Security > PCI DSS FAQs

Wat is the PCI Standards Council?
De Payment Card Industry Standards Council is een instelling die door American Express, Discover Financial Services, JCB, MasterCard Worldwide en Visa International is opgericht met als doel de veiligheid van betaalrekeningen te verbeteren. De Council probeert dit doel te bereiken door alle ondernemingen, die credit-/debitcardgegevens opslaan en/of verstrekken, verplicht te stellen te voldoen aan de PCI Data Security Standard (PCI DSS).

Wat is PCI DSS?
PCI DSS staat voor Payment Card Industry Data Security Standard. Deze norm (algemeen bekend als ‘PCI’) beschrijft een aantal due diligence praktijken inzake beveiliging, die helpen garanderen dat gegevens van betaalkaarten op een veilige manier verwerkt worden. Deze norm, ontworpen door de 5 grootste creditcardmaatschappijen (American Express, JCB, MasterCard en Visa), bestaat uit 12 verschillende eisen met als doel:

1. Een veilig netwerk op te bouwen en te onderhouden
2. Gegevens van kaarthouders te beschermen in transit of at rest
3. Een programma voor risicomanagement te onderhouden
4. Strenge maatregelen voor toegangscontrole te implementeren
5. Regelmatig uw IT-infrastructuur te monitoren en te testen
6. Een beveiligingsbeleid te handhaven

Wat zijn de PCI DSS eisen?
PCI DSS comprises twelve requirements, often referred to as the ‘digital dozen’. These define the need to:

1. Een firewallconfiguratie installeren en onderhouden om gegevens van kaarthouders te beschermen
2. Geen standaardwaarden van verkopers gebruiken voor systeemwachtwoorden en andere veiligheidsmaatregelen
3. Opgeslagen gegevens van kaarthouders beschermen
4. De overdracht van gegevens van kaarthouders via open, publieke netwerken coderen
5. Antivirussoftware of –programma’s gebruiken en regelmatig updaten
6. Veilige systemen en applicaties ontwikkelen en onderhouden
7. Een beperking leggen op de toegang tot gegevens van kaarthouders door need-to-know van ondernemingen
8. Een uniek ID toewijzen aan elke persoon met toegang tot een computer
9. Een beperking leggen op de fysieke toegang tot gegevens van kaarthouders
10. Alle toegang tot netwerkbronnen en gegevens van kaarthouders traceren en monitoren
11. Regelmatig beveiligingssystemen en –processen testen
12. Een beleid met betrekking tot informatiebeveiliging voor werknemers en contractanten handhaven

Wat zijn betaalkaarten?
Onder de term “betaalkaarten” (wanneer het gaat over de doeleinden van de PCI DSS) vallen alle credit-/debitcards en bankpasjes van American Express, Discover, JCB, MasterCard of Visa.

Wat zijn betaalkaartgegevens?
Met betaalkaartgegevens worden die gegevens bedoeld die betrekking hebben op credit-/debitcards en hun eigenaren. Deze gegevens zijn in 2 categorieën verdeeld, namelijk ‘Gegevens van kaarthouders’ en ‘Gevoelige authentificatiegegevens’. PCI DSS legt enkele opslagbeperkingen op op gegevenselementen die deel uitmaken van deze categorieën.

Wat wordt bedoeld met de gegevens van kaarthouders?
Gegevens van kaarthouders verwijzen naar alle gegevens van een credit- of debitcard die bij een transactie worden gebruikt. De meest gebruikte gegevens van kaarthouders zijn het rekeningnummer, naam van de kaarthouder en de vervaldatum, die op de voorkant van de kaart staan weergegeven. Al deze elementen, en bovendien nog andere elementen, worden op de magnetische streep op de achterkant van de kaart digitaal opgeslagen.

Wat wordt bedoeld met gevoelige authentificatiegegevens?
Gevoelige authentificatiegegevens zijn veiligheidsgegevens die gebruikt worden om kaarthouders te authenticeren en kaarttransacties te autoriseren. Gevoelige authentificatiegegevens omvatten de opgeslagen gegevens op de magnetische strip en de CVC-code (Card Validation Code) – de drie of vier cijfers van een veiligheidscode die of op de voorkant of op de achterkant van een kaart te vinden zijn (ook bekend als CVV2).

Welke gegevenselementen van kaarthouders kunnen opgeslagen worden?
De PCI DSS beschrijft welke gegevenselementen opgeslagen kunnen worden en hoe zij beschermd moeten worden. U kunt het rekeningnummer, de naam van de kaarthouder en de vervaldatum, zolang deze gegevenselementen van kaarthouders beschermd zijn, opslaan. De gegevens worden beschermd door middel van codering. Hierbij wordt een sterke techniek gebruikt, zoals AES; of het rekeningnummer wordt ingekort. Deze bescherming is belangrijk, aangezien het bankrekeningnummer - samen met een van de andere elementen - in bepaalde gevallen bij de uitvoer van een betaling de minimaal noodzakelijke gegevens zijn.

Welke elementen van gevoelige authentificatiegegevens kunnen opgeslagen worden?
Geen. U kunt helemaal geen elementen van gevoelige authentificatiegegevens opslaan, zelfs niet als deze na de autorisatie van een transactie gecodeerd worden.

Wie moet er aan de PCI DSS voldoen?
Elke entiteit, hetzij een handelaar/verkoper of service provider, die gegevens van kaarthouders opslaat, verwerkt en/of verstrekt, moeten aan de PCI DSS voldoen – ongeacht de grootte van de entiteit en het aantal gemaakte transacties. De PCI DSS eisen zijn echter niet alleen van toepassing op elektronische gegevens. Ondernemingen zijn verplicht zich op een geschikte manier te ontdoen van gedrukt materiaal met gegevens van betaalkaarten en van de creditcardhouder. In grote ondernemingen waar afvalbeheer aan subcontractanten, zoals papierverwerkende bedrijven, wordt uitbesteed, moeten de entiteiten, die naar dergelijke diensten vragen, er zeker van zijn dat hun 'service providers' ook aan de PCI DSS norm voldoen. 

Is er een onderscheid tussen de typen handelaren/verkopers?
Alle handelaren/verkopers die transacties van betaalkaarten verwerken, worden, afhankelijk van het aantal jaarlijkse transacties, in 4 verschillende niveaus onderverdeeld:

• Niveau 1: Handelaren/verkopers met méér dan 6 miljoen transacties en handelaren/verkopers wiens gegevens van kaarthouders in gevaar zijn gebracht
• Niveau 2: Handelaren/verkopers met 1 tot 6 miljoen transacties
• Niveau 3: Handelaren/verkopers met 20.000 tot 1 miljoen transacties
• Niveau 4: Alle andere handelaren/verkopers

Is er een verschil tussen de verschillende typen service providers?
Alle service providers die transacties van creditcards verwerken, worden in de volgende 3 niveaus onderverdeeld:

• Niveau 1: Alle organisaties die betalingen verwerken en betalingsgateways
• Niveau 2: Alle service providers die niet tot niveau 1 behoren, maar wel jaarlijks méér dan 1 miljoen creditcardrekeningen of transacties hebben
• Niveau 3: Service providers die niet tot niveau 1 behoren, maar jaarlijks minder dan 1 miljoen creditcardrekeningen of transacties hebben

Ik ben een klant. Hoe kan ik aan de PCI DSS norm voldoen?
Om aan de PCI DSS norm te voldoen, zijn ondernemingen verplicht om aan alle twaalf eisen te beantwoorden en naleving hiervan te bewijzen, zoals weergegeven in de PCI DSS. Naleving kan als volgt bereikt worden:

• Level 1 merchants: Annual on site security audit & quarterly network scan. On site security audits are performed by a Qualified Security Assessor (QSA).
• Niveau 2, 3, 4 handelaren/verkopers: Jaarlijkse vragenlijst voor zelfevaluatie en elk kwartaal netwerkscans. Vragenlijsten voor zelfevaluatie worden intern door de klant samengesteld. Netwerkscans worden door een Approved Scan Vendor (ASV) uitgevoerd.

Ik ben een service provider. Hoe kan ik aan de PCI DSS norm voldoen?
Om aan de PCI DSS te voldoen, zijn ondernemingen verplicht om aan alle twaalf eisen te beantwoorden en naleving hiervan te bewijzen, zoals weergegeven in de PCI DSS. Naleving kan als volgt bereikt worden:

• Niveau 1 & 2 service providers: Jaarlijkse veiligheidscontrole ter plaatse en elk kwartaal netwerkscans. Veiligheidscontroles worden ter plaatse door een Qualified Security Assessor (QSA) uitgevoerd.
• Niveau 3 service providers: Jaarlijkse vragenlijst voor zelfevaluatie en elk kwartaal netwerkscans. Vragenlijsten voor zelfevaluatie worden intern door de klant samengesteld. Netwerkscans worden door een Approved Scan Vendor (ASV) uitgevoerd.

Welke verantwoordelijkheden hebben ontvangende banken?
Afnemers zijn momenteel niet verplicht om specifieke PCI DSS validatie- of certificeringsprocessen uit te voeren. Ontvangende banken moeten echter wel garanderen dat ze aan de PCI DSS norm voldoen, hetzij door de uitvoer van interne controles (door het volgen van de criteria in de vragenlijst voor zelfevaluatie), hetzij door uitbesteding van het proces aan Qualified Security Assessors (QSA’s).

Bovendien moeten ontvangende banken garanderen dat

• hun handelaren/verkopers voldoen aan de PCI DSS;
• alle service providers, die gegevens van betaalkaarten van hun of van hun handelaren/verkopers opslaan, verstrekken of verwerken, voldoen aan de PCI DSS.

Alle ontvangende banken (handelsbanken) moeten ervoor zorgen dat zij een gewaarmerkt bewijs ontvangen, waarin staat dat handelaren/verkopers met méér dan 20.000 transacties per jaar aan de PCI norm voldoen. Afnemers moeten garanderen dat de handelaren/verkopers en service providers op het juiste niveau valideren en vervolgens dat zij een bevestiging ontvangen van handelaren/verkopers met méér dan 20.000 transacties per jaar, waarin vermeld staat dat zij aan de PCI DSS norm voldoen. Na ontvangst van deze documentatie moeten afnemers maandelijkse statusrapporten inzake de naleving samenstellen en deze naar de grote creditcardmaatschappijen sturen. Alle documenten betreffende de naleving moeten bewaard worden en op verzoek aan creditcardmaatschappijen ter beschikking gesteld worden. Eigenlijk zouden ontvangende banken moeten controleren of service providers de documentatie betreffende de naleving aan creditcardmaatschappijen hebben verstuurd.

Wat is een QSA?
Qualified security assessors (QSA) zijn controlebedrijven die professionele security auditing services aanbieden aan ondernemingen die moeten aantonen dat ze aan de PCI DSS norm voldoen. Een lijst van QSA’s is te vinden op: https://www.pcisecuritystandards.org/pdfs/pci_qsa_list.pdf

Wat is een ASV?
Een Approved Scan Vendor (ASV) is een verkoper die ondernemingen, die aan de PCI DSS norm willen voldoen, services aanbiedt met betrekking tot netwerkrisico’s en veiligheidsscanning. Een lijst van ASV’s is te vinden op: https://www.pcisecuritystandards.org/pdfs/asv_report.html

Wat is een vragenlijst voor zelfevaluatie?
Een vragenlijst voor zelfevaluatie is een rapportage-eis voor handelaren/verkopers en service providers om aan de PCI DSS norm te voldoen. Deze vragenlijst wordt intern voltooid, zonder dat er een overeenkomst met derden gesloten wordt. Ondernemingen moeten deze vragenlijst over beveiliging invullen. Deze vragen behandelen de huidige en vroegere toestand van het netwerk.

Voor welke datum moet ik voldoen aan de PCI DSS?
Er zijn verschillende deadlines vastgesteld die voor alle creditcardmaatschappijen en regio’s verschillend zijn. De belangrijkste deadlines die Visa USA heeft vastgesteld, zijn:

• 31 maart 2007 – De deadline waarbij handelaren/verkopers van niveau 1 en 2 moeten aantonen dat zij geen volledige track data, CVV2 of PIN-gegevens opslaan.
• 30 september 2007 – De dag waarop alle handelaren/verkopers van niveau 1 verwacht worden volledig aan de PCI DSS norm te voldoen.
• 31 december 2007 – De dag waarop alle handelaren/verkopers van niveau 2 verwacht worden volledig aan de PCI DSS norm te voldoen.

Visa Europa heeft een deadline voor 30 juni 2007 vastgesteld. Afnemers worden geacht te bevestigen dat hun handelaren/verkopers volledig aan de PCI DSS norm voldoen.

Met wie moet ik contact opnemen als ik twijfel of meer informatie nodig heb?
Bij twijfels over een van deze zaken aangaande PCI DSS, dient u als eerst contact op te nemen met uw handelsbank.

Hoe lang duurt het voordat ik aan de PCI DSS norm voldoe?
Er is geen standaard tijdskader hiervoor, aangezien dit afhankelijk is van de grootte van het netwerk, zijn complexiteit en veiligheidsniveau.

Wat gebeurt er bij niet-naleving?
Er zijn consequenties verbonden aan niet-naleving van de PCI DSS norm. Ondernemingen worden geconfronteerd met boetes van tot $500.000 en hoge proceskosten. Van een operationeel standpunt gezien kunnen handelaren/verkopers en service providers van niveau 2, 3 of 4, die met inbraken op het netwerk te maken hebben gehad, van hun oorspronkelijk niveau naar niveau 1 stijgen. Dit heeft financieel gezien een nadelige invloed, aangezien in niveau 1 meerdere eisen gesteld worden aan de naleving. Bovendien niet-naleving heeft invloed op de merkreputatie en stelt ondernemingen bloot aan grote negatieve publiciteit, waardoor het vertrouwen van de klanten ondermijnd wordt.

Welke voordelen zijn er voor de implementatie van PCI DSS?
PCI DSS is een verzameling van bindende regels die IT-beveiligingsprocessen bevordert in organisaties die creditcardgegevens verwerken. Het doel van de PCI DSS norm is om het aantal gevallen van financiële fraude te verminderen door te zorgen voor een betere netwerkbeveiliging bij alle ondernemingen die creditcardgegevens verwerken. Er zijn vele voordelen verbonden aan de naleving van de PCI DSS. De belangrijkste voordelen voor een organisatie zijn:

• Bescherming van persoonlijke gegevens van klanten
• Een toename in het vertrouwen van de klant door middel van een hoger niveau van gegevensbeveiliging
• Een betere bescherming tegen financieel verlies en kosten van remediatie die door inbraken op netwerken zijn ontstaan
• Handhaving van het vertrouwen van de klant en bescherming van de reputatie
• Benchmarking en vaststelling van beveiligingsmechanismen van systemen die gegevens van kaarthouders opslaan, verwerken en/of verstrekken

Hoe lang duurt het om weer tot mijn oorspronkelijk niveau terug te keren nadat ik door een inbreuk tot niveau 1 behoor?
Dit bestrijkt twee jaar; het eerste jaar is bedoeld om procedurele fouten, die de inbreuk op het netwerk hebben veroorzaakt, op te lossen. Het tweede jaar is een bufferperiode om er voor te zorgen dat nieuwe inbraken op het netwerk voorkomen worden.

Zijn er online bronnen die ik kan raadplegen?
PCI Security Standards Council
https://www.pcisecuritystandards.org

Begeleidende documenten
https://www.pcisecuritystandards.org/tech/supporting_documents.htm

PCI DSS verzoeken
http://pcianswers.com

Uitgebreide lijst van PCI DSS hulpmiddelen
http://pcianswers.com/resources/

GFI EventsManager en GFI LANguard N.S.S. checklists
http://www.gfi.com/security/pci.htm