Tuesday, September 5, 2017

PCI DSS-standaard beter nageleefd

PCI DSS-standaard beter nageleefd Maar echt veilig werken doen er maar weinig

creditcard 
                                                                             
© CC0 Pixabay.com
5 september 2017
55 procent van de circa 300 bedrijven die zich in 2016 hebben laten toetsen op compliancy met de PCI-DSS-standaard door Verizon kwam in één keer door die test heen. Dat zijn er eindelijk meer dan de helft, constateert het bedrijf, dat de cijfers hiervan nu 5 jaar heeft bijgehouden.
Dat is het goede nieuws uit het Payment Security Report 2017 van Verizon. Het slechte nieuws is dat dus bijna de helft van de bedrijven die creditcardbetalingen uitvoeren op zijn minste enige tijd niet voldeed aan de standaard. En dan gaat het onder meer om winkels, hotels en restaurants. Ze blijken niet in staat te blijven voldoen aan de standaard. Uiteindelijk – na een paar pogingen – komen ze positief uit een audit, maar volgens Verizon verliezen ze snel daarna de focus en voldoen ze er niet meer aan. Tot de volgende audit.
De standaard PCI-DSS geldt voor alle bedrijven die creditcardgegevens opslaan, verwerken of versturen. Een aantal grote creditcardmaatschappijen heeft zich verenigd in de PCI Council die erop toeziet dat de regels worden nageleefd.
Verizon meet al vijf jaar hoe de bedrijven die het moet toetsen op PCI-DSS-compliance hierbij presteren. Het percentage dat in een keer aan de standaard voldoet, is vervijfvoudigd in die periode. In totaal gaat het om ongeveer 300 bedrijven.
Slecht nieuws is echter dat de organisaties die niet geheel voldoen aan de standaard een steeds groter aantal van de controls mist. In 2015 ging het om 12,4 procent en in 2016 was dat gestegen tot 13 procent van de vereiste controls.

Grotere kans op datalek

En niet aan de standaard voldoen, vergroot toch het risico op datalekken, zo blijkt. Verizon heeft de gegevens uit het Payment Security Report vergeleken met die uit zijn Data Breach Investigation Report. Daaruit blijkt dat van alle bedrijven die betrokken waren bij een datalek op het gebied van creditcards tussen 2010 en 2016 er geen een geheel voldeed aan de PCI DSS-standaard tijdens de aanvallen.
Een woordvoerder van Verizon vindt het van groot belang dat de bedrijven die aan de standaard moeten voldoen er op zijn minst voor zorgen dat er “veilige betalingen gedaan kunnen worden over zogeheten niet-vertrouwde netwerken, zoals wifi en internet. De beveiliging daarvan moet echt beter. “Ook ziet hij nog partijen worstelen met encryptie. “Een eis is dat kritieke data in je systemen onleesbaar moeten zijn, versleuteld dus. En er moet een goed sleutelbeheer zijn. Dat is niet makkelijk, blijkt.” En het wordt zeker niet makkelijker voor bedrijven om aan deze eisen te voldoen doordat ze te kampen hebben met een groot tekort aan deskundige security-experts. “Ze huren wel mensen in, IT-experts, maar geen securitymensen. Die zijn erg schaars. Maar je hebt wel hun expertise nodig.”

No comments:

Post a Comment