodzakelijk dat je interne databeschermingsprogramma’s kunt afzetten tegen de compliance standaarden. Dat betekent dat je alle handelingen en resultaten nauwgezet moet documenteren.
  • Pas risicobeheertechnieken toe. De oorzaak van problemen ligt nooit in één enkel aspect van de controle-omgeving. Door systematisch te evalueren met risicobeheertechnieken kun je vaststellen of je te maken hebt met een geïsoleerde security issue of dat er sprake is van terugkerende events of van een patroon. Zo kun je gerichter maatregelen nemen en ervoor zorgen dat je groeit met je databeschermingsprogramma.

Vertrouwen onder druk
De betaalkaartindustrie moet oppassen. Hoe banken, payment service providers en klanten met elkaar samenwerken rust voor een groot deel op vertrouwen. Vertrouwen dat processen, data en uiteindelijk ook geldstromen goed beveiligd worden tegen oneigenlijk gebruik en cybercriminaliteit. De standaarden die de sector zelf geformuleerd heeft vormen de basis onder dit vertrouwen. Wanneer de compliance ratio’s niet snel omhoog kruipen, komt dit fundament onder druk te staan.

Reactie toevoegen