7 tips PCI DSS

31-10-2016

Wie creditcardbetalingen verwerkt, krijgt te maken met strenge veiligheidseisen. De industriestandaard PCI DSS moet fraude met persoonsgegevens tegengaan. In dit artikel delen we zeven tips waarmee u goed voorbereid bent op uw PCI DSS transformatie. 

Eerder dit jaar trad de informatiebeveiligingsstandaard PCI DSS versie 3.2 in werking. Deze is door de vijf grootste creditcardmaatschappijen ter wereld (Visa, MasterCard, American Express, Discover en JCB) ontwikkeld en stelt bedrijven die persoonsgegevens voor betalingen verwerken verantwoordelijk voor de bescherming hiervan. Deze organisaties krijgen te maken met ruim driehonderd bepalingen, uitgebreide audits en ingrijpende consequenties bij non-compliance.

> Ontdek hoe wij u kunnen helpen met PCI DSS compliance.

De financiële risico’s voor bedrijven die niet compliant zijn, zijn groot. Zelfs als er maar het vermoeden van een datalek bestaat, volgt direct forensisch onderzoek. Ondertussen loopt de omzet terug omdat het bedrijf geen betalingen mag verwerken, zijn er kosten voor het herstel én is sleutelpersoneel niet beschikbaar voor dagelijkse taken. Kortom: non-compliance is een regelrechte business killer.

PCI-compliant zijn is belangrijk. Maar hoe bereid je een organisatie daarop voor? Enkele tips:

1. Verken de kloof

De eerste stap in elk project voor bedrijven die PCI-compliant dienen te zijn, is een assessment van de IT-omgeving, de procedures en de organisatie van alle processen waarbij medewerkers met persoonsgegevens werken. Dit maakt de kloof zichtbaar die zij moeten overbruggen om compliant te worden en de aanzet van een actieplan.

2. Benader het als een transformatieproces

Het implementeren van maatregelen voor PCI DSS is een veelomvattend transformatieproject. PCI DSS grijpt namelijk niet alleen in op de technologie, maar ook op mensen en processen. De impact is voelbaar in de volledige digitale stack van de organisatie. Dit betekent dat niet alleen technologie onder de loep komt te liggen, maar ook het managen van veranderingen in deze omgeving en het monitoren van alle processen.

3. Update het beleid

PCI DSS kent vele aspecten die een organisatie moet implementeren. Met meer dan driehonderd bepalingen is de laatste versie van de standaard bijzonder ingrijpend voor de documentatie van organisaties. Een advies is om huidige beleidsdocumenten één op één te vergelijken met de PCI-eisen. Dit geeft een beeld van bepalingen die de organisatie bijvoorbeeld zou moeten toevoegen aan de algemene voorwaarden voor klanten of in andere beleidsstukken

4. Streef naar verbetering – voortdurend

Sommige bedrijven zullen moeten veranderen als gevolg van PCI DSS. Niet voor het certificaat zelf – auditors maakt het immers niet uit hoe een bedrijf georganiseerd is, zolang deze maar werkt volgens de PCI-eisen – maar wel voor wat optimaal is voor het bedrijf. Deze moet immers rekening houden met budgetten, timeframes en de kwaliteit van de diensten. Om problemen voor te zijn en efficiënt te blijven zou eigenlijk het voortdurend aanbrengen van verbeteringen op organisatorisch en technisch niveau het uitgangspunt moeten zijn. Voor het implementeren van deze voortdurende verbeterslagen is een vast proces nodig waar medewerkers steeds weer op kunnen terugvallen.

5. Haal de discipline aan

In alle lagen van de organisatie moet een security awareness bestaan. Dit vertaalt zich onder meer naar een proces waarin veranderingen voortdurend gecheckt worden door verantwoordelijke (compliance) managers, en assessments volgen. Het aanbrengen van veranderingen in PCI-omgevingen vereist veel discipline. Logs moeten bijvoorbeeld chronologisch kloppen, wat vraagt om strikte controles op vaste momenten.

6. Stimuleer innovatie

Om de adoptie van PCI DSS soepel te laten verlopen, moet een bedrijf nieuwe tools en processen implementeren. Organisaties moeten innovatief zijn en nadenken over nieuwe manieren van werken. Bedrijven waar iedereen op ‘eilandjes’ werkt, zijn in het nadeel bij PCI DSS omdat zij minder flexibel zijn. organisaties daarentegen waar mensen aan verschillende projecten tegelijk werken, met uiteenlopende activiteiten en technologieën en waar korte communicatielijnen zijn naar het management vormen een goede voedingsbodem voor creativiteit. Dit zorgt voor de innovatiedrang die nodig is voor PCI DSS.

7. Investeer in flexibiliteit

PCI DSS schrijft op veel onderdelen tot in het kleinste detail voor aan bedrijven hoe zij systemen moeten inrichten. Ook in de toekomst zullen de creditcardmaatschappijen achter de standaard dit blijven doen. Recent kondigden zij bijvoorbeeld aan het verouderde netwerkprotocol TLS 1.0 te willen verbieden, wat op weerstand stuitte van banken met verouderde systemen. Een belangrijke les uit deze kwestie is: investeer in flexibele systemen om toekomstige eisen eenvoudig te kunnen implementeren.

Outsourcing kan een oplossing zijn

Veel bedrijven – waaronder veel kleine (e)retailers maar ook grote banken – kiezen voor outsourcing van hun infrastructuur en applicatieplatform. Dit is niet alleen (kosten)efficiënt, maar maakt ook dat niet zij, maar de leverancier de verantwoordelijkheid draagt over PCI-compliance van de infrastructuur.

> Ontdek hoe wij u kunnen helpen met PCI DSS compliance.