Creditcardgegevens van consumenten lopen gevaar doordat bedrijfsleven moeite blijft houden met naleving van PCI DSS-standaard

Creditcardgegevens van consumenten lopen gevaar doordat bedrijfsleven moeite blijft houden met naleving van PCI DSS-standaard

Volgens rapport van Verizon vergroot een gebrekkige naleving van de PCI DSS-standaard de kans op gegevensdiefstal

AMSTERDAM – Voor het tweede jaar op een rij blijkt uit het Verizon rapport dat teveel bedrijven moeite hebben met het naleven van de beveiligingsstandaarden voor creditcardgegevens. Hierdoor komen de vertrouwelijke gegevens van consumenten in gevaar.

Volgens het Verizon Payment Card Industry Compliance Report blijven de meeste bedrijven die betalingen op basis van creditcards accepteren problemen houden met de naleving van de richtlijnen van de Payment Card Industry Data Security Standard (PCI DSS). Hierdoor lopen deze bedrijven een groter risico om slachtoffer te worden van diefstal van vertrouwelijke consumentengegevens en creditcardfraude.

Bedrijven slagen er niet in om voortdurend aan deze richtlijnen te voldoen, ondanks het feit dat ze hiermee strafmaatregelen riskeren zoals hoge boetes en een verhoging van de transactiekosten die creditcardbedrijven hen in rekening brengen. Bedrijven staan bovendien onder druk van partners en klanten om hun voortdurende naleving van de PCI DSS-standaard aan te tonen.

Naast een analyse van de huidige stand van zaken met betrekking tot de naleving van de PCI DSS-richtlijnen biedt het rapport inzicht in de mate waarin ondernemingen voldoen aan de 12 hoofdrichtlijnen van de beveiligingsstandaard. Verder biedt het rapport bedrijven aanbevelingen voor gegarandeerd voortdurende naleving van de richtlijnen.

“We hadden gehoopt dat meer bedrijven aan de PCI DSS-richtlijnen zouden voldoen. We zijn namelijk van mening dat naleving hiervan de beveiliging binnen het bedrijfsleven zal verbeteren en het aantal beveiligingsincidenten zal terugdringen”, aldus Wade Baker, directeur Risk Intelligence bij Verizon. “Dit rapport toont bedrijven een overzicht van aspecten waarop ze hun activiteiten het beste concentreren en aanbevelingen op basis waarvan ze sneller kunnen voldoen aan de PCI-richtlijnen. Ons uiteindelijke doel is om een veiliger creditcardomgeving te garanderen voor consumenten en het bedrijfsleven.”

N.B.: Er zijn aanvullende informatiebronnen voor het rapport beschikbaar, zoals een podcast en diagrammen en grafieken met een hoge resolutie.

Onderzoeksbevindingen op basis van PCI-audits en gevallen van gegevensdiefstal
Het rapport is gebaseerd op meer dan 100 PCI DSS-audits die in 2010 werden uitgevoerd door Verizons team van gekwalificeerde PCI-consulenten. De resultaten van deze audits werden gecombineerd met gegevens die verzameld werden door het Investigative Response-team van Verizon tijdens onderzoek naar praktijkgevallen van diefstal van creditcardgegevens. Het Verizon Risk Intelligence-team zette de onderzoeksresultaten vervolgens af tegen de bevindingen uit het 2011 Verizon Data Breach Investigations Report, met als resultaat een rijkere en diepgaandere gegevensverzameling.

De onderzoeksgegevens hebben betrekking op informatie die werd verkregen via bedrijven in de Verenigde Staten, Europa en Azië en vormen daarmee voor de eerste keer een neerslag van het mondiale karakter van de PCI-standaard.

Belangrijkste onderzoeksbevindingen
Enkele van de belangrijkste bevindingen van het 2011 Verizon Payment Card Industry Compliance Report zijn:

• De naleving van de PCI DSS-richtlijnen is verbeterd noch verslechterd, maar desalniettemin nog steeds “teleurstellend”. Slechts 21 procent van alle bedrijven bleek tijdens de eerste audit volledig aan de PCI-richtlijnen te voldoen. Als mogelijke redenen voor dit breedschalige gebrek aan naleving noemt het rapport een overdaad aan zelfvertrouwen, gemakzucht en de noodzaak om zich op andere nalevings- en beveiligingskwesties te concentreren.

• Er blijft sprake van een correlatie tussen een gebrekkige naleving van de PCI-richtlijnen en diefstal van creditcardgegevens. Het rapport toonde eens te meer aan dat bedrijven die ten prooi vallen aan gegevensdiefstal naar alle waarschijnlijkheid niet voldoen aan de PCI-richtlijnen en een grotere kans maken om het slachtoffer te worden van identiteitsdiefstal en fraude.

• Bedrijven hebben moeite met hoofdrichtlijnen van de PCI-DDS-standaard. Bedrijven hadden het meeste moeite met de hoofdrichtlijnen 3 (bescherm opgeslagen creditcardgegevens), 10 (bewaak en controleer de toegang), 11 (test systemen en processen regelmatig) en 12 (handhaaf het beveiligingsbeleid). Al deze hoofdrichtlijnen houden rechtstreeks verband met de beveiliging van creditcardgegevens.

• Als compliance-activiteiten niet op prioriteit worden ingedeeld, bestaat de kans dat bedreigingen met een hoog risico uit het oog worden verloren. De in 2009 geïntroduceerde Prioritized Approach is speciaal ontwikkeld om bedrijven te helpen met het identificeren en reduceren van risico's met betrekking tot creditcardgegevens en om het jaarlijkse PCI-proces te vereenvoudigen. Uit het rapport blijkt echter dat bedrijven op het gebied van PCI DDS geen risicogebaseerde aanpak hanteren, maar de standaard als richtsnoer aanhouden. Hierdoor verliezen veel bedrijven belangrijke beveiligingsrisico's uit het oog die hen juist de grootste schade kunnen berokkenen.

• De PCI-standaard biedt bescherming tegen de meest voorkomende aanvalsmethoden. Malware en hacking zijn de meest gebruikte methoden om creditcardgegevens te stellen. Verschillende overlappende hoofdrichtlijnen van de PCI-standaard zijn speciaal ontwikkeld om bescherming tegen dergelijke aanvalsmethoden te bieden.

Aanbevelingen voor het naleven van de PCI DSS-standaard
Op basis van een uitgebreide analyse doet Verizon bedrijven de volgende aanbevelingen ten aanzien van de naleving van de PCI-standaard:

• Behandel compliance als een alledaags, onophoudelijk proces. Compliance betekent voortdurende naleving van de PCI DSS-richtlijnen. Dit betekent dat bedrijven hun logbestanden dagelijks moeten evalueren, de integriteit van hun bestanden wekelijks moeten bewaken, hun infrastructuur elk kwartaal op kwetsbaarheden moeten controleren en jaarlijkse penetratietests moeten uitvoeren. Om dit te bereiken raadt Verizon ondernemingen aan om binnen hun organisatie een PCI-manager aan te stellen om ervoor te zorgen dat naleving met de standaard deel uitmaakt van de dagelijkse gang van zaken.

• Voer zelf een uiterst nauwkeurige controle uit, of controleer zelf helemaal niets. Handelaars op niveau 1 en 2 die het hoogste aantal creditcardtransacties verwerken, mogen volgens de standaard zelf audits uitvoeren. Vanwege de talloze problemen en belangenverstrengelingen waartoe dit kan leiden raadt Verizon bedrijven echter met klem aan om een objectieve externe partij in te schakelen om de omvang van de audit te bepalen en/of de audit uit te voeren.

• Maak u klaar om de lat hoger te leggen. In oktober 2010 kondigde de PCI Security Standards Council de introductie aan van versie 2.0 van de PCI DSS-standaard. Deze versie vereist een striktere managementsamenvatting en rechtvaardiging van de methodiek die is gehanteerd voor het bepalen van de auditomvang. Bedrijven die serieuze problemen hebben met de huidige standaard doen er daarom goed aan om zich snel klaar te stomen voor de nieuwe versie.

Aanvullende onderzoeksresultaten en aanbevelingen zijn te vinden in het volledige rapport, dat kan worden gedownload via http://www.verizonbusiness.com/go/2011pci/us. Naast het rapport kunnen lezers relevante informatiebronnen raadplegen via het Verizon PCI Report Resource Center.

Over Verizon
Verizon Communications Inc. (NYSE, NASDAQ: VZ) heeft zijn hoofdkantoor in New York en is marktleider in het leveren van breedband en andere draadloze en draadgebaseerde communicatieoplossingen aan consumenten, bedrijven, de overheid en groothandelaren. Verizon Wireless runt het meest betrouwbare draadloze netwerk in de VS met meer dan 104 miljoen verbindingen door het land. Ook biedt Verizon geconvergeerde communicatie, informatievoorziening en entertainmentdiensten via het meest geavanceerde glasvezelnetwerk van de VS en levert het bedrijf naadloze zakelijke oplossingen aan klanten over de hele wereld. Verizon maakt gebruik van een divers personeelsbestand van meer dan 196.000 mensen en behaalde in 2010 als Dow 30 aangeschreven een geconsolideerde omzet van 106,6 miljard dollar. Voor meer informatie, bezoek www.verizon.com.
 

####

VERIZON'S ONLINE NEWS CENTER: Verizon´s persberichten, speeches en biografieën van bestuursleden, mediacontacten, hoge kwaliteit video, beelden en andere informatie zijn beschikbaar op Verizon's News Center: http://www.verizon.com/news / news. Voor het ontvangen van persberichten per e-mail, ga naar de News Center en registreer voor aangepaste automatische aanlevering van nieuwsberichten van Verizon.
Note voor de pers: dit betreft een niet officiële vertaling.



Media contacts:
Brianna Carroll Boyle
+1 703 859 4251
brianna.boyle@verizon.com

Nilesh Pritam
+65 6248 6599
nilesh.pritam@sg.verizonbusiness.com

Clare Ward
+44 118 905 3501
clare.ward@uk.verizonbusiness.com


Hartelijke groet/ Kind regards,

Dina-Perla Marciano


global technology PR

Dina-Perla Marciano | axicom | watertorenplein 4b | 1051pa | amsterdam | | t: +31 (0)20 75469 86 | f: +31 (0)20 75469 88 | m: +31 (0)6 30 045 484 | dina-perla.marciano@axicom-benelux.com |www.axicom.com |linkedin| follow us on Twitter here or follow my personal account here