Continue Compliant Elektronisch Betalingsverkeer

Maat: px
Weergave met pagina beginnen:

Download "Continue Compliant Elektronisch Betalingsverkeer"

Transcriptie

1 Continue Compliant Elektronisch Betalingsverkeer Auteur: Drs. Ingrid Terlien CISSP CISM Studentnr.: Datum:

2

3 INHOUDSOPGAVE 1. INLEIDING AANLEIDING OPDRACHTFORMULERING Probleemstelling Centrale vraagstelling Deelvragen Scope AANPAK ONDERZOEK STRUCTUUR EN OPBOUW ELEKTRONISCH BETALINGSVERKEER ALGEMEEN PROCESSING (AUTORISATIE EN CLEARING) SETTLEMENT INFRASTRUCTUUR CLEARINGHUIS TOEKOMSTIGE ONTWIKKELINGEN RICHTLIJNEN BETALINGSVERKEER SINGLE EUROPEAN PAYMENT AREA (SEPA) PAYMENT CARD INDUSTRY DATA SECURITY STANDARD (PCI-DSS) Inleiding De standaard Assessment en non-compliance CONTINUE MONITORING, AUDITING & ASSURANCE BEGRIPPEN EN SAMENHANG FREQUENTIE VAN CONTINUE CONTINUE MONITORING PROCES BEVINDINGEN THEORETISCH ONDERZOEK BEHEERSMAATREGELEN BEHEERSMAATREGEL: INRICHTING INFRASTRUCTUUR BEHEERSMAATREGEL: INRICHTING CONTINUE COMPLIANCE BEHEERSMAATREGEL: INRICHTING CONTINUE MONITORING VAN DE TECHNISCHE INFRASTRUCTUUR BEHEERSMAATREGEL: BEWIJSVOERING VOOR AANTONEN CONTINUE COMPLIANCE

4 6. BEVINDINGEN EMPIRISCH ONDERZOEK BEHEERSMAATREGELEN OPZET PRAKTIJKONDERZOEK BEHEERSMAATREGEL: INRICHTING INFRASTRUCTUUR BEHEERSMAATREGEL: INRICHTING CONTINUE COMPLIANCE BEHEERSMAATREGEL: INRICHTING CONTINUE MONITORING VAN DE TECHNISCHE INFRASTRUCTUUR BEHEERSMAATREGEL: BEWIJSVOERING VOOR AANTONEN CONTINUE COMPLIANCE VRAAGSTELLING, BEANTWOORDING EN AANBEVELINGEN DEELVRAGEN EN BEANTWOORDING CENTRALE VRAAGSTELLING EN BEANTWOORDING AANDACHTSPUNTEN EN AANBEVELINGEN PERSOONLIJKE REFLECTIE DANKWOORD BIJLAGE LITERATUURLIJST VRAGENLIJST

5 1. Inleiding 1.1. Aanleiding Een veilig en betrouwbaar betalingsverkeer draagt bij aan de borging van een stabiel financieel stelsel. Dit betekent dat onder andere laagwaardige betalingen (zoals betalingen in winkels of het overmaken van geld door middel van een betaalopdracht) veilig en zonder verstoringen moeten plaatsvinden. De afhandeling van laagwaardige betalingen wordt door verschillende partijen uitgevoerd. Transacties via geld- en betaalautomaten worden door een Processor uitgevoerd. De afhandeling van betalingstransacties via internet worden door de zogenaamde Payment Service Providers verzorgd. Gezien het grote volume in aantallen transacties en geld, kan het voorkomen dat Processors en Payment Service Providers doelwit worden van frauduleuze of criminele handelingen. Hierbij valt te denken aan ongeoorloofde toegang, het wijzigen, vernietigen of misbruik van gegevens. Het is daarom van groot belang dat de beveiliging van de systemen van een zodanig hoog niveau zijn dat het risico minimaal is. Naast dat de Processors en Payment Service Providers zelf hoge eisen aan de beveiliging van de systemen stellen, worden stringente eisen vanuit wet- en regelgeving opgelegd. Een regelgeving waaraan moet worden voldaan is PCI-DSS (Payment Card Industry Data Security Standard). Deze eis wordt door de creditcard maatschappijen (onder andere Mastercard en Visa) opgelegd. In deze regelgeving worden zowel technische als procedurele eisen opgelegd en deze worden jaarlijks middels een audit getoetst. Het is vereist dat ten alle tijden kan worden aangetoond dat aan de eisen van PCI-DSS wordt voldaan. Dit houdt in dat niet alleen tijdens een audit moet worden aangetoond dat de organisatie compliant is maar, in tegenstelling tot ISO en ISAE3402, dient een organisatie zelfs aan te tonen dat zij aan de eisen van PCI-DSS voldeed ten tijde van een data breach, waarbij inbreuk op de beschikbaarheid, integriteit en/of vertrouwelijkheid plaatsvindt. 3

6 Indien de organisatie dit niet kan aantonen, zullen sancties worden opgelegd door de Payment Brands. Dit betekent dat een organisatie op een zodanige wijze moet worden ingericht dat continue assurance kan worden afgegeven en dat continue monitoren van de omgeving een minimale vereiste is om te voldoen aan de eisen. Een van de belangrijkste taken van een Security Officer is de continuïteit (24/7) en de veiligheid op het gebied van betalingen voor de IT infrastructuur te borgen. Hierbij dient de IT infrastructuur op een zodanig manier ingericht te worden dat het zowel continue gemonitord als ge-audit kan worden. De vraag op welke wijze de IT infrastructuur ingericht moet worden, zodat op een efficiënte en effectieve wijze continue op de verschillende niveaus (operationeel, tactisch en strategisch) gemonitord en geacteerd kan worden bracht mij tot dit onderzoek Opdrachtformulering Probleemstelling De core business van zowel Processors als Payment Service Providers is het leveren van een betrouwbaar, integer en beschikbaar proces voor het betalingsverkeer waarin zij dient als intermediair. Daarnaast spelen factoren zoals wet- en regelgeving en concurrentie voor deze organisaties een belangrijke rol. Het probleem dat hierbij ontstaat is dat enerzijds de organisatie een kwalitatief hoogwaardige dienst moet leveren waarbij de risico s geminimaliseerd zijn terwijl anderzijds de organisatie competitief moet blijven in de markt. Dit laatste houdt in dat zij de kosten dient te beheersen en haar processen zo efficiënt en effectief mogelijk dient in te richten. Dit kan leiden tot conflicterende belangen binnen de organisatie. 4

7 Centrale vraagstelling Op basis van de aanleiding en de probleemstelling is de centrale vraagstelling als volgt: Op welke wijze dienen organisatie en beheer van de IT infrastructuur bij vitaal elektronisch betalingsverkeer ingericht te worden om continue te voldoen aan de regelgeving van PCI-DSS op een continue aantoonbare wijze? Deelvragen Om de hoofdvraag te kunnen beantwoorden, is het onderzoek gesplitst in verschillende deelvragen, te weten: Op welke wijze is het elektronische betalingsverkeer ingericht en wat is haar dynamiek? Wat houdt de regelgeving PCI-DSS in en aan welke eisen moeten worden voldaan? Welke inzichten met betrekking tot continue monitoring en continue audit zijn beschreven in het elektronische betalingsverkeer? Op welke wijze is de technische infrastructuur bij Processors en Payment Service Providers ingericht? Voldoet de huidige inrichting aan de regelgeving van PCI-DSS en welke maatregelen worden thans genomen? Op welke wijze worden maatregelen getroffen om middels bewijsvoering continue aantoonbaar in control te zijn? Scope De scope van het onderzoek is beperkt tot de technische infrastructuur. De technische infrastructuur wordt gedefinieerd als het geheel van technologische componenten, systeem- en toepassingssoftware, procedures en documentatie die nodig zijn voor het beschikbaar stellen van een of meerdere informatiesystemen (ITIL). 5

8 De componenten zijn (bron: [34]): Verwerkingsapparatuur c.q. infrastructuur verwerkingssystemen De apparatuur en de programmatuur die nodig zijn om de toepassingen te laten functioneren. Dit betreft de hardware, operating system en virtuele machine. Opslagapparatuur c.q. infrastructuur opslagsystemen De apparatuur en programmatuur die nodig zijn om de gegevensverzamelingen op te slaan, zoals storage (SAN/NAS, e.d.), databases (en het daarbij behorende databasemanagementsysteem) en andere middleware voor de koppeling van verschillende computerplatformen en applicaties. Communicatie- of netwerkinfrastructuur De communicatieverbindingen tussen verwerkingsapparatuur onderling en tussen verwerkingsapparatuur en opslagapparatuur. Organisatie-infrastructuur Het beleid, processen, procedures en werkinstructies die nodig zijn voor de inrichting en beheer van de technische infrastructuur. De scope van het onderzoek beperkt zich tot de technische infrastructuur omdat de configuratie instellingen in deze infrastructuur altijd na ingebruikname kunnen worden gewijzigd door de beheerder. Daarnaast zal alleen ingegaan worden op de security standaard PCI-DSS (Payment Card Industry Data Security Standard) omdat deze standaard toeziet op het continue compliant zijn. Andere wet- en regelgeving vallen buiten de scope van het onderzoek. De informatiesystemen zelf vallen buiten de scope van dit onderzoek. De beweegreden hiervoor is dat bij informatiesystemen de beveiligingseisen tijdens het software ontwikkelingstraject worden geïmplementeerd. Een eenmaal opgeleverd informatiesysteem kan later niet worden gewijzigd doordat de source code is gecompileerd. 6

9 1.3. Aanpak onderzoek Om antwoord te kunnen krijgen op de deelvragen en de uiteindelijke centrale vraag, is de toegepaste onderzoeksmethode een combinatie van een literatuurstudie en een praktijkstudie. Op basis van de literatuurstudie wordt nagegaan in hoeverre al onderzoek is gedaan naar het onderwerp continue compliant infrastructuur in het elektronische betalingsverkeer. Met behulp van de literatuur wordt een beeld gevormd op welke wijze een continue compliant technisch infrastructuur zou moeten worden ingericht en welke eisen hieraan gesteld worden. Daarnaast wordt inzicht gegeven in de huidige stand van zaken ten aanzien van continue compliance bij betalingsverwerkers. De praktijkstudie is uitgevoerd middels een schriftelijke vragenlijst die is uitgestuurd naar twee Processors en drie Payment Service Providers. Tevens hebben diverse expert interviews plaatsgevonden met de PCI-DSS auditor van deze organisaties. Tenslotte is gebruik gemaakt van de eigen opgebouwde kennis en ervaring. Door zowel de input van mensen uit de organisatie als de IT Auditor wordt een beeld verkregen dat verschillende invalshoeken belicht. De resultaten van het praktijkonderzoek in vergelijking met het literatuuronderzoek zullen de input vormen voor de beantwoording van de centrale vraag van dit onderzoek Structuur en opbouw Het document is opgebouwd uit vier delen. De inleiding beschrijft de aanleiding tot het onderzoek, de probleemstelling, de centrale onderzoeksvraag en bijbehorende deelvragen. Tevens wordt de scope gedefinieerd en de wijze waarop het onderzoek is aangepakt. De hoofdstukken 2, 3 en 4 bestaan uit het literatuuronderzoek waarin de deelvragen worden uitgewerkt. In hoofdstuk 2 wordt de deelvraag Op welke wijze is het elektronisch betalingsverkeer ingericht en wat is haar dynamiek beantwoord. In hoofdstuk 3 wordt de regelgevingen die betrekking heeft op het elektronische betalingsverkeer beschreven en zal ingegaan worden op de richtlijn Single European Payment Area (SEPA) en de standaard 7

10 Payment Card Industry Data Security Standard (PCI-DSS). Tot slot zal hoofdstuk 4 de inzichten met betrekking tot continue monitoring en continue auditing worden belicht. In de hoofdstukken 5 en 6 worden de bevindingen van de beheersmaatregelen die genomen moeten worden beschreven. De bevindingen van het theoretische onderzoek zijn in hoofdstuk 5 uitgewerkt en hoofdstuk 6 de bevindingen van het empirisch onderzoek. Tot slot wordt in hoofdstuk 8 de centrale vraag en deelvragen beantwoord. Tevens worden in dit hoofdstuk aanbevelingen gegeven die van belang zijn voor een goede implementatie van het continue compliance proces. 8

11 2. Elektronisch betalingsverkeer 2.1. Algemeen De infrastructuur van het betalingsverkeer geeft aan op welke wijze transacties worden verwerkt en verrekend. Er zijn diverse manieren waarop transacties worden verwerkt, maar over het algemeen wordt hetzelfde business model gebruikt. Het business model wordt ook wel het 4-party model genoemd en ziet er als volgt uit: Betaler (kaarthouder) Ontvanger (Verkoper) Issuing Bank Clearing house Acquiring Bank Figuur 1: 4-party model In de vier hoeken van het 4-party-model staan de partijen die betrokken zijn bij een transactie, te weten: de betaler, ontvanger, Issuing bank (uitgever van de betaalkaart en bank van de betaler) en de Acquiring bank (bank van de ontvanger). In dit model is een vijfde partij toegevoegd, het Clearinghuis. Dit is een tussenpartij die zorgt dat transacties administratief en financieel worden afgehandeld. De dienst die geleverd wordt door het Clearinghuis is afhankelijk van het type Clearinghuis (zie paragraaf 2.4). Naast de genoemde partijen, bestaat de infrastructuur tevens uit de volgende elementen: Processing (autorisatie en clearing): Processing bestaat uit de deelprocessen autorisatie en clearing. In het autorisatieproces wordt de verificatie en de autorisatie van een transactie uitgevoerd. In het clearingproces worden de transacties tussen een Issuing- en Acquiring bank verzameld, gesorteerd, het te vereffenen bedrag berekend en de informatie hierover uitgewisseld. 9

12 Settlement (vereffening): Dit houdt in dat de bank het te vereffenen bedrag van haar klant uitvoert. Dit is dus de daadwerkelijke betaling van het over te boeken bedrag van de bank van de betaler naar de bank van de ontvanger. Betalingsinstrument: Dit is het hulpmiddel waarmee toestemming kan worden verleend om een transactie in te dienen. In dit onderzoek zijn dat de betaalkaarten (debet- en creditkaarten). Voorbeeld: Transactie met gebruik van een betaalkaart: A. De consument koopt een product bij een winkel. In het geval dat de consument in de winkel zelf is, betaalt de consument aan de kassa (POS-terminal) met de betaalkaart. Het is ook mogelijk dat de consument bijvoorbeeld bij een webwinkel een aankoop verricht. De betaling wordt dan uitgevoerd met behulp van de gegevens van de betaalkaart. B. Het betaalsysteem dat de ontvanger gebruikt is aangesloten bij de Acquiring bank en na invoeren van de gegevens in het betaalsysteem wordt autorisatie aangevraagd. De aanvraag kan lopen via: I. Acquiring bank (in figuur pijl B I ) II. Clearinghuis (in figuur pijl B II ) C. De autorisatie wordt doorgestuurd naar de Issuing bank. Dit kan via de Acquiring bank (pijl C I ) of via het Clearinghuis (pijl C II ). D. De Issuing bank controleert of de consument het transactiebedrag van de rekening mag afhalen. Als de het tegoed van de consument toereikend genoeg is om de transactie af te ronden zal de Issuing bank een akkoord geven aan de partij die het autorisatie verzoek heeft gedaan. Dit kan de Acquiring bank (zie pijl D I ) van de winkel zijn of het Clearinghuis (pijl D II ). E. Het betaalsysteem krijgt via de Acquiring bank (pijl E I ) of via het Clearinghuis (pijl E II ) door of de betaling akkoord is en afgerond mag worden. Betaler Ontvanger (kaarthouder) A B II E II (verkoper) Betaalsysteem POS-terminal Webwinkel B I E I Issuing Bank C II D II Clearing house C I D I Acquiring Bank 10

13 2.2. Processing (autorisatie en clearing) Processing bestaat uit de deelprocessen autorisatie en clearing. In het autorisatieproces wordt de verificatie en de autorisatie van een transactie uitgevoerd. Via het betaalsysteem wordt bij de bank van de betaler (Issuing bank) geverifieerd of de betaler de transactie mag uitvoeren (authenticatie). Vervolgens wordt geverifieerd of de betaler geautoriseerd is om het bedrag van de rekening af te halen (autorisatie). Indien de betaler voldoet aan de eisen, wordt de transactie door de Issuing bank goedgekeurd. In het clearingproces worden de transacties tussen de Issuing- en Acquiring banken verzameld, gesorteerd en het te vereffenen bedrag per bank berekend. Het te vereffenen bedrag kan bestaan uit miljoenen individuele transacties per dag en is daarom een geheel geautomatiseerd proces. De transacties kunnen zowel intra bancair als interbancair zijn. Een intra bancaire transactie (ook wel concernverkeer genoemd) betreft een transactie tussen een betaler en een ontvanger van dezelfde bank. Dit proces is niet meer dan een eenvoudig boekhoudkundig proces omdat het alleen een overboeking betreft van de rekening van de betaler naar de rekening van de ontvanger en geen geld wordt overgeboekt naar een andere bank. Bij interbancair betalingsverkeer houden de betaler en de ontvanger een rekening aan bij verschillende banken. In dit geval vindt zowel het boekhoudkundige proces, de boeking van de betaling, als de daadwerkelijke verplaatsing van geld tussen de verschillende banken plaats. Dit laatste kan worden uitgevoerd door een derde partij, ook wel Clearinghuis genoemd. Om de miljoenen transacties efficiënt en correct te verwerken wordt gebruik gemaakt van het clearingproces. Het clearingproces bestaat uit de volgende activiteiten: Het sorteren van betaalinstructies per bank naar de verschillende begunstigde banken en het berekenen van de te vereffenen bedragen; Het sturen van settlement instructies; Het sturen van alle relevante informatie over de individuele betalingen en over de te vereffenen bedragen aan de betrokken banken. 11

14 Het clearingproces is een volledig geautomatiseerd proces. Voor de verschillende typen betalingen zijn verschillende clearing systemen in gebruik. Voor betalingen met betrekking tot betaalkaarten, waar dit onderzoek zich op richt, wordt gebruik gemaakt van het systeem STEP2. Het clearingproces kan door de bank zelf worden uitgevoerd, maar meestal wordt het uitgevoerd door een Clearinghuis. Een Clearinghuis ontvangt van de aangesloten banken de te verwerken transactiegegevens. Het clearingproces is een administratief proces. De transacties worden boekhoudkundig verwerkt op de rekening van de betaler en ontvanger, maar de daadwerkelijke geldtransactie vindt hier nog niet plaats. Dat wordt pas gerealiseerd in het settlementproces Settlement Het settlementproces is de uiteindelijke verrekening van transacties tussen de betrokken banken en is tevens een volledig geautomatiseerd proces. De settlement vindt plaats bij een centrale bank. De centrale bank debiteert de rekening van de Issuing bank en crediteert de rekening van de Acquiring bank. De settlementprocedure zelf is onafhankelijk van het feit of er één of meerdere transacties tegelijk aan de settlement instructie ten grondslag liggen. Voorbeeld betalingsverkeer: clearing en settlementproces De laatste stap in het vorige voorbeeld was dat de betaling geautoriseerd was door de Issuing bank (actie D). In het clearingproces (C) worden de volgende stappen uitgevoerd: C1. De Issuing en Acquiring bank sturen de transactiegegevens naar het Clearinghuis. C2. Het Clearinghuis sorteert deze en andere binnenkomende transacties en berekent het te vereffenen bedrag. C3. Het Clearinghuis stuurt de settlementinstructie naar de Settlement Agent C4. Het Clearinghuis stuurt informatie over de individuele betalingen naar de Acquiring bank en settlementinformatie naar de Issuing bank. 12

15 Het settlementproces(s) voert vervolgens de volgende stap uit: S1. Het settlementsysteem (TARGET2) checkt het saldo op de rekening van de Issuing bank en als dit toereikend is, wordt de rekening gedebiteerd en de rekening van de begunstigde, de Acquiring bank, gecrediteerd. Het sturen van de saldo- en transactie informatie naar de betaler en ontvanger valt buiten het clearing en settlementproces en wordt door de bank zelf uitgevoerd. Betaler (kaarthouder) Ontvanger (Verkoper) Issuing Bank S1 C1 C4 Clearing house C2 C3 Settlement Agent C1 C4 Acquiring Bank S Infrastructuur Clearinghuis Voor de clearing en settlement infrastructuur, ook wel het Clearing & Settlement Mechanism (CSM) genoemd, zijn regels vastgelegd waaraan deze infrastructuur moet voldoen. Er is onderscheid gemaakt tussen de volgende typen clearinghuizen: Payment Service Provider Clearinghuis voor transactieverwerking van internet betalingen. Zij biedt de mogelijkheid om betalingen op een webwinkel van een winkelier af te handelen. Processors Clearinghuis voor alleen debet- en credit cards transacties. De transacties gaan niet rechtstreeks naar de banken, maar moeten eerst worden verstuurd naar de credit card maatschappijen (VISA, Mastercard, etc.). Vervolgens worden de transacties doorgezonden naar een (Pan European) Automated Clearing House (PE-)ACH en de (PE-) ACH stuurt de 13

16 gegevens door naar het settlementproces. Voor de betalingen worden dezelfde netwerken en apparatuur gebruikt als voor betalingen die via een (PE-)ACH lopen. Processors, die alleen debet en credit kaart transacties afhandelen, hoeven niet te voldoen aan de SEPA (Single European Payment Area) 1 richtlijnen, maar wel aan de richtlijnen die voor de debet-/creditcard maatschappijen gelden. Het betreft hier vaak processors die voor een bepaalde keten/branche de clearing verrichten. ACH (Automated Clearing House) Dit type Clearinghuis verwerkt alle betalingstransacties, zowel kaart als betalingsopdrachten. De ACH biedt zowel de clearing (zoals een Processor) als de settlement functionaliteit aan. De betalingsopdrachten worden uitgewisseld tussen de verschillende deelnemende partijen middels een elektronisch clearing systeem. Vervolgens worden de opdrachten verzameld en aangeboden aan het settlement systeem om de daadwerkelijke betalingen te verrichten. De clearinghuizen zijn compliant voor één of meerdere SEPA betaalmiddelen. Het gaat hier om commercieel verwerkende partijen die voor de gehele sector (bijvoorbeeld hotels, tankstations, etc.) werken. Voorbeelden zijn First Data Corporation en TSYS. PE-ACH (Pan European Automated Clearing House) Dit zijn Clearinghuizen die voldoen aan de SEPA eisen die zijn opgesteld voor het verwerken van Europese betalingen en door het Clearing & Settlement Mechanism. De Clearinghuizen kunnen zowel domestic als cross-border betalingen afhandelen. Dit betekent dat betalingen van alle banken in de eurolanden en in eigen land verwerkt kunnen worden, hetzij indirect via intermediaire banken of direct door middel van koppelingen tussen infrastructuren. Het betreft hier vaak het interbancair betalingsverkeer. Voorbeelden zijn Equens SE (Nederland, Duitsland), VocaLink (Verenigd Koninkrijk), STET (Frankrijk). Het Multi-CSM model (zie figuur 2), is ontwikkeld door de European Automated Clearing House Association (EACHA), en geeft weer op welke wijze de infrastructuur kan worden ingericht voor het clearing en settlement om operabiliteit te kunnen borgen. In dit model zijn 1 Single European Payment Area. Zie hoofdstuk

17 de deelnemende CSM s op elkaar aangesloten, zodat zij naast hun eigen klanten (intra-csm) ook elkaars klanten (inter-csm) kunnen bereiken voor het verwerken van transacties. Intra CSM Bank Bank Bank PE-ACH Bank Bank ACH Bank PE-ACH Bank Inter CSM ACH Figuur 2: Multi-CSM model Bank 2.5. Toekomstige ontwikkelingen Sinds de introductie van de euro is de markt voor het elektronische betalingsverkeer volop in beweging. Diverse ontwikkelingen zijn gaande waardoor de stabiele monopolistisch positie van Clearinghuizen verleden tijd wordt. De belangrijkste ontwikkelingen in de markt voor de betalingsverkeer zijn: Groei non-cash payments De trend in de betalingsverkeer is dat cash payments in loop der tijd minimaal zullen worden en de non-cash payments (zoals betaalkaart betalingen, micro betalingen, e- wallets) enorm zullen toenemen. De Clearinghuizen zullen zich moeten voorbereiden om de grotere volumes te kunnen verwerken. Veeleisende klanten Grote corporaties (bijvoorbeeld: IKEA, Shell, Vodafone) verlangen steeds hogere kwaliteit voor concurrerende prijzen. Zij sturen nadrukkelijk op het verlagen van de kosten van hun betalingsverkeer. Daarnaast wordt de verwerking van betalingen soms bij meerdere Clearinghuizen uitgevoerd. Deze ontwikkeling zal leiden tot een consolidatieslag waarbij alle transacties in de toekomst bij slechts één Clearinghuis wordt ondergebracht. Transparantie markt Op Europees niveau is besloten om te komen tot een gemeenschappelijke, transparante 15

18 betaalmarkt. Binnen de eurozone kunnen bedrijven voor hun betalingsverkeer diensten afnemen bij vele aanbieders. Sinds de Directive on Payment Services (PSD) van kracht is, is het juridische kader vastgelegd voor interne competitie op de Europese betaalmarkt. Standaardisatie Vanuit regelgeving (SEPA) wordt standaardisatie van betalingsverwerking geëist. Deze standaardisatie maakt differentiatie moeilijker, waardoor de concurrentie zich voornamelijk zal richten op prijs, kwaliteit en service niveau. Dit vergt een andere benadering van de markt en een andere manier waarop de business wordt gedreven. Nieuwe toetreders Door de transparantie van de markt en de standaardisatie zien diverse marktpartijen (ATOS, EDS, IBM etc.) kansen in de markt voor betalingsverkeer. Het betreft grote spelers in de outsourcing-branche. De ervaring die zij hebben in outsourcing en relatiebeheer van grote wereldwijde ondernemingen zetten zij in om de markt open te breken. Fusies, joint ventures en overnames Door de open markt zullen er zowel veel nieuwe toetreders als fusies, joint ventures en overnames plaatsvinden. Grote partijen proberen in diverse Europese landen marktpositie te verkrijgen. Wet- en regelgeving Door nieuwe en verscherpte wet- en regelgeving (SEPA, Basel III, ISEA 3402, PCI-DSS) zullen investeringen moeten worden gedaan om aan deze wet- en regelgeving te kunnen voldoen. Daarnaast zullen de kosten om compliant te blijven toenemen. Dit maakt het in de toekomst moeilijker om winstgevend te blijven en zal er een efficiency slag moeten plaatsvinden. Geconcludeerd kan worden dat de wereld van transacties en betalingen heftig in beweging is, dat veroorzaakt wordt door technologische ontwikkelingen, veranderingen in wet- en regelgeving, invoering van marktwerking, consolidatie, en door het toetreden van nieuwe partijen. Deze dynamiek vormt een bedreiging voor de huidige partijen, maar biedt ook kansen voor nieuwe partijen. 16

19 3. Richtlijnen betalingsverkeer Er zijn diverse richtlijnen opgesteld voor de infrastructuur van het elektronisch betalingsverkeer. De richtlijnen zijn onder andere de Single European Payment Area (SEPA) en Payment Card Industry Data Security Standard (PCI-DSS). De richtlijnen die SEPA voorschrijft, zorgen voor standaardisatie van het Europese betalingsverkeer. De PCI-DSS richtlijnen zorgen voor de beveiliging van het betalingsverkeer van betaalkaarten (zie hoofdstuk 3.2). Voor beide richtlijnen geldt dat clearinghuizen compliant moeten zijn om deze betalingen te mogen verwerken Single European Payment Area (SEPA) De richtlijnen die moeten worden gevolgd om betalingen te kunnen verwerken, zijn vastgelegd in de SEPA (Single European Payment Area) Directive. SEPA is ontstaan na invoering van de euro. De invoering van de euro maakt het mogelijk om met één enkele valuta contante betalingen te verrichten in het gehele eurogebied (nu 17 landen). Naast de standaardisatie van de contante betalingen is door middel van SEPA ook de standaardisatie van het elektronische betalingsverkeer in de eurolanden tot stand gekomen en vastgelegd. Om ervoor te zorgen dat de standaarden in alle eurolanden worden uitgevoerd is door de Economische Commissie een richtlijn opgesteld die de rechten en plichten heeft vastgelegd voor de gebruiker en aanbieder van betaaldiensten. Deze richtlijn is uitgewerkt in de Payment Service Directive (PSD) en vormt een juridische basis voor SEPA. Om tot een standaardisatie te komen hebben Europese banken zich verenigd in de European Payment Council (EPC). Het EPC heeft specifieke regelgeving, afspraken en standaarden opgesteld, die geïmplementeerd moeten worden om het Europese betalingsverkeer in euro s mogelijk te maken. 17

20 De standaarden hebben betrekking op: Verwerking van betalingen tussen banken: - SEPA Credit Transfer (overboekingen) - SEPA Direct Debit (incasso s) Dit zijn de zogenaamde rulebooks die beogen: - Technische standaardisatie: Het realiseren van gestandaardiseerde verwerking van transacties tussen banken onderling; - Stroomlijning van verwerkingsprocessen: Meer uniforme interpretatie en werkwijze tussen banken onderling (bijvoorbeeld bij het terugdraaien van betaalopdrachten); - Interoperabiliteit: De verwerking van overschrijvingen en incasso s is bij alle verwerkers in SEPA hetzelfde. Hierdoor zullen banken uit veel meer verwerkers ('Processors') van betalingsverkeer kunnen kiezen dan nu. Opzet en structuur van de markt: - SEPA Cards Framework (SCF): Raamwerk voor debet- en creditkaarten waarin vastgesteld is waaraan verschillende uitgevers, systemen en ook banken moeten voldoen. - PE-ACH/CSM Framework (Pan European- Automated Clearing House/Clearing & Settlement Mechanism): Raamwerk waarin de regels voor Processoren in het eurogebied zijn vastgelegd. De EBA(European Banking Association) en de EACHA (European Automated Clearing House Association) hebben hiervoor verschillende infrastructuren beschreven. Waarbij de EBA zich voornamelijk richt op de inrichting van PE-ACH, terwijl de EACHA meer gericht is op de operabiliteit van de ACHs. Het raamwerk beoogt voornamelijk: - Ontvlechting en verbetering van de governance: De nationale verwerker van betalingen kan niet gelijktijdig ook de productbeheerder zijn. - Transparantie: Open en heldere regels voor zowel banken als verwerkers. 18

21 - Verbeterde toegang en marktwerking: Door de rollenscheiding en transparantie wordt het makkelijker voor banken en verwerkers om grensoverschrijdend uit te breiden. - Interoperabiliteit: De back office verwerking is in SEPA overal hetzelfde voor alle transacties en alle verwerkers van betalingsverkeer. Banken zullen hierdoor uit veel meer verwerkers van betalingsverkeer kunnen kiezen en winkeliers uit veel meer leveranciers van betaaldiensten voor kaartbetalingen dan nu het geval is. De SEPA standaard gaat primair over uniformiteit en organisatie van het betalingsverkeer tussen banken (de back office') in een open Europese markt. Er zijn geen kant-en-klare gezamenlijke producten gemaakt. Het is aan de (individuele) banken om producten te ontwikkelen. De toezicht op naleving wordt door de Europese Centrale Bank (ECB) uitgevoerd. De ECB volgt de voortgang van SEPA in de eurolanden en daarnaast ziet de ECB toe op de kwaliteit van de implementatie van SEPA. De richtlijnen en de samenhang tussen de verschillende partijen zijn in onderstaand figuur samengevat: Figuur 3: Richtlijnen en samenhang SEPA Naast de Europese richtlijnen is tevens een begin gemaakt met het opstellen van regels, standaarden, procedures en richtlijnen voor het internationale betalingsverkeer gericht op basis van de ISO Norm (gelijk aan SEPA). Hiervoor is het International Payment Framework Association (IPFA) opgericht. De IPFA heeft als doel de regels voor het uitwisselen van 19

Drs. Monique Kalvelagen RE Group Audit ABN AMRO 11 November 2009

Drs. Monique Kalvelagen RE Group Audit ABN AMRO 11 November 2009 VURORE Drs. Monique Kalvelagen RE Group Audit ABN AMRO 11 November 2009 1 Overzicht 1. Huidige betaalinfrastructuur 2. Single Euro Payments Area (SEPA) 3. Impact op wezen 2 1. Huidige betaalinfrastructuur

Nadere informatie

Opslag van Creditcard Gegevens if you don t need it, don t store it

Opslag van Creditcard Gegevens if you don t need it, don t store it E-commerce & Mail Order-Telephone Order Opslag van Creditcard Gegevens if you don t need it, don t store it Opslag van Creditcard Gegevens Creditcard accepterende bedrijven vormen een potentieel doelwit

Nadere informatie

SEPA Veranderingen voor onderwijsland. 18 Juni 2010 Ernst Kokke, Capgemini

SEPA Veranderingen voor onderwijsland. 18 Juni 2010 Ernst Kokke, Capgemini SEPA Veranderingen voor onderwijsland 18 Juni 2010 Ernst Kokke, Capgemini Inhoud SEPA in een notendop Betalingsverkeer, het basismodel Huidige situatie in Europa Wat is SEPA? Impact van SEPA 1 SEPA in

Nadere informatie

Vertrouwen in on-line business

Vertrouwen in on-line business Vertrouwen in on-line business Veilig en continu betalingsverkeer 21 mei 2015 Inleiding 2 Agenda Deel 1: Doelen Eindgebruiker Vier partijen Keten Deel 2: Ontwikkelingen Regelgeving en zelfreguleringsinitiatieven

Nadere informatie

Welkom. De fysieke beveiliging van uw industriële netwerk. Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V.

Welkom. De fysieke beveiliging van uw industriële netwerk. Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V. Welkom De fysieke beveiliging van uw industriële netwerk Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V. In-Depth Security = meerdere lagen Security Aanpak 1. Fysieke beveiliging

Nadere informatie

4Problemen met zakendoen op Internet

4Problemen met zakendoen op Internet Intranet Telematica Toepassingen Hoofdstuk 18 4gebruik Internet toepassingen voor netwerk binnen een organisatie 4In plaats van gespecialiseerde netwerkprogramma's 4Vooral WWW en e-mail 4WWW browser toegang

Nadere informatie

Readiness Assessment ISMS

Readiness Assessment ISMS Readiness Assessment van ISMS ISO/IEC27001:2005 1 Senior Internal/IT auditor Luyke Tjebbes EMIA RO CISA Lead Auditor ISO/IEC27001:2005 Projectleider ISO assessment 2 Wat is ISO 27001 eigenlijk? ISO/IEC

Nadere informatie

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Hardening Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Stappen ze bij u ook gewoon door de achterdeur binnen? Bart de Wijs. IT Security in de Industrie. FHI 11 Mei 2006

Stappen ze bij u ook gewoon door de achterdeur binnen? Bart de Wijs. IT Security in de Industrie. FHI 11 Mei 2006 Bart de Wijs Stappen ze bij u ook gewoon door de achterdeur binnen? All rights reserved. 5/17/2006 IT Security in de Industrie FHI 11 Mei 2006 Achterdeuren? Heeft u ook: Slide 2 Van die handige USB memory

Nadere informatie

e-token Authenticatie

e-token Authenticatie e-token Authenticatie Bescherm uw netwerk met de Aladdin e-token authenticatie oplossingen Aladdin is een marktleider op het gebied van sterke authenticatie en identiteit management. De behoefte aan het

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI Document: Beknopte dienstbeschrijving beveiligen van Webapplicaties Versie: maart 2002 mei 2002 Beknopte dienstbeschrijving

Nadere informatie

Remote Toegang Policy VICnet/SPITS

Remote Toegang Policy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Remote Toegang Policy VICnet/SPITS 16 Februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van Buuren

Nadere informatie

DMZ Policy. Eindverantwoordelijkheid Goedgekeurd. 16 Februari 2005. Geaccepteerd Manager SPITS. Security Manager SPITS E.A. van Buuren.

DMZ Policy. Eindverantwoordelijkheid Goedgekeurd. 16 Februari 2005. Geaccepteerd Manager SPITS. Security Manager SPITS E.A. van Buuren. Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat DMZ Policy 16 Februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van Buuren Geaccepteerd Manager SPITS

Nadere informatie

Toelichting MasterCard SecureCode & Verified by Visa

Toelichting MasterCard SecureCode & Verified by Visa Toelichting MasterCard SecureCode & Verified by Visa Versie: 2.2 Jaar: 2012 Auteur: Buckaroo Online Payment Services Acceptatie via internet MasterCard SecureCode en Verified by Visa Helaas komt fraude

Nadere informatie

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014 Sebyde Security in een organisatie A3 Management Workshop 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security

Nadere informatie

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s Beknopte dienstbeschrijving Beveiligen van VPN's m.b.v. digitale certificaten en PKI Document: Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s Inhoudsopgave 1. Inleiding 2 2. Snel te

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

Enterprise SSO Manager (E-SSOM) Security Model

Enterprise SSO Manager (E-SSOM) Security Model Enterprise SSO Manager (E-SSOM) Security Model INHOUD Over Tools4ever...3 Enterprise Single Sign On Manager (E-SSOM)...3 Security Architectuur E-SSOM...4 OVER TOOLS4EVER Tools4ever biedt sinds 2004 een

Nadere informatie

SEPA for mobile. Agenda. Wat is SEPA? Wat is de European Payments Council? Wat doet de EPC op het gebied van mobiel betalen?

SEPA for mobile. Agenda. Wat is SEPA? Wat is de European Payments Council? Wat doet de EPC op het gebied van mobiel betalen? SEPA for mobile Gijs Boudewijn 24 mei 2012 Agenda Wat is SEPA? Wat is de European Payments Council? Wat doet de EPC op het gebied van mobiel betalen? EPC en mobiel: deliverables tot dusver en prioriteiten

Nadere informatie

SEPA NL Het programmaplan van Nederlandse banken

SEPA NL Het programmaplan van Nederlandse banken SEPA NL Het programmaplan van Nederlandse banken Simon Lelieveldt 25 november 2005 Wat brengt de toekomst? Ik zie over minder dan 800 dagen. een New Legal Framework.. ik zie ook. EPC-standaarden ik zie

Nadere informatie

ISSX, Experts in IT Security. Wat is een penetratietest?

ISSX, Experts in IT Security. Wat is een penetratietest? De Stuwdam 14/B, 3815 KM Amersfoort Tel: +31 33 4779529, Email: info@issx.nl Aanval- en penetratietest U heeft beveiligingstechnieken geïnstalleerd zoals Firewalls, Intrusion detection/protection, en encryptie

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

1 Dienstbeschrijving all-in beheer

1 Dienstbeschrijving all-in beheer 1 Dienstbeschrijving all-in beheer De all-in beheer overeenkomst van Lancom is modulair opgebouwd. U kunt bij Lancom terecht voor deelgebieden zoals helpdesk ondersteuning of backup, maar ook voor totale

Nadere informatie

Systeemconfiguratie Policy VICnet/SPITS

Systeemconfiguratie Policy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Systeemconfiguratie Policy VICnet/SPITS 15 Februari 2005 Eindverantwoordelijkheid Opgesteld Naam Datum Paraaf Security Manager SPITS E.A. van Buuren

Nadere informatie

Voorlichtingsbijeenkomst VFI. P.M. Mallekoote Algemeen Directeur Currence. Den Haag, 8 april 2008

Voorlichtingsbijeenkomst VFI. P.M. Mallekoote Algemeen Directeur Currence. Den Haag, 8 april 2008 Introductie ideal Voorlichtingsbijeenkomst VFI P.M. Mallekoote Algemeen Directeur Currence Den Haag, 8 april 2008 Agenda Achtergrond Currence Wat is ideal? Het succes van ideal in Nederland Naar een Europese

Nadere informatie

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen

Nadere informatie

Informatie over logging gebruik Suwinet-Inkijk

Informatie over logging gebruik Suwinet-Inkijk Inhoudsopgave Inhoudsopgave... 2 1 Inleiding... 3 2 Logging als taak van het BKWI... 3 3 Informeren van gebruikers... 5 4 Rapportage over logging...6 Documenthistorie... 7 Auteur: J.E.Breeman Datum document:

Nadere informatie

FORUM STANDAARDISATIE Aanmelding SEPA

FORUM STANDAARDISATIE Aanmelding SEPA -----Oorspronkelijk bericht----- Van: Survey [mailto:website.open.standaarden@nl] Verzonden: donderdag 11 november 2010 15:47 Aan: Logius Forumstandaardisatie CC: Joris Gresnigt Onderwerp: Formulier Open

Nadere informatie

De Payment Card Industry Data Security Standard

De Payment Card Industry Data Security Standard Compact_ 2009_4 37 De Payment Card Industry Data Security Standard Drs. Hans IJkel RE CISSP CISA Drs. J.G. IJkel RE CISSP CISA is werkzaam als senior manager bij KPMG IT Advisory. Hij is gespecialiseerd

Nadere informatie

De kosten van het betalingsverkeer met creditcards en internationale debetpassen. Whitepaper Interchange fee en commissie

De kosten van het betalingsverkeer met creditcards en internationale debetpassen. Whitepaper Interchange fee en commissie De kosten van het betalingsverkeer met creditcards en internationale debetpassen Whitepaper Interchange fee en commissie Inhoud Inleiding De kosten van betaalgemak 3 De betrokken partijen Wie doen er mee?

Nadere informatie

Consultatieversie ECB, 20 oktober 2015

Consultatieversie ECB, 20 oktober 2015 CONCEPT Regeling Oversight goede werking betalingsverkeer Regeling van de Nederlandsche Bank N.V. van [PM] 2015 ter uitvoering van artikel 26b van het Besluit prudentiële regels Wft (Regeling Oversight

Nadere informatie

Hoe gaat u veilig en verantwoord om met de betaalkaartgegevens van uw klanten? Whitepaper PCI DSS

Hoe gaat u veilig en verantwoord om met de betaalkaartgegevens van uw klanten? Whitepaper PCI DSS Hoe gaat u veilig en verantwoord om met de betaalkaartgegevens van uw klanten? Whitepaper PCI DSS Inhoud Inleiding Vertrouwen winnen 3 Definitie Wat is PCI DSS? 4 Doelstellingen Wat is het doel van PCI

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Betalen in het eurogebied: nog niet alle wensen vervuld

Betalen in het eurogebied: nog niet alle wensen vervuld ers zijn over het algemeen positief over de bestaande betaalmogelijkheden, maar toch betaalt men in of naar het buitenland niet altijd zoals men zou willen. Zo is de tevredenheid over de acceptatie van

Nadere informatie

Digikoppeling adapter

Digikoppeling adapter Digikoppeling adapter Versie 1.0 Datum 02/06/2014 Status Definitief Van toepassing op Digikoppeling versies: 1.0, 1.1, 2.0, 3.0 Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555

Nadere informatie

SEPA Kansen en bedreigingen voor Click Retail

SEPA Kansen en bedreigingen voor Click Retail SEPA Kansen en bedreigingen voor Click Retail 18 Mei 2010 Paul Koetsier, Capgemini Inhoud Setting the scene Huidige situatie SEPA? Kansen van SEPA voor de Retailer Nu en later 1 Wie van u gebruikt nu al

Nadere informatie

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.

Nadere informatie

Firewallpolicy VICnet/SPITS

Firewallpolicy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Firewallpolicy VICnet/SPITS 16 Februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van Buuren Geaccepteerd

Nadere informatie

Optimale ICT-beveiliging. Van advies en ontwikkeling tot implementatie en beheer

Optimale ICT-beveiliging. Van advies en ontwikkeling tot implementatie en beheer Optimale ICT-beveiliging Van advies en ontwikkeling tot implementatie en beheer 1 Inhoud Deze brochure geeft u meer uitleg over de manier waarop Telenet de ICT van uw bedrijf kan beveiligen. Ervaring,

Nadere informatie

POP locatie. Straatkast. i-box. i-box NOC. i-box. Datacenter

POP locatie. Straatkast. i-box. i-box NOC. i-box. Datacenter Straatkast POP locatie Datacenter Het beheer van uw telecomruimten neemt veel tijd in beslag en is een kostbaar proces. U heeft immers 24/7 personeel nodig dat alle processen nauwkeurig in de gaten houdt.

Nadere informatie

Doxis Informatiemanagers

Doxis Informatiemanagers Substitutie Doxis Informatiemanagers Grootste adviesburo op het gebied van informatiemanagement in Nederland Zelfstandig bedrijfsonderdeel van Ernst & Young Jarenlange ervaring bij NL Overheid Gedegen

Nadere informatie

Zakelijk Betalen en Ontvangen

Zakelijk Betalen en Ontvangen 1 Dienstenpakket Zakelijk Betalen en Ontvangen Tom Wijnen SEPA kennisevent 17 september 2013 SCT & SDD transacties per kwartaal in miljoenen Volume SEPA transacties zal verachtvoudigen in de komende maanden

Nadere informatie

Beveiligingsbeleid Perflectie. Architectuur & Procedures

Beveiligingsbeleid Perflectie. Architectuur & Procedures Beveiligingsbeleid Perflectie Architectuur & Procedures 30 november 2015 Versiebeheer Naam Functie Datum Versie Dimitri Tholen Software Architect 12 december 2014 0.1 Dimitri Tholen Software Architect

Nadere informatie

Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS 1 Business strategieën en de impact voor de IT FLEXIBILITEIT Snel handelen met wendbaarheid en flexibiliteit Voor 66% van de organisaties staat flexibiliteit

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/08/195 ADVIES NR 08/18 VAN 2 DECEMBER 2008 BETREFFENDE DE AANVRAAG VAN DE LANDSBOND DER CHRISTELIJKE MUTUALITEITEN

Nadere informatie

4Passief: n Afluisteren. n Geen gegevens gewijzigd of vernietigd. n Via de routers van WAN. n Via draadloze verbindingen. 4Fysieke afsluiting

4Passief: n Afluisteren. n Geen gegevens gewijzigd of vernietigd. n Via de routers van WAN. n Via draadloze verbindingen. 4Fysieke afsluiting Telematica Hoofdstuk 20 4Passief: n Afluisteren Bedreigingen n Alleen gegevens (inclusief passwords) opgenomen n Geen gegevens gewijzigd of vernietigd n Op LAN kan elk station alle boodschappen ontvangen

Nadere informatie

Behoud de controle over uw eigen data

Behoud de controle over uw eigen data BEDRIJFSBROCHURE Behoud de controle over uw eigen data Outpost24 is toonaangevend op het gebied van Vulnerability Management en biedt geavanceerde producten en diensten aan om bedrijven preventief te beveiligen

Nadere informatie

IT Security in de industrie

IT Security in de industrie IT Security in de industrie Praktische ervaringen met cyber security in de Energiesector en Procesindustrie Henk Spelt Henk.Spelt@kema.com Experience you can trust. Onderwerpen Waarom is (cyber) security

Nadere informatie

VPN LAN-to-LAN IPSec. Vigor 1000, 2130 en 2750 serie

VPN LAN-to-LAN IPSec. Vigor 1000, 2130 en 2750 serie VPN LAN-to-LAN IPSec Vigor 1000, 2130 en 2750 serie VPN LAN-to-LAN IPSec De DrayTek producten beschikken over een geïntegreerde VPN server. Hierdoor kan een VPN tunnel gemaakt worden naar uw netwerk, zonder

Nadere informatie

Sr. Security Specialist bij SecureLabs

Sr. Security Specialist bij SecureLabs Wie ben ik? Ronald Kingma, CISSP ronald@securelabs.nl Sr. Security Specialist bij SecureLabs Introductie SecureLabs Voorheen ISSX Code of Conduct Real Penetration Testing Vulnerability Management Veiligheidsincidenten

Nadere informatie

Rijkspas: veiligheid en flexibiliteit. ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011

Rijkspas: veiligheid en flexibiliteit. ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011 Rijkspas: veiligheid en flexibiliteit ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011 24-11-2011 Profile Consultancy Services State of the art software solutions Project implementation Life-cycle

Nadere informatie

Identify and mitigate your IT risk

Identify and mitigate your IT risk Identify and mitigate your IT risk ICT risico = bedrijfsrisico In de ontwikkeling die organisaties doormaken, speelt ICT een belangrijke rol. ICT heeft bedrijfsprocessen efficiënter en effectiever gemaakt.

Nadere informatie

1 Leidraad voor beveiliging en goed gastheerschap

1 Leidraad voor beveiliging en goed gastheerschap 1 Leidraad voor beveiliging en goed gastheerschap Enkele Nederlandse instellingen voor hoger onderwijs overwegen draadloos internet (wifi) aan te bieden aan bezoekers. Dit moet een aanvulling worden op

Nadere informatie

Bent u al SEPA-proof?

Bent u al SEPA-proof? Bent u al -proof? 2 3 Migreren naar IBAN p 1 februari 2014 is de Single Euro Payments Area () een feit. Met deze afspraak om het betalingsverkeer in 32 Europese landen te harmoniseren en te standaardiseren,

Nadere informatie

Betalingen accepteren via PaySquare. Uw betalingen in goede handen

Betalingen accepteren via PaySquare. Uw betalingen in goede handen Betalingen accepteren via PaySquare Uw betalingen in goede handen Veilig betalingsverkeer Maak het uw klanten gemakkelijk Betalingen met betaalkaarten zijn veilig, kostenbesparend en omzetverhogend. Wilt

Nadere informatie

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV Het Sebyde aanbod Secure By Design AUG 2012 Sebyde BV Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan 1. Web Applicatie

Nadere informatie

NIBE-SVV, 2015. Oefenexamen Europees betalingsverkeer

NIBE-SVV, 2015. Oefenexamen Europees betalingsverkeer NIBE-SVV, 2015 Oefenexamen Europees betalingsverkeer 1. Welke bewering over de zakelijke en particuliere betaalrekening is JUIST? Zowel bij de zakelijke als bij de particuliere betaalrekening A. kan de

Nadere informatie

ideal mobiel Inhoud Ook onderweg veilig, snel en gemakkelijk betalen Online Banking e-payments ideal model en gebruik ideal

ideal mobiel Inhoud Ook onderweg veilig, snel en gemakkelijk betalen Online Banking e-payments ideal model en gebruik ideal ideal mobiel Ook onderweg veilig, snel en gemakkelijk betalen Piet Mallekoote Currence Algemeen Directeur Mobile & Contactless Payments Platform 2012 24 mei, Nieuwegein Snel, veilig en gemakkelijk onderweg

Nadere informatie

Wie is verantwoordelijk voor de naleving van de wetgeving op gegevensbescherming en bescherming van de levenssfeer?

Wie is verantwoordelijk voor de naleving van de wetgeving op gegevensbescherming en bescherming van de levenssfeer? Gedurende uw dienstverband bij Travelex, zult u waarschijnlijk in contact komen met gegevens met betrekking tot onze klanten, partners en medewerkers. Het niveau en de gevoeligheid van deze gegevens zullen

Nadere informatie

Veilig samenwerken met de supply-chain

Veilig samenwerken met de supply-chain Veilig samenwerken met de supply-chain TSCP RIG bijeenkomst Rotterdam, 18 mei 2011 mr. Patrick Paling RE Senior Manager KPMG Advisory N.V. TSCP We toetsen als gespecialiseerde auditor of de centrale TSCP-beveiligingsinfrastructuur

Nadere informatie

Dicht het security gat - Microsoft SharePoint, OCS, en Exchange met Secure File Sharing Heeft uw organisatie ook een Dropbox probleem?

Dicht het security gat - Microsoft SharePoint, OCS, en Exchange met Secure File Sharing Heeft uw organisatie ook een Dropbox probleem? Dicht het security gat - Microsoft SharePoint, OCS, en Exchange met Secure File Sharing Heeft uw organisatie ook een Dropbox probleem? Executive summary Organisaties maken meer en meer gebruik van online

Nadere informatie

Whitepaper Veilig online betalen met 3-D Secure

Whitepaper Veilig online betalen met 3-D Secure Whitepaper Veilig online betalen met 3-D Secure Inhoudsopgave INLEIDING... 2 WAT IS 3-D SECURE?... 3 HOE HET WERKT?... 3 DE VOORDELEN... 4 MEER WETEN?... 4 Pagina 1 Inleiding Voor u treft u een whitepaper

Nadere informatie

Generieke eisen ten aanzien van datacomnetwerken voor het transport van het PINbetalingsverkeer

Generieke eisen ten aanzien van datacomnetwerken voor het transport van het PINbetalingsverkeer PIN B.V. BIJLAGE J Rules & Regulations bepalingen Generieke eisen ten aanzien van datacomnetwerken voor het transport van het PINbetalingsverkeer Versie : 3.2 Datum : januari 2009 Inhoudsopgave 1 Inleiding...

Nadere informatie

Aanvraagformulier Cyber en Data Risks verzekering by Hiscox

Aanvraagformulier Cyber en Data Risks verzekering by Hiscox A Algemeen 1. Gegevens aanvrager Naam: Adres: Dochter- Bedrijven 50% aandel of meer: Heeft u een vestiging in de VS/ Canada Graag een opgave van uw activiteiten: Graag een opgave van uw website(s) : 2.

Nadere informatie

Kabinetsreactie op het groenboek Naar een geïntegreerde Europese markt voor kaartinternet- en mobiele betalingen

Kabinetsreactie op het groenboek Naar een geïntegreerde Europese markt voor kaartinternet- en mobiele betalingen Kabinetsreactie op het groenboek Naar een geïntegreerde Europese markt voor kaartinternet- en mobiele betalingen Inleiding De Europese Commissie heeft in januari 2012 een groenboek gepubliceerd over het

Nadere informatie

NIBE-SVV, 2012 OEFENEXAMEN EUROPEES BETALINGSVERKEER

NIBE-SVV, 2012 OEFENEXAMEN EUROPEES BETALINGSVERKEER NIBE-SVV, 2012 OEFENEXAMEN EUROPEES BETALINGSVERKEER 1. Welke bewering over de zakelijke en particuliere betaalrekening is JUIST? Zowel bij de zakelijke als bij de particuliere betaalrekening A. kan de

Nadere informatie

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve

Nadere informatie

VPN LAN-to-LAN PPTP. Vigor 1000, 2130 en 2750 serie

VPN LAN-to-LAN PPTP. Vigor 1000, 2130 en 2750 serie VPN LAN-to-LAN PPTP Vigor 1000, 2130 en 2750 serie VPN LAN-to-LAN PPTP De DrayTek producten beschikken over een geïntegreerde VPN server. Hierdoor kan een VPN tunnel gemaakt worden naar uw netwerk, zonder

Nadere informatie

NETQ Healthcare: Voor inzicht in het effect van therapie

NETQ Healthcare: Voor inzicht in het effect van therapie NETQ Healthcare: Voor inzicht in het effect van therapie INHOUD Inleiding 3 Eisen vanuit NEN 7510 en de Wet Bescherming Persoonsgegevens 4 Beheerst wijzigingsproces 4 Toegankelijkheid geautoriseerde gebruikers

Nadere informatie

impact? Uw betalingsverkeer volgens nieuwe standaarden

impact? Uw betalingsverkeer volgens nieuwe standaarden SEPA impact? Uw betalingsverkeer volgens nieuwe standaarden 1 impact scan urgentie wetgeving standaarden overschrijvingen iban incasso erordening impact scan urgentie wetgeving standaarden overschrijvingen

Nadere informatie

Privacy Verklaring versie 01-10-2015

Privacy Verklaring versie 01-10-2015 Privacy Verklaring versie 01-10-2015 1. Algemene bepalingen inzake gegevensverwerking 1.1. Met gegevensverwerking wordt het verzamelen, vastleggen, arrangeren, bewaren, wijzigen, openbaar maken, overleggen,

Nadere informatie

Onderzoeksverslag Beveiliging

Onderzoeksverslag Beveiliging Onderzoeksverslag Beveiliging Project 3 TI1B - Mohamed, Ruben en Adam. Versie 1.0 / 29 maart 2016 Pagina 1 Inhoud 1. INLEIDING... 3 2. VEILIGHEID EISEN... 3 3. SOFTWARE... FOUT! BLADWIJZER NIET GEDEFINIEERD.

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/13/159 ADVIES NR 13/66 VAN 2 JULI 2013 BETREFFENDE DE AANVRAAG VAN XERIUS KINDERBIJSLAGFONDS VOOR HET VERKRIJGEN

Nadere informatie

Beheerder ICT. Context. Doel

Beheerder ICT. Context. Doel Beheerder ICT Doel Zorgdragen voor het doen functioneren van ICTproducten en het instandhouden van de kwaliteit daarvan, passend binnen het beleid van de afdeling, teneinde aan de eisen en wensen van de

Nadere informatie

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Patch management Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Voorwaarden en licentieovereenkomst voor gebruikers van Vodafone Contacts

Voorwaarden en licentieovereenkomst voor gebruikers van Vodafone Contacts Voorwaarden en licentieovereenkomst voor gebruikers van Vodafone Contacts Dit is een licentieovereenkomst tussen jou, de eindgebruiker van Vodafone Contacts, en Vodafone voor het gebruik van de Vodafone

Nadere informatie

Werken zonder zorgen met uw ICT bij u op locatie

Werken zonder zorgen met uw ICT bij u op locatie Werken zonder zorgen met uw ICT bij u op locatie Naast de mogelijkheden om uw programmatuur en gegevens bij Drie-O via Evy 2.0 in de cloud te hosten hebt u ook de mogelijkheid om uw ICT omgeving bij u

Nadere informatie

De Nederlandsche Bank N.V. Divisie Betalingsverkeer beleid. Aanbevelingen voor Betaalproducten

De Nederlandsche Bank N.V. Divisie Betalingsverkeer beleid. Aanbevelingen voor Betaalproducten De Nederlandsche Bank N.V. Divisie Betalingsverkeer beleid Aanbevelingen voor Betaalproducten Versie: 2006 2 3 Aanbevelingen voor betaalproducten 1 INLEIDING Doelstelling van deze aanbevelingen is om,

Nadere informatie

Het belang van standaarden in de financiële wereld

Het belang van standaarden in de financiële wereld Het belang van standaarden in de financiële wereld Gerard Hartsink EU Affairs & Market Infrastructures Edu Exchange Nieuwegein, 7 December 2006 Agenda 1. De (betaal)kaartmarkt 2. De visies voor een Europese

Nadere informatie

Verkoop- en leveringsvoorwaarden WashWallet

Verkoop- en leveringsvoorwaarden WashWallet Deze Verkoop- en leveringsvoorwaarden zijn van toepassing op de WashWallet Applicatie die u door WashTec Benelux wordt aangeboden. 1.DEFINITIES De volgende definities hebben betrekking op concepten genoemd

Nadere informatie

De betaling van uw Corporate Card rekeningoverzichten

De betaling van uw Corporate Card rekeningoverzichten De betaling van uw Corporate Card rekeningoverzichten Welkom Welkom bij het Corporate Card Programma van American Express Services Europe Limited. Deze handleiding bevat alle die u nodig hebt voor het

Nadere informatie

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; besluit vast te stellen de navolgende Beheerregeling

Nadere informatie

Bring it Secure. Whitepaper

Bring it Secure. Whitepaper Whitepaper Imtech ICT Communication Solutions, Rivium Boulevard 41 2909 LK Capelle a/d IJssel T +31 88 988 96 00, info.cs@imtech.nl, www.imtech.nl/cs Imtech Vandaag de dag moet security een standaard

Nadere informatie

Sebyde AppScan Reseller. 7 Januari 2014

Sebyde AppScan Reseller. 7 Januari 2014 Sebyde AppScan Reseller 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security awareness. We leveren diensten

Nadere informatie

Documentnaam DG_SEC_6-2-1_vragenlijst_voor_aanbieders_van cloud, hosting en managed services Eigenaar Security Officer Digipolis Gent

Documentnaam DG_SEC_6-2-1_vragenlijst_voor_aanbieders_van cloud, hosting en managed services Eigenaar Security Officer Digipolis Gent Vragenlijst voor informatieveiligheid voor aanbieders van cloud, hosting en managed services, zowel on als off premise. De vragen geven een beeld van de voornaamste informatieveiligheidsrisico s, vooral

Nadere informatie

Factsheet SECURITY SCANNING Managed Services

Factsheet SECURITY SCANNING Managed Services Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security

Nadere informatie

Vertrouwen in betaalinstrumenten. Rob Heijjer MSc, CISSP Rabobank Nederland Vurore, 11 november 2009

Vertrouwen in betaalinstrumenten. Rob Heijjer MSc, CISSP Rabobank Nederland Vurore, 11 november 2009 Vertrouwen in betaalinstrumenten Rob Heijjer MSc, CISSP Rabobank Nederland Vurore, 11 november 2009 Betalen Betaal 1,50 Ik bel de beheerder op Ik baal, maar ik neem mijn verlies Ik zal hier nooit kopen

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP)

Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP) Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP) Samenvatting De minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft in de Tweede Kamer toegezegd de broncode

Nadere informatie

Aanvullende Algemene voorwaarden voor Betaalkaarten en Creditcards (offline) CCV Holland B.V.

Aanvullende Algemene voorwaarden voor Betaalkaarten en Creditcards (offline) CCV Holland B.V. Aanvullende Algemene voorwaarden voor Betaalkaarten en Creditcards (offline) CCV Holland B.V. CCV geeft ondernemers nieuwe kansen en mogelijkheden door hun betalingsproces te verrijken. Wij maken de toekomst

Nadere informatie

Privacy reglement publieke XS-Key

Privacy reglement publieke XS-Key Privacy reglement publieke XS-Key Dit is het Privacy reglement behorend bij XS-Key Systeem van Secure Logistics BV (hierna te noemen SL ). 1. Definities In dit reglement worden de navolgende begrippen

Nadere informatie

Oranje is Samen ondernemen WELKOM

Oranje is Samen ondernemen WELKOM Oranje is Samen ondernemen WELKOM Juni 2013 Oranje is kansen zien Oranje is ING ING zet zich in voor Ondernemend Nederland. Dit doen we door het bieden van financiële oplossingen en het gemakkelijk maken

Nadere informatie

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0 Stichting Inlichtingenbureau Privacy jaarverslag 2014 Versie 1.0 Status Definitief Datum 12 maart 2015 1. Privacybescherming en informatiebeveiliging... 3 1.1 Inleiding/privacy by design... 3 1.2 Verwerking

Nadere informatie