Daniel van Burk & Wouter Beens Maart 2009
|
|
- Evelien Devos
- 8 jaren geleden
- Aantal bezoeken:
Transcriptie
1 VRIJE UNIVERSITEIT AMSTERDAM Voldoen of voldaan? Succesvolle invoering van PCI DSS Daniel van Burk & Wouter Beens Maart 2009 Groep 917 Scriptie in het kader van de postdoctorale opleiding IT Auditing. VU Coach: Robin Knip RE CISA Bedrijfscoach: Johan Sturm RE
2 Voorwoord Dit onderzoeksverslag over de invoering van de Payment Card Industry Data Security Standard (PCI DSS) is geschreven in het kader van het onderzoek ter afsluiting van de driejarige postdoctorale IT Audit opleiding aan de Vrije Universiteit te Amsterdam. Dit verslag is primair bedoeld voor de directe afstudeerbegeleiders en beoordelaars. Daarnaast is het verslag raadpleegbaar voor andere studenten van de IT Audit opleiding aan de Vrije Universiteit te Amsterdam. De keuze voor het onderwerp is gebaseerd op onze interesse in (IT) compliance gecombineerd met het feit dat wij beiden vanuit Atos Consulting een project hebben uitgevoerd binnen een payment service provider, waarbij PCI DSS een belangrijk onderdeel vormde. In dit onderzoek hebben wij een analyse gemaakt van inzichten uit de theorie en die geconfronteerd met inzichten uit praktijkinterviews. Dit heeft voor ons tot interessante nieuwe inzichten geleid. Wij willen een aantal mensen bedanken. Ten eerste onze scriptiebegeleiders, de heer Robin Knip namens de Vrije Universiteit en de heer Johan Sturm vanuit Atos Consulting. We waarderen hun inspanningen om ons dicht bij de centrale vraagstelling te houden. Daarnaast zijn de geïnterviewden voor deze scriptie van grote waarde geweest. Zonder het kijkje in de keuken dat zij ons hebben gegeven had deze scriptie niet in deze vorm tot stand kunnen komen. Daniel van Burk & Wouter Beens Amsterdam, maart 2009 Pagina 2 van 43
3 Samenvatting In een wereld waarin credit card gegevens steeds vaker worden opgeslagen en getransporteerd in omgevingen die aan Internet zijn gekoppeld (o.a. als gevolg van e commerce) is het risico waaraan de credit card maatschappijen zijn blootgesteld de laatste jaren flink toegenomen. Om hieraan het hoofd te bieden hebben de grote credit card maatschappijen gezamenlijk de Payment Card Industry Data Security Standard (PCI DSS) uitgevaardigd. Doelstelling van deze scriptie is om vanuit het perspectief van de organisaties die PCI DSS moeten invoeren (de auditees) inzicht te verschaffen in de strategische keuzes die zij kunnen maken voor een succesvolle invoering van PCI DSS. In de scriptie hebben wij de volgende centrale vraagstelling onderzocht: Welke strategieën voor succesvolle invoering van PCI DSS zijn te onderscheiden? Aan de hand van de criteria die zijn geformuleerd voor succesvolle invoering van PCI DSS hebben we onderzocht welke keuzes en overwegingen relevant zijn. Waar mogelijk hebben we aangegeven welke alternatieven de voorkeur genieten. Deze analyse hebben we gedaan aan de hand van de fasen die worden doorlopen bij de invoering. We hebben deze fasen gekozen omdat deze de stappen weergeven die nodig zijn om te komen tot het aantoonbaar voldoen aan de eisen uit PCI DSS: van het identificeren van de eisen waaraan de organisatie moet voldoen tot aan het afleggen van verantwoording over de mate waarin men voldoet aan die eisen. Deze analyse heeft tot een tweetal mogelijke strategieën voor de invoering geleid, die zijn gekoppeld aan een tweetal voor PCI DSS relevante typen organisaties (de zogeheten merchant levels): Level 1 strategie Geïntegreerde invoering van PCI DSS gericht op toegevoegde waarde Actief monitoren van ontwikkelingen (wil zo vroeg mogelijk op de hoogte zijn voor strategische afstemming) Voldoen aan de standaard Veel aandacht voor alignment met andere initiatieven en strategie Invloed proberen uit te oefenen op de deadline Intern opbouwen van kennis, wel inschakelen QSA Vertalen van eisen vanuit een risicoanalyse Gaps bepalen a.d.h.v. een pre audit Geïntegreerde impact analyse uitvoeren Scope beperking toepassen Risk based prioriteitstelling Standaardisering van systemen en processen Geïntegreerde projectopzet Afstemming tijdens implementatie Bewijs verzamelen centraal monitoren, in de uitvoering vastleggen Level 4 strategie Stand alone invoering van PCI DSS gericht op certificering Niet actief monitoren van ontwikkelingen (wordt door de acquirer op de hoogte gesteld) Voldoen aan de standaard Geen alignment nodig Invloed proberen uit te oefenen op de deadline Extern inhuren van kennis Vertalen van eisen vanuit de baseline Gaps bepalen a.d.h.v. een quick scan Stand alone impact analyse uitvoeren Scope beperkingen toepassen Control based prioriteitstelling Geen standaardisering van systemen en processen Stand alone projectopzet Afstemming tijdens implementatie Bewijs verzamelen en monitoren in één functie Pagina 3 van 43
4 Level 1 strategie Geïntegreerde invoering van PCI DSS gericht op toegevoegde waarde Actief naar buiten brengen van de certificering Security breaches rapporteren Level 4 strategie Stand alone invoering van PCI DSS gericht op certificering Niet actief naar buiten brengen van de certificering Security breaches rapporteren In de praktijk zal het aantal mogelijke strategieën niet tot deze twee beperkt zijn, maar zal door combinaties van gekozen alternatieven een grotere diversiteit aan strategieën mogelijk zijn. Het is aan de organisaties die aan PCI DSS moeten voldoen om zelf een strategie te formuleren door het maken van keuzes in de diverse fasen van de invoering. Daarbij is het mogelijk om één van de twee door ons geformuleerde strategieën als vertrekpunt te nemen. Pagina 4 van 43
5 Inhoudsopgave Voorwoord... 2 Samenvatting... 3 Inhoudsopgave... 5 Inleiding... 6 Relevantie en doelstelling... 6 Centrale vraagstelling... 6 Deelvragen... 7 Onderzoeksopzet Payment Card Industry Data Security Standard Ontstaan van PCI DSS Het doel van PCI DSS De kenmerken van PCI DSS Belanghebbenden Keuzes en overwegingen tijdens de fasen van de invoering Kennisname van de (wijzigingen op) de standaard Strategische besluitvorming Interpretatie van de eisen Gap en impact analyse Planvorming Implementatie en inbedding Certificering en rapportage Vaststellen van het succes van de invoering Conclusies en aanbevelingen Beperkingen en aanbevelingen tot nader onderzoek Literatuuroverzicht Bijlage 1 Compliance eisen Bijlage 2 Non compliance op PCI DSS eisen Bijlage 3 Report on Compliance eisen Bijlage 4 Kosten van PCI DSS Bijlage 5 Relatie tot andere bestaande wet en regelgeving en standaarden Pagina 5 van 43
6 Inleiding Credit card maatschappijen lopen risico in geval van misbruik van credit card gegevens aangezien zij eventuele schade, die klanten (kaarthouders) lijden als gevolg van misbruik, moeten vergoeden. In een wereld waarin credit card gegevens steeds vaker worden opgeslagen en getransporteerd in omgevingen die aan Internet zijn gekoppeld (o.a. als gevolg van e commerce) is het risico waaraan de credit card maatschappijen zijn blootgesteld de laatste jaren flink toegenomen. Om hieraan het hoofd te bieden hebben een aantal credit card maatschappijen de krachten gebundeld in het Payment Card Industry Security Standards Council (vanaf hier PCI SSC). In 2005 is door MasterCard en VISA de Payment Card Industry Data Security Standard uitgevaardigd. Relevantie en doelstelling De laatste jaren is er steeds meer aandacht voor het implementeren van beheersmaatregelen op basis van een risico inventarisatie. Daarnaast komen er meer eisen vanuit externe wet en regelgeving en sector specifieke reguleringen. Binnen organisaties worden pogingen ondernomen om op efficiënte wijze om te gaan met implementatie en evaluatie van beheersmaatregelen evenals de verantwoording over de werking van de beheersmaatregelen naar externe partijen. Doelstelling van deze scriptie is om vanuit het perspectief van de organisaties die PCI DSS moeten invoeren (de auditees) inzicht te verschaffen in de strategische keuzes die zij kunnen maken voor een succesvolle invoering van PCI DSS. Centrale vraagstelling In de scriptie zullen wij de volgende centrale vraagstelling onderzoeken: Welke strategieën voor succesvolle invoering van PCI DSS zijn te onderscheiden? Onder invoeringsstrategieën verstaan wij het geheel aan keuzes en overwegingen die voor organisaties richtingbepalend zijn voor de vraag of en vooral hoe de invoering van PCI DSS plaatsvindt binnen de organisatie. Onder invoering wordt verstaan de cyclus die wordt doorlopen vanaf het identificeren van de eisen waaraan de organisatie moet voldoen tot aan het afleggen van verantwoording over de mate waarin men voldoet aan die eisen. In het kader van deze scriptie zal niet worden ingegaan op de technische aspecten van implementatie van maatregelen. Voor de beantwoording van de vraagstelling hebben wij een aantal criteria gedefinieerd dat gehanteerd wordt voor de mate van succes van de invoering: Op basis van de genomen acties is er geen reden voor een boete vanuit de credit card maatschappij(en); In geval van fraude is er op basis van de genomen acties geen reden voor een verschuiving van de aansprakelijkheid van de credit card maatschappij(en) naar de merchant/service provider; De invoering leidt tot een certificering door een QSA danwel een Report on Compliance (afhankelijk van het level van de organisatie) naar de credit card maatschappij(en); De beveiliging met betrekking tot opslag en transport van kaarthoudergegevens wordt verhoogd tot het door de organisatie gewenste niveau (als dit voor de invoering van PCI DSS nog niet het geval was); De mate waarin de invoering recht doet aan de organisatiestrategie (in het algemeen en meer in het bijzonder ten aanzien van de gekozen compliance strategie). Pagina 6 van 43
7 Onder succesvol wordt niet verstaan dat er nooit meer een security breach met betrekking tot kaarthoudergegevens zal optreden. Deelvragen Om deze vraagstelling meer efficiënt en sturend te maken is uit de centrale vraagstelling een aantal deelvragen afgeleid. De deelvragen zijn tevens richtinggevend voor de beantwoording van de centrale vraagstelling: De Payment Card Industry Data Security Standard (PCI DSS) Wat is PCI DSS (ontstaan, doel, kenmerken)? Wat is de impact van PCI DSS (op marktomgeving, belanghebbenden)? Wat is de mogelijke overlap van PCI DSS met andere wet & regelgeving en standaarden? Wat zijn de audit aspecten PCI DSS (objecten, scope, bewijslast, uitvoering en certificering)? Keuzes en overwegingen bij invoering en aanpak wet & regelgeving en standaarden Uit welke fasen bestaat het invoeringstraject van wet & regelgeving en standaarden? Welke keuzes moeten of kunnen tijdens deze fasen worden gemaakt? Welke overwegingen spelen een rol bij het maken van de keuzes? Op welke wijze is vast te stellen of de gemaakte keuzes een bijdrage hebben geleverd aan de succesvolle invoering van PCI DSS? PCI DSS in de praktijk Hoe gaan bedrijven in de huidige praktijk om met invoering van PCI DSS? Onderzoeksopzet In onderstaande figuur is de opzet van het onderzoek schematisch weergegeven. Onderzoekstraject Ontwerpen Ontwerpen onderzoeks onderzoeks traject traject Koppeling Koppeling maken maken theorie theorie en en praktijk praktijk Concept Concept strategieën strategieën Verzamelen Verzamelen praktijkgegevengegevens praktijk Analyse Analyse praktijkgegevens praktijkgegevens Verzamelen Verzamelen onderzoeksmateriaamateriaal onderzoeks Analyse Analyse onderzoeksmateriaal onderzoeksmateriaal Eindrapportagrapportage Eind (scriptie) (scriptie) opleveren opleveren Figuur 1 Onderzoeksopzet Schrijftraject Het onderzoek vond plaats in de periode september 2008 tot maart Voor de beantwoording van de deelvragen en de uiteindelijke centrale vraagstelling is gebruik gemaakt van literatuuronderzoek en interviews met ervaringsdeskundigen. Op basis van de uitkomsten van het onderzoek en de inzichten die daaruit naar voren kwamen hebben wij ervoor gekozen de deelvragen en het onderzoeksmodel ten aanzien van het originele onderzoeksvoorstel op onderdelen aan te passen. Dit heeft te maken met een aantal originele deelvragen die in de uiteindelijke beantwoording van de centrale vraagstelling niet meer hun oorspronkelijk veronderstelde relevantie hadden. Pagina 7 van 43
8 In onderstaande figuur staat op hoofdlijnen het inhoudelijke onderzoeksmodel weergegeven. PCI DSS PCI DSS achtergrond achtergrond Invoering Invoering van van externe externe standaarden standaarden Beheersing Beheersing regelgeving regelgeving Bestaande Bestaande theorie theorie Praktijk Praktijk invoering invoering PCI DSS PCI DSS Strategieën Strategieën voor voor succesvolle succesvolle invoering invoering PCI DSS PCI DSS Figuur 2 Onderzoeksmodel scriptie Voor de analyse van mogelijke strategieën hebben we 3 mogelijke invalshoeken overwogen: 1. Redenerend vanuit compliance strategieën; 2. Redenerend vanuit de fasen van de invoering; 3. Redenerend vanuit de maatregelen die nodig zijn om te voldoen aan PCI DSS. Invalshoek 1 bleek meer van toepassing op de wijze waarop een organisatie omgaat met het geheel aan eisen vanuit regelgeving en heeft daardoor een te hoog abstractieniveau om specifiek voor de invoering van PCI DSS de centrale vraagstelling te beantwoorden. Invalshoek 3 heeft juist weer een te laag abstractieniveau om keuzes en overwegingen te koppelen aan de gestelde criteria voor succesvolle invoering. Invalshoek 2 biedt de mogelijkheid om de keuzes en overwegingen voor de gehele invoeringscyclus voor een standaard specifiek te kunnen koppelen aan PCI DSS, gekoppeld aan alle criteria voor succesvolle invoering van PCI DSS. Literatuur Voor de achtergrond en kenmerken van PCI DSS, invoering van standaarden en beheersing van regelgeving is naast de standaard zelf ook gekeken naar literatuur en artikelen uit de media. De literatuur is verkregen via een literatuuronderzoek, waar onder andere gezocht is in: Wetenschappelijke literatuur; Artikelen in wetenschappelijke tijdschriften; Artikelen in vakbladen; Nieuwsberichten. Veel informatie m.b.t. de achtergrond van PCI DSS, standaarden en regelgeving was te vinden via internet (nieuwsberichten, opinieartikelen, officiële informatie over PCI DSS en studies van het IT Compliance Institute, ISACA en Forrester). ScienceDirect en de catalogus van de VU (Picarta) leverden artikelen over PCI DSS in vakbladen op. Beheersing van regelgeving was vooral terug te vinden in artikelen in wetenschappelijke tijdschriften en enkele (wetenschappelijke) boeken. Interviews Informatie over de implementatie van PCI DSS in de praktijk is verkregen door een zevental kwalitatieve interviews bij organisaties (payment service providers, issuing / acquiring banks & merchants) die de PCI DSS richtlijnen aan het invoeren zijn of deze al hebben ingevoerd. In de interviews behandelen we een vast aantal onderwerpen rondom de invoering van PCI DSS: besluitvorming & overwegingen, moment & factoren bij invoering, beïnvloeding, gerelateerde standaarden/regelgeving, omgaan met wijzigingen en auditaspecten van PCI DSS. Pagina 8 van 43
9 De respondenten zijn allen actief op de Nederlandse markt. Onder de respondenten zijn twee grote merchants, twee payment service providers, en twee banken. Daarnaast is met één van de respondenten (lid van PCI SSC) ook een aantal vragen rondom het PCI SSC doorgenomen en hebben we met een toezichthouder op het betalingsverkeer (De Nederlandsche Bank) gesproken. Opbouw van de scriptie Na deze inleiding zal in hoofdstuk 1 PCI DSS worden toegelicht om de nodige context te geven als basis voor de verdere analyse van de invoeringsfasen. In hoofdstuk 2 zullen we per fase van de invoering de keuzes en overwegingen analyseren die kunnen bijdragen aan de succesvolle invoering. Bij deze analyse zullen we inzichten uit theorie en praktijk meenemen en waar relevant met elkaar confronteren. Na de bespreking van de fasen proberen we in hoofdstuk 3 vast te stellen welke strategieen kunnen leiden tot een succesvolle invoering. We ronden af met conclusies en aanbevelingen op basis van de analyse uit de eerdere hoofdstukken. Pagina 9 van 43
10 1. Payment Card Industry Data Security Standard In dit hoofdstuk zal nader worden ingegaan op het ontstaan, doel, kenmerken en belanghebbenden van PCI DSS. Ten eerste om daarmee het onderwerp van de nodige context te voorzien. Daarnaast dient de informatie in dit hoofdstuk als basis voor de analyse die in het volgende hoofdstuk wordt gemaakt Ontstaan van PCI DSS De aanleiding voor het ontstaan van PCI DSS is een aantal security breaches in de afgelopen jaren bij organisaties in Amerika, waarbij door diverse betrokken partijen aanzienlijke schade is geleden. Daarbij zijn op grote schaal credit card gegevens ontvreemd, waarmee vervolgens fraude is gepleegd. De omvang van fraude met credit cards is zeer aanzienlijk 1 en de trend lijkt dat vooral fraude met op illegale en digitale wijze verkregen credit card gegevens blijft stijgen. Het Amerikaanse congres heeft naar aanleiding van de fraudes gedreigd met ingrijpen d.m.v. het uitvaardigen van wetgeving. De credit card maatschappijen en de payments branche hebben, om dit te voorkomen, besloten om te komen tot een gezamenlijke standaard voor informatiebeveiliging van credit card gegevens (Messmer, 2007; Meadowcroft, 2008; Messmer, 2009; Hines, 2008: 47). PCI DSS is in 2005 ontstaan vanuit de afzonderlijke credit card security programma s van de Master Card en VISA. In 2006 is het PCI Security Standards Council (PCI SSC) opgericht door een vijftal grote credit card maatschappijen (American Express, Discover Financial Services, JCB, MasterCard Worldwide en Visa International). De verantwoordelijkheid voor PCI DSS is in 2006 ook overgegaan naar het PCI SSC, in dat jaar is ook de herziene versie uitgekomen. Inmiddels is in oktober 2008 de derde versie (1.2) gepubliceerd (Drew & Nair, 2008; Schwartz, 2007:7; Sussman, 2008:3). Ondanks de gezamenlijke standaard voor informatiebeveiliging hebben de afzonderlijke maatschappijen nog wel elk hun eigen compliance programma (Bednarz, 2006; Morse & Raval, 2008). In Nederland wordt relatief weinig (t.o.v. VS) met credit cards betaald. Wel is het zo dat ook Nederlandse merchants in toenemende mate te maken krijgen met fraude, waarvoor zij zelf verantwoordelijk worden gesteld indien ze onvoldoende maatregelen hebben getroffen (Werf, 2009). Ook werd vorig jaar in het programma Zembla aandacht besteed aan Nederlandse credit card gegevens die te koop waren in Rusland (Van Kemenade, 2008) Het doel van PCI DSS Het grootste risico voor credit card gegevens is de constant veranderende wijze van uitbuiten van zowel de technische als administratieve kwetsbaarheden in informatiesystemen die credit card gegevens opslaan, verwerken en transporteren. PCI DSS adresseert die kwetsbaarheden, in het bijzonder degenen die invloed hebben op de vertrouwelijke kaarthoudergegevens, en definieert een aantal minimale maatregelen die organisaties moeten nemen om de risico s voortvloeiend uit de kwetsbaarheden in de beveiliging te minimaliseren (ITCI, 2007). Het doel van de standaard is dan ook om huidige en toekomstige beveiligingsrisico s die in de payment industrie ontstaan te mitigeren en daarbij tevens een breed gedragen toepassing van informatiebeveiliging op betaalsystemen te faciliteren (Schwartz, 2007:7). 1 Uit een onderzoek van Symantec blijkt dat er wereldwijd jaarlijks honderden miljoenen omgaan in de handel in gestolen credit card gegevens, waarbij de waarde op de kaarten in de miljarden loopt (Andriessen, 2008; Ringelestijn, 2008; Van Dijk, 2008). Pagina 10 van 43
11 1.3. De kenmerken van PCI DSS Compliance met PCI DSS is een verplichting die voortvloeit uit het werken met één van de payment schemes van de bij het PCI SSC aangesloten credit card maatschappijen en wordt afgedwongen via contractuele bepalingen tussen merchants, acquirers, service providers en credit card maatschappijen (Morse & Raval, 2008). De verschillende credit card maatschappijen vereisen allen PCI DSS compliance, maar het aantonen van naleving en eventuele consequenties van non compliance verschillen per credit card maatschappij. Dit zorgt voor onduidelijkheden (Morse & Raval, 2008:551, Bednarz, 2006). PCI DSS is een rule based standaard met strikte eisen en beperkte ruimte voor interpretatie van de partij die de standaard toepast. Dit in tegenstelling tot bijvoorbeeld een standaard als ISO (Code voor Informatiebeveiliging) die meer is gericht op doelstellingen ( principle based ). PCI DSS is neergezet als een baseline voor security, wat inhoudt dat het de organisatie niet ontslaat van de verantwoordelijkheid om een eigen security beleid te voeren gebaseerd op risico management. In PCI DSS zijn onder andere baselines voor beleid, procedures en technische eisen voor systeemcomponenten (o.a. applicaties, servers en netwerken) opgenomen. PCI DSS is van toepassing als er een PAN (Primary Account Number) wordt opgeslagen, verwerkt of getransporteerd 2. De eisen zijn van toepassing op alle systeemcomponenten die tot de omgeving met de kaarthoudergegevens behoren of die hierop zijn aangesloten en richten zich voornamelijk op het kwaliteitsaspect vertrouwelijkheid (PCI SSC, 2008; Schwartz, 2007:7). De beveiliging van de kaarthouder gegevens is onderverdeeld in zes domeinen en twaalf high level eisen. De twaalf eisen zijn weer onderverdeeld in detail vereisten. De tabel hieronder geeft een overzicht: Domein Vereiste Een veilig netwerk opbouwen en 1e vereiste: een firewallconfiguratie installeren en onderhouden om onderhouden kaarthoudergegevens te beschermen 2e vereiste: geen fabrieksstandaarden voor systeemwachtwoorden en andere beveiligingsparameters gebruiken Kaarthoudergegevens beschermen 4e vereiste: de overdracht van kaarthoudergegevens via openbare netwerken 3e vereiste: opgeslagen kaarthoudergegevens beschermen coderen Een kwetsbaarheidsbeheerprogramma onderhouden 6e vereiste: veilige systemen en toepassingen ontwikkelen en onderhouden 5e vereiste: antivirussoftware gebruiken en regelmatig bijwerken Krachtige maatregelen voor 7e vereiste: de toegang tot kaarthoudergegevens beperken op basis van zakelijke toegangscontrole implementeren 8e vereiste: een unieke ID toewijzen aan iedere persoon met computertoegang need to know 9e vereiste: de fysieke toegang tot Kaarthoudergegevens beperken Netwerken regelmatig controleren en testen den en bewaken 10e vereiste: alle toegang tot netwerkbronnen en kaarthoudergegevens bijhou 11e vereiste: beveiligingssystemen en processen regelmatig testen Een informatiebeveiligingsbeleid 12e vereiste: een beleid handhaven dat op informatiebeveiliging is gericht handhaven Tabel 1 PCI DSS domeinen en eisen (PCI SSC, 2008) 2 De zogenaamde gevoelige verificatiegegevens zoals de volledige magneetstrip, PIN en CVC2/CVVV2/CID mogen onder geen voorwaarde worden opgeslagen. Pagina 11 van 43
12 1.4. Belanghebbenden Ten aanzien van PCI DSS is er een aantal belanghebbenden met ieder hun eigen rol. In onderstaande tabel staan ze weergegeven: Belanghebbende Rol Credit card maatschappijen Gezamenlijk besturen van het PCI SSC Penetratie van PCI DSS stimuleren richting acquiring 3 en issuing 4 banken die hun card schemes voeren Stellen merchants direct verantwoordelijk voor het naleven van PCI DSS (American Express & Discover) Stellen de acquirers verantwoordelijk voor het toezien dat op hun systemen aangesloten merchants PCI DSS compliant zijn (Visa en MasterCard) PCI Security Standards Namens de credit card maatschappijen: Council (PCI SSC) Beheren van de PCI standaards 5 Accreditatie van QSA s en ASV s Acquiring & Issuing banken PCI DSS compliant zijn Erop toezien dat aangesloten merchants, waarvoor zij acquiring activiteiten uitvoeren, dit ook zijn Maken gebruik van service providers (bijvoorbeeld netwerkleveranciers en processors) die de technische afhandeling van de transacties verzorgen Service Providers PCI DSS compliant zijn Merchants PCI DSS compliant zijn Quailified Security Assessors (QSA s) Adviseren de banken, processors en merchants bij inrichting van de eisen van PCI DSS Voeren de audits uit Bieden resultaten van de audits ter goedkeuring aan de credit card maatschappijen van het specifieke scheme aan, zodat de PCI DSS certificering kan worden afgegeven Approved Scanning Vendors (ASV s) Voeren minimaal ieder kwartaal intrusion en vulnerability scans uit op netwerken en applicaties van partijen die aan PCI DSS moeten voldoen Tabel 2 Belanghebbenden van PCI DSS In Nederland is een belangrijke partij in het toezicht (oversight) op het betalingsverkeer De Nederlandsche Bank. Vanuit die rol volgen zij de ontwikkelingen op het gebied van PCI DSS, maar hebben daar geen directe relatie mee. Wel kunnen zij besluiten om voor specifieke onderdelen te steunen op een PCI DSS certificering van een organisatie. 3 Acquiring: het accepteren en verwerken van credit card transacties voor het card scheme waar de merchant is aangesloten door een bank of processor. 4 Issuing: het verwerken van aanvragen en uitgeven van credit cards aan kaarthouders 5 Naast PCI DSS zijn er nog een aantal andere standaarden zoals de PA DSS voor payment applicaties en de PCI PED voor PIN Entry Devices Pagina 12 van 43
13 2. Keuzes en overwegingen tijdens de fasen van de invoering In het vorige hoofdstuk is ingegaan op de kenmerken van PCI DSS zelf. In dit hoofdstuk gaan we nader in op de keuzes en overwegingen die relevant zijn voor de succesvolle invoering van PCI DSS. Deze analyse doen we aan de hand van de fasen die worden doorlopen bij de invoering, waarbij we bondig bij elke fase aangeven welke invloed de uitvoering van de fase kan hebben op een succesvolle invoering. We hebben deze fasen gekozen omdat deze de stappen weergeven die nodig zijn om te komen tot het aantoonbaar voldoen aan de eisen uit PCI DSS: van het identificeren van de eisen waaraan de organisatie moet voldoen tot aan het afleggen van verantwoording over de mate waarin men voldoet aan die eisen. Per fase behandelen we enkel voor het succes van de invoering relevante keuzes en overwegingen. De keuzes per fase zijn voortgekomen uit de inzichten uit theorie, praktijk en eigen analyse, gerelateerd aan de criteria voor succesvolle invoering (zie Inleiding). Daarnaast is vanuit de criteria voor succesvolle invoering een check gedaan op eventuele ontbrekende keuzes. De fasen die we voor de invoering onderscheiden zijn de volgende: Kennisname Kennisname van van de de standaard standaard Strategische Strategische besluitvorming besluitvorming Interpretatie Interpretatie van van de de eisen eisen Gap Gap en en impact impact analyse analyse Planvorming Planvorming Implementatie Implementatie en en inbedding inbedding Bevindingen Certificering Certificering en en rapportage rapportage Figuur 3 Fasen tijdens de invoering Wijzigingen op de standaard 2.1. Kennisname van de (wijzigingen op) de standaard Het compliant worden aan eisen vanuit wet & regelgeving en standaarden start met de kennis van het bestaan van de eisen (en wijzigingen daarvan) en indien van toepassing de verplichting om eraan te voldoen. Van PCI DSS zijn sinds de introductie in 2005 twee nieuwe versies geïntroduceerd en daarbij zijn diverse ondersteunende documenten gepubliceerd. In deze fase analyseren we de mechanismen die organisaties aan kunnen wenden om op de hoogte te raken van nieuwe eisen en wijzigingen van bestaande. De snelheid waarmee men kennis neemt van de eisen bepaalt de tijd en ruimte die een organisatie heeft om te kiezen voor een invoering die is afgestemd op de organisatiestrategie. Het stelt de organisatie in staat om tijdig aan PCI DSS te voldoen en voorkomt daarmee boetes voor non compliance en aansprakelijkheid (bij fraude) in geval van non compliance. Tijdens deze fase komt het management van de organisatie voor de volgende keuze te staan: Wel of niet actief monitoren van ontwikkelingen (ten aanzien van PCI DSS); Pagina 13 van 43
14 Wel of niet actief monitoren van ontwikkelingen Het actief monitoren van ontwikkelingen is bepalend voor de snelheid waarmee men op de hoogte raakt van nieuwe eisen en wijzigingen daarop. Bij niet actief monitoren geeft de organisatie het initiatief bij het op de hoogte raken uit handen. Het opmerken van nieuwe ontwikkelingen ten aanzien van wet & regelgeving en standaarden kan op een aantal verschillende wijzen (Van Zoest, 2007: 52): Via de organisatie die de standaard uitvaardigt; Via brancheverenigingen; Via publicaties in media; Via kennisevenementen (congressen, seminars, etc.); Via informele contacten. Een overweging bij actieve monitoring is de plaats in de organisatie waar dit belegd is. Onze ervaring is dat onderstaande afdelingen een optie zijn: Bij de juridische afdeling; Bij risk management, compliance & security afdelingen; Bij de lijnorganisatie die uiteindelijk verantwoordelijk is voor naleving van eisen. Bij de respondenten zijn we alle drie de genoemde varianten tegengekomen. Ten aanzien van PCI DSS kan worden aangehaakt op activiteiten die al plaatsvinden voor het bijhouden van de protocollen van de card schemes (dit geldt met name voor service providers). In de praktijk zien we een grote variatie in de wijze waarop en de snelheid waarmee organisaties op de hoogte zijn gebracht (zie ook paragraaf 1.4 Belanghebbenden): Enkele partijen waren al op de hoogte voordat zij formeel in kennis werden gesteld, door actieve monitoring of kennisuitwisseling met andere organisaties. Anderen wisten het vanaf de formele kennisgeving; Waar de één rond 2005 al op de hoogte was gesteld was een ander rond die tijd enkel informeel op de hoogte en werd pas rond 2007 officieel geïnformeerd. Alle respondenten geven aan dat zij de eisen uit nieuwe versies van de standaard willen implementeren zodra deze bekend zijn. Het is opvallend dat voor een aantal respondenten geldt dat zij min of meer per toeval geconfronteerd zijn met de laatste nieuwe versie (1.2) van PCI DSS. Organisaties die het eerste op de hoogte waren van de standaard hebben meer tijd gehad en gebruikt voor de invoering. Wij zijn van mening dat een mechanisme voor actieve monitoring op veranderende eisen uit wet & regelgeving en standaarden de mogelijkheid vergroot op een tijdige certificering en daarmee de kans op boetes en aansprakelijkstelling verkleint Strategische besluitvorming Door strategische besluitvorming wordt richting gegeven aan de manier waarop de organisatie invulling geeft aan de invoering van PCI DSS. PCI DSS legt eisen op aan de organisatie (met mogelijk aanzienlijke consequenties) en men zal aan alle eisen moeten voldoen om te kunnen certificeren. De organisatie zal afwegingen moeten maken die uitwijzen of en hoe de invoering van PCI DSS zodanig kan worden vormgegeven dat de wijze van invoering aansluit op de organisatiestrategie. Het management stelt kaders voor verdere invoering en zorgt voor afstemming met reeds gemaakte keuzes t.a.v. technologie, compliance en informatiebeveiliging. Tevens wordt in deze fase helder wat de ambitie is ten aanzien van de invoering en in welke mate de organisatie zich aan de invoering committeert. We gaan eerst in op een tweetal invalshoeken voor de positionering van de organisatie ten opzichte van de standaard. Die positionering vormt een vertrekpunt voor de te maken keuzes in deze fase. Pagina 14 van 43
15 Positionering ten opzichte van de standaard Van belang voor de positionering van de organisatie ten opzichte van PCI DSS zijn enerzijds de verwachte voordelen van de invoering van de standaard en anderzijds de gevolgen van non compliance. Het verwachte voordeel voor de organisatie is een afweging van een aantal mogelijke voor en nadelen, waarvan onderstaand een aantal voorbeelden is gegeven: Voordelen Toename beveiligingsniveau Vertrouwen in de organisatie Concurrentiepositie ( first mover advantage, toenemende klantvraag, license to operate ) Lagere verwerkingskosten voor transacties van acquirers en merchants die PCI DSS compliant zijn 6 ; Afname fraude Aansluiting op technologische vernieuwing Tabel 3 Voor & nadelen van invoering Nadelen Audit burden Eisen kunnen leiden tot andere inrichting van systemen dan gewenst cq. tot hoge kosten (upgrade van infrastructuur, assessment kosten en onderhouden van compliance) Systeemaanpassingen die de normale operatie kunnen verstoren Kosten van het invoeringsproject Kosten van onderhoud van de certificering Bij PCI DSS zijn er in het geval van non compliance verschillende mogelijke gevolgen: Boetes in het geval van security incidenten vanuit de credit card maatschappijen 7 aan de acquirers; Boetes (maandelijks oplopend) vanuit de credit card maatschappijen naar acquiring banken voor non compliant merchants (die dit op hun beurt weer doorberekenen naar de merchants); Boetes (maandelijks) voor het opslaan van verboden credit card gegevens door de credit card maatschappijen (Messmer, 2007: 2); Aansprakelijkstelling van merchants en acquirers voor de directe schade (zoals het vervangen van credit cards, schadeloos stellen van slachtoffers van fraude); Aansprakelijkstelling van acquirers en merchants voor maatschappelijke schade (zoals inbreuk op de privacy van kaarthouders) (Morse & Raval, 2008: 541); Intrekking van de mogelijkheid om transacties van het card scheme te verwerken (acquirer) of betalingen te accepteren (merchant) (Meadowcroft, 2008; Adler & Swanson, 2007); Imagoschade bij organisaties met een beveiliging/fraude incident, wat de continuïteit van de organisatie in gevaar kan brengen (PaySquare, 2009); 6 VISA biedt lagere verwerkingskosten voor banken die zorgen dat de op hun aangesloten acquirers PCI DSS compliant zijn, die deze korting ook weer kunnen doorrekenen aan hun merchants. Andere maatschappijen gaan dit voorbeeld ook toepassen (Schwartz, 2007). 7 PCI DSS is geen wetgeving en wordt door de credit card maatschappijen geregeld in de contracten met de acquirers. De credit card maatschappijen hebben meestal geen directe relatie met de merchants en stellen daarom de acquirers aansprakelijk voor het hebben van PCI compliant merchants. Pagina 15 van 43
16 Wanneer we deze twee factoren tegen elkaar afzetten ontstaan vier mogelijke invalshoeken die sturend kunnen zijn voor de strategische keuzes die de organisatie in deze fase maakt. Hoog Verwachte voordelen Realisatie van baten belangrijker dan snelheid van implementatie Kosten mogen hoger uitvallen wanneer de baten mee stijgen Voldoen wanneer het echt moet Kosten zo laag mogelijk Snelheid geboden Kosten mogen hoger uitvallen wanneer de baten mee stijgen Snelheid geboden Kosten zo laag mogelijk Laag Klein Gevolgen van non compliance Figuur 4 Invalshoeken voor strategische keuzes Groot Organisatieniveau dat betrokken is bij de besluitvorming en invoering van PCI DSS Voor het waarborgen van een goede invoering en het maken van de juiste keuzes is het van belang dat zowel de business als IT betrokken is bij besluitvorming. PCI DSS is een standaard voor informatiebeveiliging en veel van de eisen zijn van technische aard, de invoering ervan is echter niet alleen een IT aangelegenheid. Voor een goede alignment van de invoering met de business en haar doelstellingen is het van belang dat zowel business als IT management betrokken zijn bij de besluitvorming. Dit is ook van belang voor de noodzakelijke toezegging van resources in de fase planvorming. Bij de meeste geïnterviewde organisaties is zowel business als IT management betrokken bij de besluitvorming. In deze fase komt het management voor de volgende keuzes te staan: Wel of niet voldoen aan de standaard Alignment met andere initiatieven/strategie (t.a.v. business IT alignment, technologie, compliance en informatiebeveiliging) Moment van invoering van en voldoen aan de standaard Wel of niet proberen invloed uit te oefenen (om compliance aan de standaard meer in lijn met eigen organisatiedoelstellingen te krijgen) Wel of niet voldoen aan de standaard Een van de eerste vragen die de organisatie zich kan stellen is of het accepteren van credit cards met inbegrip van de PCI DSS eisen (en de consequenties daarvan) nog past binnen de organisatiestrategie. Voor organisaties waarbij de afhankelijkheid van credit cards als betaalmiddel laag is en de kosten om aan PCI DSS te voldoen hoog zijn kan het een overweging zijn om te stoppen met het accepteren van credit cards. Zeker in Nederland, waar het gebruik van credit cards relatief laag is, kan dit voor organisaties een reële overweging zijn. Op die manier wordt voorkomen dat er boetes en aansprakelijkheidstelling plaatsvinden. Alle respondenten hebben ervoor gekozen om te voldoen aan de standaard. Gezien de centrale vraagstelling van de scriptie gaan we alleen verder op de keuze om credit cards te blijven accepteren en te voldoen aan de standaard. Pagina 16 van 43
17 Alignment met andere initiatieven/strategie De besluitvormingsfase is een geschikt moment om de gehele PCI DSS invoering in lijn te brengen met de organisatiestrategie en geplande activiteiten: In het kader van business IT alignment is het logisch de strategie voor de beheersing van regelgeving in het IT domein op de business strategie af te stemmen (Henderson & Venkatraman, 1999). Kiest een organisatie er in de markt voor om een early mover te zijn, dan lijkt het logisch om ook te anticiperen op nieuwe eisen, zeker wanneer daar een (tijdelijk) competitief voordeel mee te behalen is. In een recent onderzoek naar het behalen van een competitief voordeel uit opgelegde aanpassingen in informatiesystemen wordt gesteld dat organisaties die de aanpassingen kunnen combineren met aanpassingen die reeds gepland stonden in het voordeel zijn ten opzichte van concurrenten. Onder andere omdat de kans dat ze hiermee in lijn met de bedrijfsstrategie handelen groter is (Krell & Matook, 2009: 4 5). Op het gebied van beveiliging kan aangehaakt worden op eventueel reeds toegepast beveiligingsstandaarden (zie ook paragraaf 2.5 Planvorming) waarbij tot een geïntegreerde en samenhangende set van beveiligingsmaatregelen gekomen kan worden. Met betrekking tot compliance is het raadzaam om te kijken hoe de keuzes voor het moment van invoering en het wel of niet proberen invloed uit te oefenen passen in de eventuele overall compliance strategie die de organisatie hanteert. Op die manier kan gebruik gemaakt worden van reeds bestaande mechanismen voor invoering van standaarden en bestaande platformen/overlegstructuren voor beïnvloeding. Op deze wijze kan men voorkomen dat er onder hoge tijdsdruk ingegrepen moet worden op reeds ingeslagen paden en worden dubbele kosten en besluiten vermeden die niet leiden tot toegevoegde waarde. Moment van invoering van en voldoen aan de standaard In lijn met de organisatiestrategie moet ook bepaald worden welk moment de organisatie kiest om te starten met de invoering en op welk moment ze compliant wil zijn aan de standaard. Organisaties die voorop willen lopen met ontwikkelingen zullen meer gebaat zijn bij snelle invoering. Organisaties die het laagste kostenniveau nastreven willen gebruik kunnen maken van ervaring die andere organisaties hebben opgedaan met de invoering van de standaard. Organisaties worden geconfronteerd met eisen van externe partijen waaraan voldaan moet worden. Weidenbaum (1980) betoogt dat er drie generieke reacties zijn op deze eisen, te weten passief reageren, positief anticiperen en beleid beïnvloeden. Hierbij worden ondernemingen door toenemende regelgeving gemotiveerd om van een passief reagerende naar een beleid beïnvloedende reactie op te schuiven. Vanagas & Žirgutiene (2005) nemen een soortgelijke verschuiving waar van een reactieve naar een proactieve benadering van compliance (zie figuur 5). Figuur 5 Compliance Paradigm Shift (Vanagas & Žirgutiene, 2005) Het lange termijn competitief voordeel (sustainable competitive advantage) neemt toe bij respectievelijk een reactieve, anticiperende en proactieve strategie (Oliver & Holzinger, 2007: 33). Pagina 17 van 43
18 Bij proactief reageren heeft de eigen organisatie het initiatief en kan het PCI DSS ook actief inzetten als instrument voor informatiebeveiliging en marketing (commercieel gebruik maken van vroege certificering) en is er ook tijd om de invoering handig en beheerst te plannen en in lijn met andere noodzakelijke wijzigingen (vervanging applicaties etc.) te laten verlopen; Bij tijdige reactie zijn deze voordelen in mindere mate aanwezig aangezien het voordeel van de beschikbare tijd er dan minder is en het inzetten van certificering als marketing instrument verminderde uitwerking heeft. Daarnaast ligt het initiatief op dat moment bij de partij die PCI DSS vereist, hoewel er nog voldoende tijd is voor een geleidelijke invoering; Bij reactief reageren ligt de termijn waarop men compliant moet zijn in de nabije toekomst en zal de invoering onder zwaardere druk plaatsvinden. Er is dan geen tijd meer om de invoering in lijn met andere keuzes van de organisatie te plannen. Daar staat tegenover dat het wachten met de invoering als voordeel kan bieden dat men kan leren van de ervaring van anderen. Later verschenen verduidelijking van de richtlijnen kunnen bij latere invoering in een keer worden meegenomen. Naast de positionering (in termen van verwacht voordeel van invoering en gevolgen van noncompliance) van de organisatie ten opzichte van de standaard zijn er nog een aantal factoren, die de keuze voor het moment van invoeren en compliant worden beïnvloeden: Maatschappelijke verantwoordelijkheid (vanwege mogelijke effecten van security breaches op andere partijen in het maatschappelijk verkeer); Ontstaan van kritieke massa (als steeds meer concurrenten voldoen wordt het een nadeel als je niet voldoet); Toenemende druk van card schemes; Reeds aanwezige niveau van beveiliging; Vermijden van investeringen in legacy technologie (applicaties, systemen en netwerken) wanneer deze voor vervanging gepland staat. De reactie van de respondenten op PCI DSS verschilde per organisatie. De partijen die proactief reageerden (verplichting was nog niet opgelegd) deden dat vooral om zeker te stellen dat de gevolgen van non compliance werden beperkt door implementatie van de maatregelen. Bij de partijen die tijdig reageerden waren de vrees voor boetes en reputatieschade bij non compliance en de toename van de informatiebeveiliging de belangrijkste redenen. Bij partijen die reactief reageerden werd in de ene organisatie de noodzaak niet gezien aangezien het beveiligingsniveau al voldoende werd geacht. Daar is na een aantal jaren pas besloten om PCI DSS in te voeren vanuit een commercieel oogpunt (toenemende vraag van klanten om PCI DSS compliance, waardoor het op termijn een disqualifier kon worden in bid trajecten, helemaal als concurrerende bedrijven wel compliant zijn). Deze laatste overweging was voor de andere organisatie die zich reactief opstelde ten aanzien van PCI DSS ook doorslaggevend om met PCI DSS aan de slag gegaan. Bij de partijen die zich reactief opstellen zien we dat de invoering meer problemen (te weinig tijd voor goede studies naar oplossingen, de noodzaak voor tijdelijke compenserende maatregelen om security breaches en aansprakelijkstelling te voorkomen) oplevert dan bij de partijen die dat proactief of tijdig doen. Deze hebben wel voldoende tijd om voorbereidingen te treffen en in een keer de juiste maatregelen te implementeren. Uit oogpunt van het tijdig certificeren (en daarmee de kans op boetes en aansprakelijkstelling verkleinen) en de verhoging van het beveiligingsniveau zijn wij van mening dat een proactieve aanpak de meeste voordelen biedt. Wel of niet proberen invloed uit te oefenen Beïnvloedingsstrategieën worden gedefinieerd als acties voor het vergaren van steun voor de belangen van de onderneming (Shaffer, 1995; Oliver & Holzinger, 2007). Concurrentie vindt niet alleen plaats in de markt maar ook in de politieke arena. Organisaties kunnen concurrentievoordeel beha Pagina 18 van 43
19 len door zich actief in deze politieke arena te bewegen en daar te pogen regelgeving naar hun hand te zetten (Henisz & Zelner, 2003). Voor PCI DSS kan worden gepoogd invloed uit te oefenen op de inhoud (eisen) en opzet (rule based) van de standaard en op de deadline voor het voldoen aan de standaard om dit beter te laten aansluiten op de eigen doelstellingen en keuzes van de organisatie. Invloed proberen uit te oefenen op de inhoud kan, zeker gezien het rule based karakter van PCI DSS, van belang zijn om (fundamentele) wijzigingen in de opzet van PCI DSS geaccepteerd te krijgen door de credit card maatschappijen. Hiervoor is het dan wel noodzakelijk coalities te vormen (bijvoorbeeld middels een branchevereniging) (Van Zoest, 2007). Een aantal respondenten heeft bij latere versies via het PCI SSC geprobeerd invloed uit te oefenen middels reviews op de voorstellen. Daarbij wordt wel een aantal zaken opgemerkt: PCI SSC luistert naar de (invloedrijke) partijen in de markt; De werkelijke invloed wordt als beperkt ervaren en de discussie blijft soms erg theoretisch. Ten aanzien van de deadline van het voldoen aan de standaard hebben op twee na alle respondenten geprobeerd invloed uit te oefenen op de invoering van de standaard. Er is vooral met de credit card maatschappijen gesproken om tot overeenstemming te komen over een voor beide partijen acceptabel moment van compliance. Slechts één van de respondenten maakt actief gebruik van coalities met andere partijen die eenzelfde belang hebben. Eén andere partij heeft een poging hiertoe ondernomen, die gestrand is als gevolg van concurrentieoverwegingen. Gezien de beperkte invloed die in de praktijk mogelijk lijkt, is het voor individuele partijen naar onze mening weinig zinvol om te kiezen voor beïnvloeding op de inhoud van de standaard. Enkel wanneer gebruik gemaakt wordt van coalities voor het bereiken van kritieke massa vinden wij beïnvloeding ten aanzien van de inhoud een zinvolle keuze. Met betrekking tot het moment van compliant worden vinden wij het raadzaam om hierover met de organisatie die de compliance vereist in overleg te treden, hierdoor is de kans groter dat het moment van invoering aan te sluiten is op de planning/strategie van de eigen organisatie. Het vergroot de kans op certificering aangezien er meer tijd is om een beheerste invoering te doorlopen Interpretatie van de eisen De juiste interpretatie van de eisen leidt tot snellere certificering aangezien er ten tijde van de audit geen misverstanden meer bestaan over de vraag of nu wel op de juiste manier aan de eisen uit de PCI DSS is voldaan. Het lijkt enerzijds makkelijk dat de PCI DSS een rule based opzet kent, dit laat onverlet dat er nog steeds een goed begrip vereist is van wat er nu precies wordt gevraagd en op welke onderdelen het nu wel en niet van toepassing is op de eigen organisatie 8. De interpretatie vormt één van de moeilijkste onderdelen bij het invoeren van wet en regelgeving en standaarden. 8 Bij PCI DSS wordt de interpretatie bemoeilijkt door de opzet van PCI DSS zelf. Morse & Raval (2008) zetten uiteen dat de eisen onderling verschillen in aard, scope en detailniveau. Enkele eisen zijn sterk voorschrijvend (firewall configuratie, data encryptie), terwijl andere ruimte laten voor eigen invulling ( business need to know ). Daarnaast zijn de structuur en volgorde van de eisen weinig logisch. De eis die de toon zou moeten zetten voor de hele standaard (het hebben en onderhouden van een informatiebeveiligingsbeleid) is de laatste eis van de standaard, terwijl deze als eerste verwacht zou mogen worden. Pagina 19 van 43
20 Tijdens deze fase staat het management voor de volgende keuzes: Intern opbouwen van de benodigde kennis of naar behoefte extern inhuren; Ambitieniveau bij de vertaling van eisen naar de eigen organisatie. Intern opbouwen van de benodigde kennis of naar behoefte extern inhuren Door wijzigingen op de standaard, het uitkomen van aanvullende documentatie en door wijzigingen in de processen en systemen in de organisatie is interpretatie van de eisen geen eenmalige exercitie. Voor een goede interpretatie is specialistische kennis vereist op diverse terreinen (over de standaard zelf en de toelichting daarop maar ook over mogelijke maatregelen in systemen en processen die aan de eisen voldoen). De organisatie kan ervoor kiezen om deze kennis tijdelijk van buiten de organisatie te betrekken door inhuren van externen (QSA s, juristen, consultants) die zich in de specifieke aandachtsgebieden hebben gespecialiseerd. Het alternatief is om de kennis intern op te bouwen. Aanvullend kan men in beide situaties gebruik maken van kennis in branche en vakverenigingen en afstemming met de toezichthouder/de partij die de eisen oplegt. Het voordeel van extern inhuren is de flexibilisering van de kosten en de toegang tot up to date specialistische kennis in de markt. Het voordeel van het intern opbouwen van de kennis is dat deze permanent beschikbaar is en deze kennis snel in kan zetten in geval van wijzigingen. Ondanks het feit dat de PCI DSS een rule based standaard is, bieden de eisen in de PCI DSS nog aanleiding tot interpretatie. Op dit vlak zijn er grote overeenkomsten tussen de diverse respondenten. Ten eerste hebben, op één na, alle geïnterviewden een QSA in de hand genomen om te ondersteunen bij de interpretatie van de standaard. In een aantal gevallen heeft deze QSA ook geholpen in de contacten met credit card maatschappijen om onduidelijkheden of standpunten van de organisatie ten aanzien van de interpretatie van de standaard af te stemmen. Ten tweede bleek de interpretatie van de standaard in de meeste gevallen een lastige exercitie, vooral het bepalen van de scope (issuing/acquiring, services, systemen, geografisch) was daarbij lastig. Door enkele van de respondenten wordt als reden de inconsistente terminologie in de standaard gegeven. Ook het statement op hoofdlijnen dat de eisen van toepassing zijn op alles wat met payments te maken heeft leidt tot veel discussie. Het is van belang om te voorkomen dat ten tijde van de certificering tekortkomingen met een grote impact (bijvoorbeeld investering in een webapplicatie die niet voldoen aan de OWASP eisen) naar voren komen als gevolg van een verkeerde of ongelukkige interpretatie van de standaard. Daarom vinden wij het verstandig om in een vroeg stadium een adviseur aan te stellen die over voldoende kennis beschikt om een goede interpretatie te maken. Het is vervolgens afhankelijk van de grootte van de organisatie of het haalbaar is om deze kennis intern te borgen. Ambitieniveau bij de vertaling van eisen naar de eigen organisatie De keuze voor het ambitieniveau bij de vertaling van de eisen naar de eigen organisatie is van invloed op de vraag of de invoering tot een verhoging van het beveiligingsniveau gaat leiden. Bij de interpretatie van de eisen heeft de organisatie de keuze om: Vast te houden aan de baseline positie die door PCI DSS wordt gegeven (leidt tot minimale maatregelen); De interpretatie uit te voeren in het licht van de risico s die daadwerkelijk worden gelopen en waar nodig zichzelf hogere eisen te stellen dan strikt genomen vanuit PCI DSS gezien noodzakelijk zijn (kan leiden tot zwaardere maatregelen). Hanteren van de baseline draagt bij aan het snel gecertificeerd raken van de organisatie. De interpretatie vanuit de daadwerkelijke risico s draagt bij aan minimaliseren van de kans op security incidenten. Bij de ondervraagde organisaties zagen we zowel de keuze om dicht bij de baseline te blijven om de kosten te beperken en vanwege het commerciële belang van certificering als organisaties die de eisen interpreteerden vanuit hun eigen beveiligingsrisico s om daarmee het niveau van informatie Pagina 20 van 43
Informatiebeveiligingsbeleid
Stichting Werken in Gelderland Versiebeheer Eigenaar: Review: Bestuur juni 2019 Versie Status Aangepast Datum Door 0.1 Concept Versiebeheer 31-5-2018 Privacyzaken, Michel Rijnders 1.0 Vastgesteld Vastgesteld
Nadere informatieVOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.
Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten
Nadere informatieStappenplan naar GDPR compliance
Stappenplan naar GDPR compliance In samenwerking met ESET heeft Mazars een whitepaper geschreven met als doel om meer inzicht te geven in het ontstaan en de gevolgen van de General Data Protection Regulation
Nadere informatieSecurity Testing. Omdat elk systeem anderis
Security Omdat elk systeem anderis Security U bent gebaat bij een veilig netwerk en beveiligde applicaties. Wij maken met een aantal diensten inzichtelijk hoe we uw security kunnen optimaliseren. Security
Nadere informatieStappenplan naar GDPR compliance
Stappenplan naar GDPR compliance Stappenplan voor compliance met de Algemene Verordening Gegevensbescherming Het Europees Parlement heeft op 14 april 2016 de Algemene Verordening Gegevensbescherming (AVG)
Nadere informatieIntegrale Handhaving. Opzet Quick Scan. Inhoudsopgave. 1. Achtergrond en aanleiding
Integrale Handhaving Opzet Quick Scan Rekenkamer Weert Oktober 2008 Inhoudsopgave 1. Achtergrond en aanleiding 2. Centrale vraagstelling 3. Deelvragen 4. Aanpak en resultaat 5. Organisatie en planning
Nadere informatieI T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie
I T S X Understanding the Tools, the Players and the Rules Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie Voorwoord Ralph Moonen Arthur Donkers Mijn naam
Nadere informatieBeveiligingsbeleid Stichting Kennisnet
Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek
Nadere informatieOpslag van Creditcard Gegevens if you don t need it, don t store it
E-commerce & Mail Order-Telephone Order Opslag van Creditcard Gegevens if you don t need it, don t store it Opslag van Creditcard Gegevens Creditcard accepterende bedrijven vormen een potentieel doelwit
Nadere informatieHoe gebruiken professionele serviceproviders architectuur voor een optimale, toekomstvaste deal? Landelijk Architectuur Congres 2010 Martin van den
Hoe gebruiken professionele serviceproviders architectuur voor een optimale, toekomstvaste deal? Landelijk Architectuur Congres 2010 Martin van den Berg Agenda Inleiding Wat is de rol van de provider architect?
Nadere informatieISO Informatiebeveiliging
ISO 27001 Informatiebeveiliging 1. Welkom bij KAM Consultants 2. Werkwijze 3. ISO 27001 4. Advies diensten 5. Trainingen 6. Quick Scan 7. Coaching 8. Intensieve begeleiding 9. Onderhoud 10. Contactgegevens
Nadere informatieManagementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C
Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Versie 01, februari 2017 Pagina 1 van 5 A.1 Opdrachtverstrekking Dit informatiebeveiligingsbeleid wordt in opdracht
Nadere informatieHERGEBRUIK VAN REQUIREMENTS
HERGEBRUIK VAN REQUIREMENTS EEN PRAKTISCHE AANPAK BUSINESS ANALYSE CENTER OF EXCELLENCE - SYNERGIO Inhoudsopgave 1 HERGEBRUIK VAN REQUIREMENTS... 3 1.1 GEBRUIKEN VERSUS HERGEBRUIKEN... 4 2 STRATEGIE...
Nadere informatieInformatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers
Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam
Nadere informatieBusiness Continuity Management conform ISO 22301
Business Continuity Management conform ISO 22301 Onderzoek naar effecten op de prestaties van organisaties Business continuity management gaat over systematische aandacht voor de continuïteit van de onderneming,
Nadere informatiePlan 5 6-11 7 - 41-43 76-78
Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale
Nadere informatieCompliance Charter. Pensioenfonds NIBC
Compliance Charter Pensioenfonds NIBC Vastgesteld in bestuursvergadering 9 december 2016 Inleiding Pensioenfonds NIBC voert de pensioenregeling van NIBC Bank N.V. uit. Het pensioenfonds is een stichting
Nadere informatieFactsheet Penetratietest Informatievoorziening
Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl
Nadere informatieAan de raad van de gemeente Lingewaard
6 Aan de raad van de gemeente Lingewaard *14RDS00194* 14RDS00194 Onderwerp Nota Risicomanagement & Weerstandsvermogen 2014-2017 1 Samenvatting In deze nieuwe Nota Risicomanagement & Weerstandsvermogen
Nadere informatieFunctiefamilie ET Thematische experten
Functiefamilie ET Thematische experten DOEL Expertise in een materie* en verstrekken aan de administratieve en politieke instanties teneinde hen te ondersteunen bij de besluitvorming en de uitvoering van
Nadere informatieBENT U ER KLAAR VOOR?
ISO 9001:2015 EN ISO 14001:2015 HERZIENINGEN ZIJN IN AANTOCHT BENT U ER KLAAR VOOR? Move Forward with Confidence WAT IS NIEUW IN ISO 9001:2015 & ISO 14001:2015 MEER BUSINESS GEORIENTEERD KERNASPECTEN "LEIDERSCHAP
Nadere informatievastleggen in een samenwerkingsovereenkomst. Deze voeren wij nauwgezet uit. In beide rollen zorgen we dat uw privacy zorgvuldig is beschermd.
1. 2. Uw rechten 3. Hoe we omgaan met uw data 4. In het geval van een datalek 5. Termen en begrippen U vertrouwt ons uw betalings- en persoonsgegevens toe. We hechten veel waarde aan dat vertrouwen. Hier
Nadere informatieFactsheet DATALEKKEN COMPLIANT Managed Services
Factsheet DATALEKKEN COMPLIANT Managed Services DATALEKKEN COMPLIANT Managed Services We ontwerpen en implementeren security maatregelen om datalekken te detecteren en het risico daarop te minimaliseren.
Nadere informatieB2BE Data Processing Overeenkomst 1. DEFINITIES
B2BE Data Processing Overeenkomst 1. DEFINITIES "Overeenkomst" Deze Overeenkomst beschrijft de voorwaarden waarop de Klant en B2BE ermee instemmen zich aan de Algemene Verordening Gegevensbeschermings
Nadere informatieGovernance. Informatiemanagement. Architectuur. Gemeenschappelijk
Beleggen Bewaken Sturen Informatiemanagement Inspireren Verbinden Organiseren Architectuur Verbeelden Structureren Afstemmen Gemeenschappelijk Communiceren Adviseren Beïnvloeden Beleggen: kan taken, verantwoordelijkheden
Nadere informatieConcretere eisen om te (kunnen) voldoen aan relevante wet- en regelgeving zijn specifiek benoemd
>>> Overgang Maatstaf 2016 Onderstaand overzicht bevat de selectie van de geheel nieuwe eisen uit de Maatstaf 2016 en de eisen waarbij extra of andere accenten zijn gelegd, inclusief een korte toelichting.
Nadere informatieSAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen
SAP Risk-Control Model Inzicht in financiële risico s vanuit uw SAP processen Agenda 1.Introductie in Risicomanagement 2.SAP Risk-Control Model Introductie in Risicomanagement Van risico s naar intern
Nadere informatieAVG Routeplanner voor woningcorporaties
AVG Routeplanner voor woningcorporaties 24 oktober 2017 Versie 1.0 24 oktober 2017 0 Inleiding Aedes wil haar leden ondersteunen bij de implementatie van de privacywetgeving. Daarvoor biedt zij onder andere
Nadere informatieBijlage Gegevensverwerking. Artikel 1 - Definities
Bijlage Gegevensverwerking Artikel 1 - Definities De namen en begrippen in deze Bijlage die met een hoofdletter worden geschreven, hebben de hiernavolgende betekenis: 1.1 Persoonsgegevens: alle informatie
Nadere informatieReview op uitgevoerde risico-inventarisatie implementatie resultaatgerichte bekostiging
Review op uitgevoerde risico-inventarisatie implementatie resultaatgerichte bekostiging mr. drs. E.P.J. de Boer Rotterdam, Aanleiding en opzet van de review In opdracht van de GR Jeugdhulp Rijnmond is
Nadere informatiePrivacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin
www.pwc.nl Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin Even voorstellen Maurice Steffin Maurice is Manager Privacy binnen het Privacy team. Hij combineert zijn privacy kennis
Nadere informatieFunctieprofiel Functionaris Gegevensbescherming
Functionaris Gegevensbescherming Inhoudsopgave 1. Doel van de functie 2. Plaats in de organisatie 3. Resultaatgebieden 4. Taken, verantwoordelijkheden & bevoegdheden 5. Contacten 6. Opleiding, kennis,
Nadere informatieBeschrijving van de generieke norm: ISO 27001:2013. Grafimedia en Creatieve Industrie. Versie: augustus 2016
Beschrijving van de generieke norm: ISO 27001:2013 Grafimedia en Creatieve Industrie Versie: augustus 2016 Uitgave van de branche (SCGM) INHOUDSOPGAVE INHOUDSOPGAVE... 1 INLEIDING... 4 1. ONDERWERP EN
Nadere informatieAudit Assurance bij het Applicatiepakket Interne Modellen Solvency II
Confidentieel 1 Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II 1 Inleiding Instellingen die op grond van art. 112, 230 of 231 van de Solvency II richtlijn (richtlijn 2009/139/EC)
Nadere informatieSTRATAEGOS CONSULTING
STRATAEGOS CONSULTING EXECUTIE CONSULTING STRATAEGOS.COM WELKOM EXECUTIE CONSULTING WELKOM BIJ STRATAEGOS CONSULTING Strataegos Consulting is een strategie consultancy met speciale focus op strategie executie.
Nadere informatieData Protection Impact Assessment (DPIA)
Data Protection Impact Assessment (DPIA) van Theorie naar Praktijk [ 28 januari 2015 ] 2 Data Protection Impact Assessments: agenda 1. Wat zegt de Algemene Verordening Gegevensbescherming? 2. Hoe productief
Nadere informatieDe nieuwe ISO norm 2015 Wat nu?!
De nieuwe ISO norm 2015 Wat nu?! Stichting QualityMasters Nieuwland Parc 157 3351 LJ Papendrecht 078-3030060 info@qualitymasters.com www.qualitymasters.com 02-2015 Inhoud Inleiding pagina 3 Van Oud naar
Nadere informatieFactsheet SECURITY SCANNING Managed Services
Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security
Nadere informatieBerry Kok. Navara Risk Advisory
Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging
Nadere informatieSecurity Starts With Awareness
Security Starts With Awareness Think Secure Think Secure is in 2003 opgericht met het doel organisaties te ondersteunen met kennis en diensten die: 1.Het bewustzijn m.b.t. informatie- en ICT beveiliging
Nadere informatieGenerieke systeemeisen
Bijlage Generieke Systeem in kader van LAT-RB, versie 27 maart 2012 Generieke systeem NTA 8620 BRZO (VBS elementen) Arbowet Bevb / NTA 8000 OHSAS 18001 ISO 14001 Compliance competence checklist 1. Algemene
Nadere informatieISO norm voor Business Continuity Management
ISO 22301- norm voor Business Continuity Management 1. Welkom bij KAM Consultants 2. Werkwijze 3. ISO 22301 4. ISO 22301 certificatiebegeleiding 5. Trainingen 6. Quick Scan 7. Coaching 8. Intensieve begeleiding
Nadere informatieMeldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma
Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen doorgevoerd in de wetgeving met betrekking tot de privacy van
Nadere informatieWe maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren.
Managed Services Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security Management diensten bewaken we de continuïteit
Nadere informatieISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18
ISMS BELEIDSVERKLARING info@thepeoplegroup.nl +31(0) 73 523 67 78 www.thepeoplegroup.nl Versie 1.0: 3/7/18 INTRODUCTIE De directie van The People Group zal bij het voorbereiden en uitvoeren van het algemeen
Nadere informatieMiFID Nieuws. MiFID II: Wat nu te doen met de kennis- en bekwaamheidseisen?
Juni 2017 Met deze nieuwsbrief willen we je inzicht geven in de ontwikkelingen op het gebied van MiFID II. Per 3 januari 2018 treden de nieuwe vakbekwaamheidseisen uit de MiFID II richtlijn in werking.
Nadere informatieGrip op fiscale risico s
Grip op fiscale risico s Wat is een Tax Control Framework? Een Tax Control Framework (TCF) is een instrument van interne beheersing, specifiek gericht op de fiscale functie binnen een organisatie. Een
Nadere informatieWhitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com
Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties
Nadere informatiePortefeuillehouder: M.A.P. Michels Behandelend ambtenaar J. van der Meer, 0595 447719 gemeente@winsum.nl (t.a.v. J. van der Meer)
Vergadering: 11 december 2012 Agendanummer: 12 Status: Besluitvormend Portefeuillehouder: M.A.P. Michels Behandelend ambtenaar J. van der Meer, 0595 447719 E mail: gemeente@winsum.nl (t.a.v. J. van der
Nadere informatieDe compliance functie Hoe werkt het in de praktijk
De compliance functie Hoe werkt het in de praktijk Compliance praktijk NCI module 2 december 2017 Joyce van Tuyl Manager CDD Klantsignalen Rabobank Nederland Programma Inleiding Compliance De functie Compliance
Nadere informatiePrivacy Policy v Stone Internet Services bvba
Privacy Policy v09.16 Stone Internet Services bvba Stone Internet Services Privacy Policy Dit document heeft als doel te beschrijven hoe Stone Internet Services bvba omgaat met het opslaan en beheren van
Nadere informatieMeldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma
Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen aangekondigd in de wetgeving met betrekking tot de privacy
Nadere informatieHoe gaat u veilig en verantwoord om met de betaalkaartgegevens van uw klanten? Whitepaper PCI DSS
Hoe gaat u veilig en verantwoord om met de betaalkaartgegevens van uw klanten? Whitepaper PCI DSS Inhoud Inleiding Vertrouwen winnen 3 Definitie Wat is PCI DSS? 4 Doelstellingen Wat is het doel van PCI
Nadere informatieDe grootste veranderingen in hoofdlijnen
GDPR Introductie Met de ingang van de General Data Protection Regulation (GDPR) op 6 mei 2018 wordt de privacy van (persoons)gegevens Europabreed geregeld. Daarmee komt de Nederlandse Wet Bescherming Persoonsgegevens
Nadere informatieVERWERKERS- OVEREENKOMST <NAAM BEDRIJF> Bestaande uit: Deel 1. Data Pro Statement Deel 2. Standaardclausules voor verwerkingen. Versie <versie/datum>
VERWERKERS- OVEREENKOMST Bestaande uit: Deel 1. Data Pro Statement Deel 2. Standaardclausules voor verwerkingen Versie DEEL 1: DATA PRO STATEMENT Dit Data Pro Statement vormt
Nadere informatieProductopbouw. BrainCap levert cybersecurityoplossingen in 3 stappen.
U wilt online veiligheid voor uw bedrijf. U wilt daarom weten wat de cybersecuritystatus van uw organisatie is en inzicht hebben in de online risico s waaraan u bloot staat. Maar daar heeft u de kennis
Nadere informatieAls wij nu de systemen dicht zetten, waar zeg ik dan ja tegen?
Als wij nu de systemen dicht zetten, waar zeg ik dan ja tegen? Thijs Breuking, voorzitter CMT WUR & lid RvB, Oefening OZON, 4-10-2016 Ervaringen en inzichten cybercrisismanagement 9 februari 2017 Frank
Nadere informatiePrivacy voorwaarden Compressor Service Techniek (onderdeel van Voskamp groep)
Onderdeel van Privacy voorwaarden Compressor Service Techniek (onderdeel van Voskamp groep) Introductie Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door
Nadere informatieOpdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst
Opdrachtgeverschap 2.0 Toezien op de afspraken in de verwerkersovereenkomst Doel van deze presentatie Zelf een mening hebben over welke certificering/ verklaring het beste past bij een af te nemen dienst
Nadere informatieCERTIFICERING NEN 7510
CERTIFICERING NEN 7510 Henry Dwars Account manager DEKRA Certification B.V. Standards and Regulations 1 Onderwerpen Intro DEKRA De weg naar certificering Certificatietraject Standards and Regulations 2
Nadere informatieStichting Pensioenfonds Ecolab. Compliance Charter. Voorwoord
Stichting Pensioenfonds Ecolab Compliance Charter Voorwoord Het Compliance Charter beschrijft de definitie, doelstellingen, scope, en taken en verantwoordelijkheden van de betrokkenen in het kader van
Nadere informatieCloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.
Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud
Nadere informatieEven Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017
GEGEVENSBESCHERMING IN DE PRAKTIJK Folkert van Hasselt 29 november 2017 Even Voorstellen Folkert van Hasselt RI Register informaticus Werkzaam bij Instituut Verbeeten Manager ICT Information Security Officer
Nadere informatieOPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw
OPERATIONEEL RISKMANAGEMENT Groningen, maart 2016 Wim Pauw Risicomanagement Risicomanagement is steeds meer een actueel thema voor financiële beleidsbepalers, maar zij worstelen vaak met de bijbehorende
Nadere informatieDatabeveiliging en Hosting Asperion
Databeveiliging en Hosting Asperion www.asperion.nl info@asperion.nl Het Asperion Datacenter Uw gegevens veilig en professioneel bewaard Administraties bevatten vertrouwelijke informatie en daar moet vanzelfsprekend
Nadere informatieCode of Conduct CSR certificering
Code of Conduct CSR certificering 1 Opzet van de training 1. Introductie 2. Context van het programma 3. 4. Certificatie traject 5. Vragen 2 Introductie Doel van de training Na afloop in staat zijn om:
Nadere informatiealgemene verordening gegevensbescherming (avg) & datalekken
algemene verordening gegevensbescherming (avg) & datalekken juridische dienstverlening en consultancy Visie en Maart 2018 AVG juridische dienstverlening en consultancy 1 Inleiding De verordening bescherming
Nadere informatieFactsheet COOKIE COMPLIANT Managed Services
Factsheet COOKIE COMPLIANT Managed Services COOKIE COMPLIANT Managed Services Mirabeau helpt u de cookiewetgeving op de juiste manier te implementeren. Zo geven we uw online omgeving een betrouwbare uitstraling
Nadere informatieCloud computing Helena Verhagen & Gert-Jan Kroese
Cloud computing Helena Verhagen & Gert-Jan Kroese Privacy Better business through better privacy Juridisch kader cloud computing Meldplicht datalekken Tips & Tricks Vragen? 2 Privacy https://www.youtube.com/watch?v=xyzthipktqg
Nadere informatieIT Beleid Bijlage R bij ABTN
IT Beleid Dit document heeft 8 pagina s Versiebeheer Versie Auteur Datum Revisie V1.0 Bestuur 18 december 2018 Nieuwe bijlage i Inhoudsopgave 1. Inleiding 1 2. Scope van het IT Beleid 1 3. IT risico s
Nadere informatieIntro ISO. Finance. Wie zijn wij? Producten. Programma
1 Intro 2 Wie zijn wij? Producten ISO Programma ICT Finance Producten 3 Visma/AccountView Vivaldi (Interim) (Financieel) Management Workshops & Trainingen De 4U way 4 Nadruk op training en kennisoverdracht.
Nadere informatieBeleid Informatiebeveiliging InfinitCare
Beleid Informatiebeveiliging InfinitCare Wijzigingshistorie Versie Wie Wanneer Wat 2019-V001 Han Laarhuis 2019-03-04 Aanpassen aan nieuwe ISMS 2019 V096 Han Laarhuis 2016-03-21 Toevoegen Wijzigingshistorie
Nadere informatieInformatiebeveiliging & Privacy - by Design
Informatiebeveiliging & Privacy - by Design Steven Debets Verdonck, Klooster & Associates Even voorstellen e steven.debets@vka.nl m 0651588927 Informatiebeveiliging Informatiebeveiliging houdt zich bezig
Nadere informatieInvloed van IT uitbesteding op bedrijfsvoering & IT aansluiting
xvii Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting Samenvatting IT uitbesteding doet er niet toe vanuit het perspectief aansluiting tussen bedrijfsvoering en IT Dit proefschrift is het
Nadere informatieNEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR
NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR Theo de Breed Standards and Regulations 1 Agenda AVG voorbereiding in 10 stappen (Bron: AP) Praktische invulling door gebruik van
Nadere informatieHuidig toezicht GETTING SOFTWARE RIGHT. Datum Amsterdam, 30 augustus 2016 Onderwerp Reactie SIG op Discussiedocument AFM-DNB. Geachte dames en heren,
Datum Amsterdam, 30 augustus 2016 Onderwerp Reactie SIG op Discussiedocument AFM-DNB Geachte dames en heren, Naar aanleiding van het gepubliceerde discussiedocument Meer ruimte voor innovatie in de financiële
Nadere informatieVERWERKERS- OVEREENKOMST <NAAM BEDRIJF>
VERWERKERS- OVEREENKOMST Bestaande uit: Deel 1. Data Pro Statement Deel 2. Standaardclausules voor verwerkingen Versie: April 2019 5. Beoogd gebruik Product/dienst A is ontworpen
Nadere informatieMeldplicht Datalekken: bent u er klaar voor?
Meldplicht Datalekken: bent u er klaar voor? Meldplicht Datalekken: bent u er klaar voor? AANLEIDING Per 1 januari 2016 is de Meldplicht Datalekken in werking getreden. Over deze meldplicht, welke is opgenomen
Nadere informatieMeldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma
Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen aangekondigd in de wetgeving met betrekking tot de privacy
Nadere informatieNIMA B EXAMEN BUSINESS MARKETING ONDERDEEL B JANUARI 2016 VRAGEN EN ANTWOORDINDICATIES NIMA B BUSINESS MARKETING ONDERDEEL 1 (CASE)
VRAGEN EN ANTWOORDINDICATIES NIMA B BUSINESS MARKETING ONDERDEEL 1 (CASE) 26 JANUARI 2016 1 Vragen bij de case WINTECH..GESTRAND IN HET ZICHT VAN DE HAVEN? (totaal 90 punten) Vraag 1 (20 punten) a. Bereken
Nadere informatiePrivacy Maturity Scan (PMS)
Privacy Maturity Scan (PMS) Versie 1.0 / Wijzigingsdatum 02-03-2018 Uw vraag Als organisatie wilt u minimaal voldoen aan de wet- en regelgeving en u wilt zich optimaal voorbereiden op de nieuwe Europese
Nadere informatieMVO volgens : een ISO26000 zelfverklaring
MVO volgens : een ISO26000 zelfverklaring 1 Waarom MVO? Moeten: Horen: Lonen: gedrag af MVO handelen wordt afgedwongen MVO handelen o.b.v. vrijwilligheid (morele motivatie) De markt beloont MVO en straft
Nadere informatieGemeente Alphen aan den Rijn
Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid
Nadere informatieInformatiebeveiliging als proces
Factsheet Informatiebeveiliging als proces Informatiebeveiliging onder controle krijgen en houden FORTIVISION Stadionstraat 1a 4815 NC Breda +31 (0) 88 160 1780 www.db-fortivision.nl info@db-fortivision.nl
Nadere informatieOlde Bijvank Advies Organisatieontwikkeling & Managementcontrol
SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden
Nadere informatieAanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker
Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA Arjan Dekker 25 mei 2005 Inhoudsopgave 1 Inleiding 2 2 Analysemethoden 2 2.1 Kwalitatieve risicoanalyse......................
Nadere informatieSecurity Health Check
Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security
Nadere informatieIT-audit in vogelvlucht. Jeanot de Boer 24 april 2012
IT-audit in vogelvlucht Jeanot de Boer 24 april 2012 Agenda Introductie Wat is IT-audit Hoe is IT-audit in Nederland geregeld? Het IT-audit proces Wat is de toegevoegde waarde van IT-audit Enkele praktijkvoorbeelden
Nadere informatieInspiratiedag. Workshop 1: Risicogestuurde interne controle. 15 september 2016
Inspiratiedag Workshop 1: Risicogestuurde interne controle 15 september 2016 Programma Inleiding Risicomanagement Interne beheersing Relatie met de externe accountant Van interne controle naar beheersing
Nadere informatieAlgemene informatie ISO 9001
Certificeren zoals het hoort! Algemene informatie ISO 9001 Algemene informatie ISO 9001 086 versie 01.2 26-04-2019 Inleiding In deze algemene informatie leggen we u uit wat de ISO 9001 norm inhoudt en
Nadere informatieUtrecht Business School
Cursus Controlling & Accounting De cursus Controlling & Accounting duurt ongeveer 2 maanden en omvat 5 colleges van 3 uur. U volgt de cursus met ongeveer 10-15 studenten op een van onze opleidingslocaties
Nadere informatieIn regel met GDPR. Daarbij zijn 3 pijlers van belang zodat u, nu en in de toekomst, in lijn bent met de nieuwste wet- en regelgeving.
In regel met GDPR Op 25 mei 2018 moeten bedrijven voldoen aan de voorschriften van de nieuwe Europese Algemene Verordening Gegevensbescherming, de General Data Protection Regulation ( GDPR ). Veiligheid
Nadere informatieUitkomsten onderzoek Controle en Vertrouwen. 7 mei 2012
Uitkomsten onderzoek Controle en Vertrouwen 7 mei 2012 Voorwoord Onderwerp: resultaten onderzoek Controle en Vertrouwen Geachte heer, mevrouw, Hartelijk dank voor uw medewerking aan het onderzoek naar
Nadere informatieCloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017
Cloud dienstverlening en Informatiebeveiliging ISACA Round Table Assen - Maart 2017 Even voorstellen 2 Irmin Houwerzijl. Werkzaam bij Ordina. Ordina haar dienstverlening betreft o.a. traditionele hosting
Nadere informatiePrivacyverklaring en Kennisgeving
Privacyverklaring en Kennisgeving Invest Consult B.V. INLEIDING Voor de toepassing van de wetgeving inzake gegevensbescherming treden wij op als verwerkingsverantwoordelijke voor bepaalde Persoonsgegevens
Nadere informatieISO9001:2015, in vogelvlucht. Door Tjarko Vrugt
ISO9001:2015, in vogelvlucht Door Tjarko Vrugt 18-11-2015 - Qemc - Tjarko Vrugt Bron: NEN - Delft 2 DE NIEUWE NEN EN ISO 9001 : 2015 Deze presentatie beperkt zich tot de essentie Sktb besteed in 2016
Nadere informatieVan Samenhang naar Verbinding
Van Samenhang naar Verbinding Sogeti Page 2 VAN SAMENHANG NAAR VERBINDING Keuzes, keuzes, keuzes. Wie wordt niet horendol van alle technologische ontwikkelingen. Degene die het hoofd koel houdt is de winnaar.
Nadere informatieReadiness Assessment ISMS
Readiness Assessment van ISMS ISO/IEC27001:2005 1 Senior Internal/IT auditor Luyke Tjebbes EMIA RO CISA Lead Auditor ISO/IEC27001:2005 Projectleider ISO assessment 2 Wat is ISO 27001 eigenlijk? ISO/IEC
Nadere informatieEnergiemanagementsysteem. Van de Kreeke Beheer BV en Habets-van de Kreeke Holding BV
Van de Kreeke Beheer BV en Habets-van de Kreeke Holding BV Nuth,20augustus 2015 Auteur(s): Tom Kitzen Theo Beckers Geaccordeerd door: Serge Vreuls Financieel Directeur C O L O F O N Het format voor dit
Nadere informatie