E-Commerce en PCI-DSS: wie, wat, waar, wanneer en hoe?

De relatie tussen een webwinkelier en een consument is voor een groot deel gebouwd op vertrouwen. Security is daarom belangrijk, zeker bij betalen op internet. Online-veiligheidsexpert Vincent Ossewaarde gaat uitgebreid in op de beveiligingsstandaard PCI-DSS.

Tekst: Vincent Ossewaarde

Consumenten vertrouwen erop dat webwinkels hun afspraken nakomen en winkeliers vertrouwen erop dat consumenten eerlijke shoppers zijn die de boel niet flessen door criminaliteit of fraude. Zolang die vertrouwensband in stand blijft, is het plezierig winkelen op het internet.

Als het gaat om betalen zijn consumenten vaak wat minder makkelijk van vertrouwen: door phishing-aanvallen op banken en door recente media-aandacht aan diefstal van persoonsgegevens stellen consumenten steeds vaker eisen aan hun winkeliers voor het verrichten van financiële transacties. Maar niet alleen consumenten zien het belang van een goede security in.

Creditcards
Creditcards vormen de ruggengraat van het moderne betalingsverkeer op internet en dat snappen niet alleen consumenten en winkeliers, maar ook de creditcardmaatschappijen. Omdat ook hún business voor een groot deel draait om vertrouwen, stellen ze eisen aan bedrijven die creditcards verwerken. Deze eisen zijn gebundeld in een beveiligingsstandaard, genaamd PCI-DSS (Payment Card Industry - Data Security Standard). Alle bedrijven die creditcards opslaan, verwerken of verzenden zijn verplicht de regels in deze standaard na te leven.

PCI-DSS: Ontstaan
PCI-DSS is ontstaan door het samenvoegen van de verschillende security policies die de afzonderlijke creditcardmaatschappijen voorheen hanteerden. Gezamelijk hebben ze een zelfstandige organisatie opgezet, de PCI Council, die toeziet op het naleven van de regels en zorgt voor het actueel houden van de verschillende eisen. De samenwerkende creditcardmaatschappijen, American Express, Mastercard, Visa, Diners en JCB, zorgen ervoor dat hun zogenaamde merchants - webwinkels, payment processors, hotels en gewone winkeliers - voldoen aan de standaard

PCI-DSS: Waar gaat het over?
Inhoudelijk buigt PCI-DSS zich vooral over de beveiliging van creditcard-gegevens. Alle systemen, mensen en processen die inzicht hebben of kunnen krijgen in de zogenaamde cardholder data, de combinatie van creditcardnummer en tenaamstelling, moeten voldoen aan de regels. Die regels zijn in te delen in technische maatregelen (bijvoorbeeld het verplicht gebruiken van virusscanners of encryptie), maar ook in organisatorische maatregelen, bijvoorbeeld het screenen van personeel en het bijhouden wie toegang heeft tot de serverruimte waar de cardholder data is opgeslagen.

PCI-DSS: Verschillende rollen
Om het naleven van de regels mogelijk te maken, hebben de creditcardmaatschappijen een aantal verschillende rollen gedefinieerd. De organisaties die moeten voldoen aan de regels worden merchants genoemd. Dit zijn de winkeliers die creditcards verwerken, opslaan of verzenden.  Ze kunnen (of in sommige gevallen: moeten) daarvoor de hulp inschakelen van experts op het gebied van PCI-DSS, de zogenaamde Qualified Security Assessors, kortweg QSA’s. Deze experts moeten aantoonbaar veel ervaring hebben op het terrein van informatiebeveiliging en worden continue gescreend en getrained om hun kennis op peil te houden. Als onderdeel van de regels moeten regelmatig penetratietests worden uitgevoerd door een Approved Scanning Vendor, een zogenaamde ASV. Tenslotte is er nog een buitencategorie van bedrijven die moeten voldoen aan de regels, de zogenaamde service-providers. Dit zijn bedrijven die diensten mogen leveren aan merchants, zoals datacenters, internet providers of payment processors. Als een merchant voldoet aan alle regels wordt deze PCI-compliant genoemd.

Verschillende niveaus
Binnen PCI-DSS zijn verschillende niveaus van beveiliging geformuleerd die afhangen van het aantal transacties dat wordt uitgevoerd. De regels zijn voor alle partijen hetzelfde, maar de manier waarop dat gecontroleerd wordt is verschillend. Het zwaarste niveau is voorbehouden aan zogenaamde level-1 merchants. Deze merchants doen veel transacties en hebben veel kaartgegevens opgeslagen. Zij moeten hun omgeving elk jaar laten testen door een QSA en uitgebreide documentatie aanleveren over de inrichting van hun bveiligingssystemen. Merchants met minder transacties (level 2 tot en met 4) zijn niet verplicht om een QSA in te schakelen, maar mogen zelf een verklaring invullen dat ze aan alle richtlijnen voldoen. Deze verklaring heet een Self-Assessment Questionnaire (SAQ) en kent vijf verschillende varianten voor verschillende typen merchants.

Wanneer aan voldoen?
De vraag of iemand moet voldoen aan PCI-DSS kent een eenvoudig antwoord: zodra creditcard gegevens worden opgeslagen, verzonden of verwerkt, moet een bedrijf voldoen aan PCI-DSS. In de meeste gevallen zullen banken of payment processors het initiatief nemen om hun merchants hierop te wijzen en aan te geven aan welk level ze moeten voldoen. Dat gebeurt door het opvragen van de zogenaamde ‘Attestation of Compliance’, een document waarin de merchant verklaart te voldoen aan de PCI-DSS-regels. Ook al is de verleiding misschien groot om snel de self-questionnaire in te vullen en de verklaring van compliancy in te sturen, door een handtekening te zetten verklaart een merchant daadwerkelijk compliant te zijn en daar kan hij aan gehouden worden als er op de een of andere manier creditcardnummers op straat komen te liggen.

Het gebruik van een payment processor
Veel ondernemers op internet handelen niet zelf hun betalingen af, maar schakelen de diensten in van een zogenaamde payment processor. Consumenten winkelen bij een webwinkelier en zodra er betaald moet gaan worden, sturen winkeliers hun klanten door naar een virtuele internetkassa die alle betalingen afhandelt. In zo’n situatie ziet de webwinkelier nooit een creditcardnummer, maar ontvangt hij van de virtuele kassa een bericht dat de betaling is gelukt. Omdat hier geen sprake is van opslag, verwerking of verzenden van creditcards, hoeven dergelijke winkeliers níet te voldoen aan de PCI-DSS-regels. Dat is anders als de creditcardnummers wél inzichtelijk zijn, bijvoorbeeld als ze gebruikt worden als referentie voor een betaling of reservering. In dat geval is de winkelier verplicht om te voldoen aan PCI-DSS.

PCI-DSS in Nederland
De PCI-DSS-regels zijn overal ter wereld hetzelfde. Toch zijn er duidelijk regionale verschillen te ontdekken. In de Verenigde Staten en het Verenigd Koninkrijk is PCI-DSS een hot topic, omdat creditcards daar een zeer algemeen geaccepteerd betaalmiddel zijn. Banken leggen sommige merchants boetes op of verhogen de transactiekosten zodra ze niet voldoen aan de PCI-DSS-regels, wat tot veel aandacht voor de PCI-regels heeft geleid. In Europa en Nederland worden steeds meer bedrijven zich bewust van de gevoelige gegevens die ze opgeslagen hebben en verplichten banken hun klanten steeds vaker om compliant te worden.

Geen creditcards, toch veilig?
De PCI-DSS-regels zijn niet alleen een must voor bedrijven die creditcards verwerken, het is óók een praktische en zinnige standaard voor informatiebeveiliging in het algemeen. Daarom wordt PCI-DSS nogal eens gebruikt als raamwerk voor het toetsen van beveiliging van systemen die helemaal geen creditcards verwerken, maar bijvoorbeeld financiële of medische gegevens bevatten.

Help! Ik moet compliant worden
Als uw bedrijf creditcards opslaat, verwerkt of verstuurt, dient u compliant te zijn aan de PCI-DSS-regels. Geen eenvoudige taak, maar ook weer geen onneembare vesting. Om compliant te worden dient een aantal stappen gezet te worden. Allereerst moet bepaald worden welke questionnaire geschikt is voor uw bedrijf. Vervolgens is het zaak om een zo duidelijk mogelijke scheiding aan te brengen aan systemen die compliant moeten zijn en systemen die dat níet hoeven te zijn. Tenslotte dienen alle vragen ingevuld te worden voor de systemen die ‘in scope’ zijn. Professionele hulp inschakelen door een QSA te benaderen betaalt zich vrijwel altijd dubbel en dwars uit: u wint aan zekerheid dat alle regels op de juiste manier geïnterpreteerd worden en bespaart een hoop geld door de kennis en ervaring in te huren van een specialist.

Vincent Ossewaarde is PCI-QSA en mede-eigenaar van Fortytwo, actief op het gebied van netwerken en security en Redbee, gespecialiseerd in managed hosting. Daarnaast publiceert hij regelmatig in publiekstijdschriften en vakliteratuur.