Naleving PCI DSS gaat achteruit, maar er zijn ook lichtpuntjes

Leperlier Gabriel

De internationale beveiligingsstandaard PCI DSS helpt bedrijven die betaalkaartmogelijkheden aanbieden om hun betaalsystemen te beschermen tegen lekken en diefstal van kaarthoudergegevens. Maar daarvoor moeten ze wel blijvend aan de voorschriften voldoen. En volgens Verizon is dat lang niet altijd het geval.

Uit het ‘2019 Payment Security Report’ - dat eind vorig jaar verscheen - blijkt dat de naleving van de voorschriften voor betalingsbeveiliging is afgenomen. Reden voor een gesprek met Gabriel Leperlier, Senior Manager Security Consulting EMEA bij Verizon.

Verizon1

Toen Visa in 2004 de Payment Card Industry Data Security Standard (PCI DSS) introduceerde, gingen velen ervan uit dat organisaties binnen vijf jaar structureel aan de regels zouden voldoen. Maar nu, vijftien jaar later, is het aantal bedrijven wereldwijd dat de regels naleeft en handhaaft gedaald van 52,5 procent (PSR 2018) naar slechts 36,7 procent (PSR 2019). En dat terwijl Verizon stelt dat het nog nooit een lek in de beveiliging van betaalkaarten heeft gevonden bij een organisatie die volledig aan de PCI DSS-normen voldoet. Naleving heeft dus duidelijk zin.

Grote verschillen

“Als we naar de geografische ligging van bedrijven kijken, dan zien we grote verschillen”, zegt Leperlier. “We hebben gemerkt dat de APAC-bedrijven het heel goed doen: bijna 70 procent van de bedrijven was in staat om de PCI DSS-compliance in de loop van het jaar te handhaven. Dit is veel beter dan Europa en Amerika. In Europa, het Midden-Oosten en Afrika (EMEA) ligt dit percentage op 48 procent. Bedrijven op het Amerikaanse continent scoren slechts 20,4 procent.”

Verizon2

Hoe doet Nederland het in vergelijking met andere toonaan­gevende landen? “We hebben geen specifieke gegevens over Nederland verzameld. Maar als hoofd van het Verizon Security Assurance-team voor EMEA ken ik onze Nederlandse PCI-klanten. Ze scoren gemiddeld vergelijkbaar met andere toonaangevende Europese landen.”

Belangrijke maatregelen

Wat zijn volgens Leperlier de drie belangrijkste maatregelen die bedrijven moeten nemen rond betalingen? “De eerste maatregel is: ontwerp, implementeer & onderhoud een duurzaam compliance-programma. Daarna is het belangrijk om beveiligingssystemen en -processen goed te testen. Niet alleen door interne en externe scans, maar ook aan de hand van penetratietesten, Intrusion Detection en File Integrity Monitoring. En tenslotte is het essentieel om een cyberincident effectief te identificeren en er adequaat op te reageren. Test je Incident Response Plan diepgaand.”

Positieve ontwikkelingen

Iedereen klaagt altijd dat de veiligheid ‘opnieuw’ in een slechtere staat verkeert, maar wat is de belangrijkste positieve ontwikkeling die Verizon heeft gezien? Leperlier kiest zijn woorden zorgvuldig. “Helaas kan ik er niets aan veranderen dat de wereldwijde compliance inderdaad opnieuw achteruitgegaan is. Maar op sommige gebieden, zoals bescherming tegen kwaadaardige software en beperking van de toegang volgens het need-to-know-principe, hebben bedrijven het over het algemeen beter gedaan.” 

Verizon3

Een andere positieve ontwikkeling is volgens Leperlier dat veel bedrijven zich nu wel realiseren dat ze tot nu toe hun compliance niet goed hebben gehandhaafd. “Veel van hen hebben besloten een ‘PCI Office’ in het leven te roepen dat de compliance in realtime in de gaten houdt. Hopelijk zien we daar de voordelen van in 2020.”