PCI DSS ontleed: hoe je je betaalkaartgegevens veilig houdt

De vereisten van de Payment Card Industry Data Security Standard (PCI DSS) zouden beschouwd moeten worden als de basis voor betaalkaartbeveiliging. Ondanks het feit dat de Standaard niet álle manieren beschrijft voor hoe organisaties betaalkaartgegevens het beste kunnen beschermen, zet het wel uiteen wat zij zouden moeten doen, waaronder het in kaart brengen van de juiste procedures, beleid en werkmethoden.

Toch blijkt voor veel organisaties de PCI DSS niet helemaal zo te werken: de meerderheid slaagt er niet in om hun eerste beoordeling te halen of verliezen hun volledige naleving binnen een jaar nadat ze het behaald hebben. Hoewel de meest waakzame organisaties het volledig onder de knie hebben, is gebleken dat de meeste organisaties zich allereerst moeten richten op het naleven van de Standaard.  

In deze blog gaan we dieper in op de PCI DSS, en leggen we uit hoe je snel en effectief aan de vereisten kunt voldoen. 

Beperk je kaarthoudergegevens-omgeving

Je kunt je organisatie van een aanzienlijke last ontdoen door je kaarthoudergegevensomgeving – ofwel cardholder data environment (CDE) – te beperken. Met andere woorden, we raden aan dat je het aantal plaatsen waar gevoelige informatie wordt opgeslagen vermindert. De PCI DSS vereist dat organisaties specifieke maatregelen nemen om hun CDE te beschermen, dus het is een goed idee om het zo klein mogelijk te maken.

Om dit te doen, raden we aan om de verwerkingsactiviteiten tot de essentie te beperken. Je kunt nagaan wat precies de essentie is door te analyseren hoe de gegevens door je organisatie stromen. Dit vergt een volledig up-to-date netwerkdocumentatie en kennis van de processen binnen de organisatie.

Zo begin je al te analyseren hoe de gegevens je organisatie binnenstromen, bijvoorbeeld via het internet, telefoonlijnen, postsysteem of fax. Door de route van de gegevens binnen de organisatie van begin tot eind te volgen, kun je de elementen die betrokken zijn bij het verwerken, opslaan en verzenden van de kaarthoudergegevens het beste analyseren. 

Deze analyse moet zowel betrekking hebben op de actieve gegevensstromen als op de verwerking en opslag van back-upmedia.

Het verwerken van kaarthoudergegevens

Hardware- en softwaresystemen zijn niet de enige verwerkingsmethoden die gebruikt worden voor kaarthoudergegevens. Het omvat alles wat verbonden is met de CDE, waaronder werknemers die omgaan met de gegevens, telefoongesprekken, post, fax en het beheer van servers. Daarnaast omvat het ook alle derde partijen, zoals dienstverleners die namens je organisatie kaarthoudergegevens verwerken, opslaan of verzenden. Denk bijvoorbeeld aan IT-klantenservicemedewerkers die beheerdersrechten hebben voor firewalls, routers of servers. 
 
Waar geen gegevens aanwezig zijn

Hoewel het belangrijk is dat je je richt op de plaats waar kaarthoudergegevens meestal bewaard worden, moet je ook in de gaten houden dat gegevens niet opeens op onjuiste plekken terecht komen. Zo kun je bijvoorbeeld direct ingrijpen als een gegevensverwerker per ongeluk een document met gevoelige informatie op zijn of haar bureau heeft laten liggen.  
 
Om ervoor te zorgen dat je analyse nauwkeurig is, moet je technieken voor het ontdekken van gegevens toepassen. Elke geïdentificeerde locatie moet overeenkomen met de gegevensstroomanalyseresultaten. Als je een verhouding ontdekt die niet klopt, toont dit aan dat kaarthoudergegevens op niet-geïdentificeerde locaties worden bewaard, en geen deel uitmaken van de normale gegevensstroom.

Er valt nog veel meer te leren

Een gegevensstroomanalyse – ofwel ‘data flow analysis’ – is slechts een deel van het proces. Zo moet je bijvoorbeeld ook je redenen om de reikwijdte van het CDE te beperken documenteren, aangezien auditors dit zullen gebruiken als referentie. 
 
Onze PCI DSS Staff Awareness cursus biedt duidelijke en eenvoudige uitleg over wat je medewerkers moeten doen om aan de vereisten van de Standaard te voldoen.

Deze online cursus is ideaal voor iedereen in je organisatie en moet worden ingezet als onderdeel van je algehele bewustmakingsprogramma voor informatiebeveiliging. Het legt uit: 

  • Wat de PCI DSS is en waarom werknemers hiervan op de hoogte moeten zijn; 
  • De termen en definities die de Standaard gebruikt; en 
  • Hoe je de vereisten van de PCI DSS toe kunt passen. 

Verkrijg hier meer informatie over onze PCI DSS Staff Awareness cursus >> 
PCI DSS Staff Awareness E-learning Course

Leave a Reply

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe jouw reactie gegevens worden verwerkt.