Daniel van Burk & Wouter Beens Maart 2009

Transcriptie

1 VRIJE UNIVERSITEIT AMSTERDAM Voldoen of voldaan? Succesvolle invoering van PCI DSS Daniel van Burk & Wouter Beens Maart 2009 Groep 917 Scriptie in het kader van de postdoctorale opleiding IT Auditing. VU Coach: Robin Knip RE CISA Bedrijfscoach: Johan Sturm RE

2 Voorwoord Dit onderzoeksverslag over de invoering van de Payment Card Industry Data Security Standard (PCI DSS) is geschreven in het kader van het onderzoek ter afsluiting van de driejarige postdoctorale IT Audit opleiding aan de Vrije Universiteit te Amsterdam. Dit verslag is primair bedoeld voor de directe afstudeerbegeleiders en beoordelaars. Daarnaast is het verslag raadpleegbaar voor andere studenten van de IT Audit opleiding aan de Vrije Universiteit te Amsterdam. De keuze voor het onderwerp is gebaseerd op onze interesse in (IT) compliance gecombineerd met het feit dat wij beiden vanuit Atos Consulting een project hebben uitgevoerd binnen een payment service provider, waarbij PCI DSS een belangrijk onderdeel vormde. In dit onderzoek hebben wij een analyse gemaakt van inzichten uit de theorie en die geconfronteerd met inzichten uit praktijkinterviews. Dit heeft voor ons tot interessante nieuwe inzichten geleid. Wij willen een aantal mensen bedanken. Ten eerste onze scriptiebegeleiders, de heer Robin Knip namens de Vrije Universiteit en de heer Johan Sturm vanuit Atos Consulting. We waarderen hun inspanningen om ons dicht bij de centrale vraagstelling te houden. Daarnaast zijn de geïnterviewden voor deze scriptie van grote waarde geweest. Zonder het kijkje in de keuken dat zij ons hebben gegeven had deze scriptie niet in deze vorm tot stand kunnen komen. Daniel van Burk & Wouter Beens Amsterdam, maart 2009 Pagina 2 van 43

3 Samenvatting In een wereld waarin credit card gegevens steeds vaker worden opgeslagen en getransporteerd in omgevingen die aan Internet zijn gekoppeld (o.a. als gevolg van e commerce) is het risico waaraan de credit card maatschappijen zijn blootgesteld de laatste jaren flink toegenomen. Om hieraan het hoofd te bieden hebben de grote credit card maatschappijen gezamenlijk de Payment Card Industry Data Security Standard (PCI DSS) uitgevaardigd. Doelstelling van deze scriptie is om vanuit het perspectief van de organisaties die PCI DSS moeten invoeren (de auditees) inzicht te verschaffen in de strategische keuzes die zij kunnen maken voor een succesvolle invoering van PCI DSS. In de scriptie hebben wij de volgende centrale vraagstelling onderzocht: Welke strategieën voor succesvolle invoering van PCI DSS zijn te onderscheiden? Aan de hand van de criteria die zijn geformuleerd voor succesvolle invoering van PCI DSS hebben we onderzocht welke keuzes en overwegingen relevant zijn. Waar mogelijk hebben we aangegeven welke alternatieven de voorkeur genieten. Deze analyse hebben we gedaan aan de hand van de fasen die worden doorlopen bij de invoering. We hebben deze fasen gekozen omdat deze de stappen weergeven die nodig zijn om te komen tot het aantoonbaar voldoen aan de eisen uit PCI DSS: van het identificeren van de eisen waaraan de organisatie moet voldoen tot aan het afleggen van verantwoording over de mate waarin men voldoet aan die eisen. Deze analyse heeft tot een tweetal mogelijke strategieën voor de invoering geleid, die zijn gekoppeld aan een tweetal voor PCI DSS relevante typen organisaties (de zogeheten merchant levels): Level 1 strategie Geïntegreerde invoering van PCI DSS gericht op toegevoegde waarde Actief monitoren van ontwikkelingen (wil zo vroeg mogelijk op de hoogte zijn voor strategische afstemming) Voldoen aan de standaard Veel aandacht voor alignment met andere initiatieven en strategie Invloed proberen uit te oefenen op de deadline Intern opbouwen van kennis, wel inschakelen QSA Vertalen van eisen vanuit een risicoanalyse Gaps bepalen a.d.h.v. een pre audit Geïntegreerde impact analyse uitvoeren Scope beperking toepassen Risk based prioriteitstelling Standaardisering van systemen en processen Geïntegreerde projectopzet Afstemming tijdens implementatie Bewijs verzamelen centraal monitoren, in de uitvoering vastleggen Level 4 strategie Stand alone invoering van PCI DSS gericht op certificering Niet actief monitoren van ontwikkelingen (wordt door de acquirer op de hoogte gesteld) Voldoen aan de standaard Geen alignment nodig Invloed proberen uit te oefenen op de deadline Extern inhuren van kennis Vertalen van eisen vanuit de baseline Gaps bepalen a.d.h.v. een quick scan Stand alone impact analyse uitvoeren Scope beperkingen toepassen Control based prioriteitstelling Geen standaardisering van systemen en processen Stand alone projectopzet Afstemming tijdens implementatie Bewijs verzamelen en monitoren in één functie Pagina 3 van 43

4 Level 1 strategie Geïntegreerde invoering van PCI DSS gericht op toegevoegde waarde Actief naar buiten brengen van de certificering Security breaches rapporteren Level 4 strategie Stand alone invoering van PCI DSS gericht op certificering Niet actief naar buiten brengen van de certificering Security breaches rapporteren In de praktijk zal het aantal mogelijke strategieën niet tot deze twee beperkt zijn, maar zal door combinaties van gekozen alternatieven een grotere diversiteit aan strategieën mogelijk zijn. Het is aan de organisaties die aan PCI DSS moeten voldoen om zelf een strategie te formuleren door het maken van keuzes in de diverse fasen van de invoering. Daarbij is het mogelijk om één van de twee door ons geformuleerde strategieën als vertrekpunt te nemen. Pagina 4 van 43

5 Inhoudsopgave Voorwoord... 2 Samenvatting... 3 Inhoudsopgave... 5 Inleiding... 6 Relevantie en doelstelling... 6 Centrale vraagstelling... 6 Deelvragen... 7 Onderzoeksopzet Payment Card Industry Data Security Standard Ontstaan van PCI DSS Het doel van PCI DSS De kenmerken van PCI DSS Belanghebbenden Keuzes en overwegingen tijdens de fasen van de invoering Kennisname van de (wijzigingen op) de standaard Strategische besluitvorming Interpretatie van de eisen Gap en impact analyse Planvorming Implementatie en inbedding Certificering en rapportage Vaststellen van het succes van de invoering Conclusies en aanbevelingen Beperkingen en aanbevelingen tot nader onderzoek Literatuuroverzicht Bijlage 1 Compliance eisen Bijlage 2 Non compliance op PCI DSS eisen Bijlage 3 Report on Compliance eisen Bijlage 4 Kosten van PCI DSS Bijlage 5 Relatie tot andere bestaande wet en regelgeving en standaarden Pagina 5 van 43

6 Inleiding Credit card maatschappijen lopen risico in geval van misbruik van credit card gegevens aangezien zij eventuele schade, die klanten (kaarthouders) lijden als gevolg van misbruik, moeten vergoeden. In een wereld waarin credit card gegevens steeds vaker worden opgeslagen en getransporteerd in omgevingen die aan Internet zijn gekoppeld (o.a. als gevolg van e commerce) is het risico waaraan de credit card maatschappijen zijn blootgesteld de laatste jaren flink toegenomen. Om hieraan het hoofd te bieden hebben een aantal credit card maatschappijen de krachten gebundeld in het Payment Card Industry Security Standards Council (vanaf hier PCI SSC). In 2005 is door MasterCard en VISA de Payment Card Industry Data Security Standard uitgevaardigd. Relevantie en doelstelling De laatste jaren is er steeds meer aandacht voor het implementeren van beheersmaatregelen op basis van een risico inventarisatie. Daarnaast komen er meer eisen vanuit externe wet en regelgeving en sector specifieke reguleringen. Binnen organisaties worden pogingen ondernomen om op efficiënte wijze om te gaan met implementatie en evaluatie van beheersmaatregelen evenals de verantwoording over de werking van de beheersmaatregelen naar externe partijen. Doelstelling van deze scriptie is om vanuit het perspectief van de organisaties die PCI DSS moeten invoeren (de auditees) inzicht te verschaffen in de strategische keuzes die zij kunnen maken voor een succesvolle invoering van PCI DSS. Centrale vraagstelling In de scriptie zullen wij de volgende centrale vraagstelling onderzoeken: Welke strategieën voor succesvolle invoering van PCI DSS zijn te onderscheiden? Onder invoeringsstrategieën verstaan wij het geheel aan keuzes en overwegingen die voor organisaties richtingbepalend zijn voor de vraag of en vooral hoe de invoering van PCI DSS plaatsvindt binnen de organisatie. Onder invoering wordt verstaan de cyclus die wordt doorlopen vanaf het identificeren van de eisen waaraan de organisatie moet voldoen tot aan het afleggen van verantwoording over de mate waarin men voldoet aan die eisen. In het kader van deze scriptie zal niet worden ingegaan op de technische aspecten van implementatie van maatregelen. Voor de beantwoording van de vraagstelling hebben wij een aantal criteria gedefinieerd dat gehanteerd wordt voor de mate van succes van de invoering: Op basis van de genomen acties is er geen reden voor een boete vanuit de credit card maatschappij(en); In geval van fraude is er op basis van de genomen acties geen reden voor een verschuiving van de aansprakelijkheid van de credit card maatschappij(en) naar de merchant/service provider; De invoering leidt tot een certificering door een QSA danwel een Report on Compliance (afhankelijk van het level van de organisatie) naar de credit card maatschappij(en); De beveiliging met betrekking tot opslag en transport van kaarthoudergegevens wordt verhoogd tot het door de organisatie gewenste niveau (als dit voor de invoering van PCI DSS nog niet het geval was); De mate waarin de invoering recht doet aan de organisatiestrategie (in het algemeen en meer in het bijzonder ten aanzien van de gekozen compliance strategie). Pagina 6 van 43

7 Onder succesvol wordt niet verstaan dat er nooit meer een security breach met betrekking tot kaarthoudergegevens zal optreden. Deelvragen Om deze vraagstelling meer efficiënt en sturend te maken is uit de centrale vraagstelling een aantal deelvragen afgeleid. De deelvragen zijn tevens richtinggevend voor de beantwoording van de centrale vraagstelling: De Payment Card Industry Data Security Standard (PCI DSS) Wat is PCI DSS (ontstaan, doel, kenmerken)? Wat is de impact van PCI DSS (op marktomgeving, belanghebbenden)? Wat is de mogelijke overlap van PCI DSS met andere wet & regelgeving en standaarden? Wat zijn de audit aspecten PCI DSS (objecten, scope, bewijslast, uitvoering en certificering)? Keuzes en overwegingen bij invoering en aanpak wet & regelgeving en standaarden Uit welke fasen bestaat het invoeringstraject van wet & regelgeving en standaarden? Welke keuzes moeten of kunnen tijdens deze fasen worden gemaakt? Welke overwegingen spelen een rol bij het maken van de keuzes? Op welke wijze is vast te stellen of de gemaakte keuzes een bijdrage hebben geleverd aan de succesvolle invoering van PCI DSS? PCI DSS in de praktijk Hoe gaan bedrijven in de huidige praktijk om met invoering van PCI DSS? Onderzoeksopzet In onderstaande figuur is de opzet van het onderzoek schematisch weergegeven. Onderzoekstraject Ontwerpen Ontwerpen onderzoeks onderzoeks traject traject Koppeling Koppeling maken maken theorie theorie en en praktijk praktijk Concept Concept strategieën strategieën Verzamelen Verzamelen praktijkgegevengegevens praktijk Analyse Analyse praktijkgegevens praktijkgegevens Verzamelen Verzamelen onderzoeksmateriaamateriaal onderzoeks Analyse Analyse onderzoeksmateriaal onderzoeksmateriaal Eindrapportagrapportage Eind (scriptie) (scriptie) opleveren opleveren Figuur 1 Onderzoeksopzet Schrijftraject Het onderzoek vond plaats in de periode september 2008 tot maart Voor de beantwoording van de deelvragen en de uiteindelijke centrale vraagstelling is gebruik gemaakt van literatuuronderzoek en interviews met ervaringsdeskundigen. Op basis van de uitkomsten van het onderzoek en de inzichten die daaruit naar voren kwamen hebben wij ervoor gekozen de deelvragen en het onderzoeksmodel ten aanzien van het originele onderzoeksvoorstel op onderdelen aan te passen. Dit heeft te maken met een aantal originele deelvragen die in de uiteindelijke beantwoording van de centrale vraagstelling niet meer hun oorspronkelijk veronderstelde relevantie hadden. Pagina 7 van 43

8 In onderstaande figuur staat op hoofdlijnen het inhoudelijke onderzoeksmodel weergegeven. PCI DSS PCI DSS achtergrond achtergrond Invoering Invoering van van externe externe standaarden standaarden Beheersing Beheersing regelgeving regelgeving Bestaande Bestaande theorie theorie Praktijk Praktijk invoering invoering PCI DSS PCI DSS Strategieën Strategieën voor voor succesvolle succesvolle invoering invoering PCI DSS PCI DSS Figuur 2 Onderzoeksmodel scriptie Voor de analyse van mogelijke strategieën hebben we 3 mogelijke invalshoeken overwogen: 1. Redenerend vanuit compliance strategieën; 2. Redenerend vanuit de fasen van de invoering; 3. Redenerend vanuit de maatregelen die nodig zijn om te voldoen aan PCI DSS. Invalshoek 1 bleek meer van toepassing op de wijze waarop een organisatie omgaat met het geheel aan eisen vanuit regelgeving en heeft daardoor een te hoog abstractieniveau om specifiek voor de invoering van PCI DSS de centrale vraagstelling te beantwoorden. Invalshoek 3 heeft juist weer een te laag abstractieniveau om keuzes en overwegingen te koppelen aan de gestelde criteria voor succesvolle invoering. Invalshoek 2 biedt de mogelijkheid om de keuzes en overwegingen voor de gehele invoeringscyclus voor een standaard specifiek te kunnen koppelen aan PCI DSS, gekoppeld aan alle criteria voor succesvolle invoering van PCI DSS. Literatuur Voor de achtergrond en kenmerken van PCI DSS, invoering van standaarden en beheersing van regelgeving is naast de standaard zelf ook gekeken naar literatuur en artikelen uit de media. De literatuur is verkregen via een literatuuronderzoek, waar onder andere gezocht is in: Wetenschappelijke literatuur; Artikelen in wetenschappelijke tijdschriften; Artikelen in vakbladen; Nieuwsberichten. Veel informatie m.b.t. de achtergrond van PCI DSS, standaarden en regelgeving was te vinden via internet (nieuwsberichten, opinieartikelen, officiële informatie over PCI DSS en studies van het IT Compliance Institute, ISACA en Forrester). ScienceDirect en de catalogus van de VU (Picarta) leverden artikelen over PCI DSS in vakbladen op. Beheersing van regelgeving was vooral terug te vinden in artikelen in wetenschappelijke tijdschriften en enkele (wetenschappelijke) boeken. Interviews Informatie over de implementatie van PCI DSS in de praktijk is verkregen door een zevental kwalitatieve interviews bij organisaties (payment service providers, issuing / acquiring banks & merchants) die de PCI DSS richtlijnen aan het invoeren zijn of deze al hebben ingevoerd. In de interviews behandelen we een vast aantal onderwerpen rondom de invoering van PCI DSS: besluitvorming & overwegingen, moment & factoren bij invoering, beïnvloeding, gerelateerde standaarden/regelgeving, omgaan met wijzigingen en auditaspecten van PCI DSS. Pagina 8 van 43

9 De respondenten zijn allen actief op de Nederlandse markt. Onder de respondenten zijn twee grote merchants, twee payment service providers, en twee banken. Daarnaast is met één van de respondenten (lid van PCI SSC) ook een aantal vragen rondom het PCI SSC doorgenomen en hebben we met een toezichthouder op het betalingsverkeer (De Nederlandsche Bank) gesproken. Opbouw van de scriptie Na deze inleiding zal in hoofdstuk 1 PCI DSS worden toegelicht om de nodige context te geven als basis voor de verdere analyse van de invoeringsfasen. In hoofdstuk 2 zullen we per fase van de invoering de keuzes en overwegingen analyseren die kunnen bijdragen aan de succesvolle invoering. Bij deze analyse zullen we inzichten uit theorie en praktijk meenemen en waar relevant met elkaar confronteren. Na de bespreking van de fasen proberen we in hoofdstuk 3 vast te stellen welke strategieen kunnen leiden tot een succesvolle invoering. We ronden af met conclusies en aanbevelingen op basis van de analyse uit de eerdere hoofdstukken. Pagina 9 van 43

10 1. Payment Card Industry Data Security Standard In dit hoofdstuk zal nader worden ingegaan op het ontstaan, doel, kenmerken en belanghebbenden van PCI DSS. Ten eerste om daarmee het onderwerp van de nodige context te voorzien. Daarnaast dient de informatie in dit hoofdstuk als basis voor de analyse die in het volgende hoofdstuk wordt gemaakt Ontstaan van PCI DSS De aanleiding voor het ontstaan van PCI DSS is een aantal security breaches in de afgelopen jaren bij organisaties in Amerika, waarbij door diverse betrokken partijen aanzienlijke schade is geleden. Daarbij zijn op grote schaal credit card gegevens ontvreemd, waarmee vervolgens fraude is gepleegd. De omvang van fraude met credit cards is zeer aanzienlijk 1 en de trend lijkt dat vooral fraude met op illegale en digitale wijze verkregen credit card gegevens blijft stijgen. Het Amerikaanse congres heeft naar aanleiding van de fraudes gedreigd met ingrijpen d.m.v. het uitvaardigen van wetgeving. De credit card maatschappijen en de payments branche hebben, om dit te voorkomen, besloten om te komen tot een gezamenlijke standaard voor informatiebeveiliging van credit card gegevens (Messmer, 2007; Meadowcroft, 2008; Messmer, 2009; Hines, 2008: 47). PCI DSS is in 2005 ontstaan vanuit de afzonderlijke credit card security programma s van de Master Card en VISA. In 2006 is het PCI Security Standards Council (PCI SSC) opgericht door een vijftal grote credit card maatschappijen (American Express, Discover Financial Services, JCB, MasterCard Worldwide en Visa International). De verantwoordelijkheid voor PCI DSS is in 2006 ook overgegaan naar het PCI SSC, in dat jaar is ook de herziene versie uitgekomen. Inmiddels is in oktober 2008 de derde versie (1.2) gepubliceerd (Drew & Nair, 2008; Schwartz, 2007:7; Sussman, 2008:3). Ondanks de gezamenlijke standaard voor informatiebeveiliging hebben de afzonderlijke maatschappijen nog wel elk hun eigen compliance programma (Bednarz, 2006; Morse & Raval, 2008). In Nederland wordt relatief weinig (t.o.v. VS) met credit cards betaald. Wel is het zo dat ook Nederlandse merchants in toenemende mate te maken krijgen met fraude, waarvoor zij zelf verantwoordelijk worden gesteld indien ze onvoldoende maatregelen hebben getroffen (Werf, 2009). Ook werd vorig jaar in het programma Zembla aandacht besteed aan Nederlandse credit card gegevens die te koop waren in Rusland (Van Kemenade, 2008) Het doel van PCI DSS Het grootste risico voor credit card gegevens is de constant veranderende wijze van uitbuiten van zowel de technische als administratieve kwetsbaarheden in informatiesystemen die credit card gegevens opslaan, verwerken en transporteren. PCI DSS adresseert die kwetsbaarheden, in het bijzonder degenen die invloed hebben op de vertrouwelijke kaarthoudergegevens, en definieert een aantal minimale maatregelen die organisaties moeten nemen om de risico s voortvloeiend uit de kwetsbaarheden in de beveiliging te minimaliseren (ITCI, 2007). Het doel van de standaard is dan ook om huidige en toekomstige beveiligingsrisico s die in de payment industrie ontstaan te mitigeren en daarbij tevens een breed gedragen toepassing van informatiebeveiliging op betaalsystemen te faciliteren (Schwartz, 2007:7). 1 Uit een onderzoek van Symantec blijkt dat er wereldwijd jaarlijks honderden miljoenen omgaan in de handel in gestolen credit card gegevens, waarbij de waarde op de kaarten in de miljarden loopt (Andriessen, 2008; Ringelestijn, 2008; Van Dijk, 2008). Pagina 10 van 43

11 1.3. De kenmerken van PCI DSS Compliance met PCI DSS is een verplichting die voortvloeit uit het werken met één van de payment schemes van de bij het PCI SSC aangesloten credit card maatschappijen en wordt afgedwongen via contractuele bepalingen tussen merchants, acquirers, service providers en credit card maatschappijen (Morse & Raval, 2008). De verschillende credit card maatschappijen vereisen allen PCI DSS compliance, maar het aantonen van naleving en eventuele consequenties van non compliance verschillen per credit card maatschappij. Dit zorgt voor onduidelijkheden (Morse & Raval, 2008:551, Bednarz, 2006). PCI DSS is een rule based standaard met strikte eisen en beperkte ruimte voor interpretatie van de partij die de standaard toepast. Dit in tegenstelling tot bijvoorbeeld een standaard als ISO (Code voor Informatiebeveiliging) die meer is gericht op doelstellingen ( principle based ). PCI DSS is neergezet als een baseline voor security, wat inhoudt dat het de organisatie niet ontslaat van de verantwoordelijkheid om een eigen security beleid te voeren gebaseerd op risico management. In PCI DSS zijn onder andere baselines voor beleid, procedures en technische eisen voor systeemcomponenten (o.a. applicaties, servers en netwerken) opgenomen. PCI DSS is van toepassing als er een PAN (Primary Account Number) wordt opgeslagen, verwerkt of getransporteerd 2. De eisen zijn van toepassing op alle systeemcomponenten die tot de omgeving met de kaarthoudergegevens behoren of die hierop zijn aangesloten en richten zich voornamelijk op het kwaliteitsaspect vertrouwelijkheid (PCI SSC, 2008; Schwartz, 2007:7). De beveiliging van de kaarthouder gegevens is onderverdeeld in zes domeinen en twaalf high level eisen. De twaalf eisen zijn weer onderverdeeld in detail vereisten. De tabel hieronder geeft een overzicht: Domein Vereiste Een veilig netwerk opbouwen en 1e vereiste: een firewallconfiguratie installeren en onderhouden om onderhouden kaarthoudergegevens te beschermen 2e vereiste: geen fabrieksstandaarden voor systeemwachtwoorden en andere beveiligingsparameters gebruiken Kaarthoudergegevens beschermen 4e vereiste: de overdracht van kaarthoudergegevens via openbare netwerken 3e vereiste: opgeslagen kaarthoudergegevens beschermen coderen Een kwetsbaarheidsbeheerprogramma onderhouden 6e vereiste: veilige systemen en toepassingen ontwikkelen en onderhouden 5e vereiste: antivirussoftware gebruiken en regelmatig bijwerken Krachtige maatregelen voor 7e vereiste: de toegang tot kaarthoudergegevens beperken op basis van zakelijke toegangscontrole implementeren 8e vereiste: een unieke ID toewijzen aan iedere persoon met computertoegang need to know 9e vereiste: de fysieke toegang tot Kaarthoudergegevens beperken Netwerken regelmatig controleren en testen den en bewaken 10e vereiste: alle toegang tot netwerkbronnen en kaarthoudergegevens bijhou 11e vereiste: beveiligingssystemen en processen regelmatig testen Een informatiebeveiligingsbeleid 12e vereiste: een beleid handhaven dat op informatiebeveiliging is gericht handhaven Tabel 1 PCI DSS domeinen en eisen (PCI SSC, 2008) 2 De zogenaamde gevoelige verificatiegegevens zoals de volledige magneetstrip, PIN en CVC2/CVVV2/CID mogen onder geen voorwaarde worden opgeslagen. Pagina 11 van 43

12 1.4. Belanghebbenden Ten aanzien van PCI DSS is er een aantal belanghebbenden met ieder hun eigen rol. In onderstaande tabel staan ze weergegeven: Belanghebbende Rol Credit card maatschappijen Gezamenlijk besturen van het PCI SSC Penetratie van PCI DSS stimuleren richting acquiring 3 en issuing 4 banken die hun card schemes voeren Stellen merchants direct verantwoordelijk voor het naleven van PCI DSS (American Express & Discover) Stellen de acquirers verantwoordelijk voor het toezien dat op hun systemen aangesloten merchants PCI DSS compliant zijn (Visa en MasterCard) PCI Security Standards Namens de credit card maatschappijen: Council (PCI SSC) Beheren van de PCI standaards 5 Accreditatie van QSA s en ASV s Acquiring & Issuing banken PCI DSS compliant zijn Erop toezien dat aangesloten merchants, waarvoor zij acquiring activiteiten uitvoeren, dit ook zijn Maken gebruik van service providers (bijvoorbeeld netwerkleveranciers en processors) die de technische afhandeling van de transacties verzorgen Service Providers PCI DSS compliant zijn Merchants PCI DSS compliant zijn Quailified Security Assessors (QSA s) Adviseren de banken, processors en merchants bij inrichting van de eisen van PCI DSS Voeren de audits uit Bieden resultaten van de audits ter goedkeuring aan de credit card maatschappijen van het specifieke scheme aan, zodat de PCI DSS certificering kan worden afgegeven Approved Scanning Vendors (ASV s) Voeren minimaal ieder kwartaal intrusion en vulnerability scans uit op netwerken en applicaties van partijen die aan PCI DSS moeten voldoen Tabel 2 Belanghebbenden van PCI DSS In Nederland is een belangrijke partij in het toezicht (oversight) op het betalingsverkeer De Nederlandsche Bank. Vanuit die rol volgen zij de ontwikkelingen op het gebied van PCI DSS, maar hebben daar geen directe relatie mee. Wel kunnen zij besluiten om voor specifieke onderdelen te steunen op een PCI DSS certificering van een organisatie. 3 Acquiring: het accepteren en verwerken van credit card transacties voor het card scheme waar de merchant is aangesloten door een bank of processor. 4 Issuing: het verwerken van aanvragen en uitgeven van credit cards aan kaarthouders 5 Naast PCI DSS zijn er nog een aantal andere standaarden zoals de PA DSS voor payment applicaties en de PCI PED voor PIN Entry Devices Pagina 12 van 43

13 2. Keuzes en overwegingen tijdens de fasen van de invoering In het vorige hoofdstuk is ingegaan op de kenmerken van PCI DSS zelf. In dit hoofdstuk gaan we nader in op de keuzes en overwegingen die relevant zijn voor de succesvolle invoering van PCI DSS. Deze analyse doen we aan de hand van de fasen die worden doorlopen bij de invoering, waarbij we bondig bij elke fase aangeven welke invloed de uitvoering van de fase kan hebben op een succesvolle invoering. We hebben deze fasen gekozen omdat deze de stappen weergeven die nodig zijn om te komen tot het aantoonbaar voldoen aan de eisen uit PCI DSS: van het identificeren van de eisen waaraan de organisatie moet voldoen tot aan het afleggen van verantwoording over de mate waarin men voldoet aan die eisen. Per fase behandelen we enkel voor het succes van de invoering relevante keuzes en overwegingen. De keuzes per fase zijn voortgekomen uit de inzichten uit theorie, praktijk en eigen analyse, gerelateerd aan de criteria voor succesvolle invoering (zie Inleiding). Daarnaast is vanuit de criteria voor succesvolle invoering een check gedaan op eventuele ontbrekende keuzes. De fasen die we voor de invoering onderscheiden zijn de volgende: Kennisname Kennisname van van de de standaard standaard Strategische Strategische besluitvorming besluitvorming Interpretatie Interpretatie van van de de eisen eisen Gap Gap en en impact impact analyse analyse Planvorming Planvorming Implementatie Implementatie en en inbedding inbedding Bevindingen Certificering Certificering en en rapportage rapportage Figuur 3 Fasen tijdens de invoering Wijzigingen op de standaard 2.1. Kennisname van de (wijzigingen op) de standaard Het compliant worden aan eisen vanuit wet & regelgeving en standaarden start met de kennis van het bestaan van de eisen (en wijzigingen daarvan) en indien van toepassing de verplichting om eraan te voldoen. Van PCI DSS zijn sinds de introductie in 2005 twee nieuwe versies geïntroduceerd en daarbij zijn diverse ondersteunende documenten gepubliceerd. In deze fase analyseren we de mechanismen die organisaties aan kunnen wenden om op de hoogte te raken van nieuwe eisen en wijzigingen van bestaande. De snelheid waarmee men kennis neemt van de eisen bepaalt de tijd en ruimte die een organisatie heeft om te kiezen voor een invoering die is afgestemd op de organisatiestrategie. Het stelt de organisatie in staat om tijdig aan PCI DSS te voldoen en voorkomt daarmee boetes voor non compliance en aansprakelijkheid (bij fraude) in geval van non compliance. Tijdens deze fase komt het management van de organisatie voor de volgende keuze te staan: Wel of niet actief monitoren van ontwikkelingen (ten aanzien van PCI DSS); Pagina 13 van 43

14 Wel of niet actief monitoren van ontwikkelingen Het actief monitoren van ontwikkelingen is bepalend voor de snelheid waarmee men op de hoogte raakt van nieuwe eisen en wijzigingen daarop. Bij niet actief monitoren geeft de organisatie het initiatief bij het op de hoogte raken uit handen. Het opmerken van nieuwe ontwikkelingen ten aanzien van wet & regelgeving en standaarden kan op een aantal verschillende wijzen (Van Zoest, 2007: 52): Via de organisatie die de standaard uitvaardigt; Via brancheverenigingen; Via publicaties in media; Via kennisevenementen (congressen, seminars, etc.); Via informele contacten. Een overweging bij actieve monitoring is de plaats in de organisatie waar dit belegd is. Onze ervaring is dat onderstaande afdelingen een optie zijn: Bij de juridische afdeling; Bij risk management, compliance & security afdelingen; Bij de lijnorganisatie die uiteindelijk verantwoordelijk is voor naleving van eisen. Bij de respondenten zijn we alle drie de genoemde varianten tegengekomen. Ten aanzien van PCI DSS kan worden aangehaakt op activiteiten die al plaatsvinden voor het bijhouden van de protocollen van de card schemes (dit geldt met name voor service providers). In de praktijk zien we een grote variatie in de wijze waarop en de snelheid waarmee organisaties op de hoogte zijn gebracht (zie ook paragraaf 1.4 Belanghebbenden): Enkele partijen waren al op de hoogte voordat zij formeel in kennis werden gesteld, door actieve monitoring of kennisuitwisseling met andere organisaties. Anderen wisten het vanaf de formele kennisgeving; Waar de één rond 2005 al op de hoogte was gesteld was een ander rond die tijd enkel informeel op de hoogte en werd pas rond 2007 officieel geïnformeerd. Alle respondenten geven aan dat zij de eisen uit nieuwe versies van de standaard willen implementeren zodra deze bekend zijn. Het is opvallend dat voor een aantal respondenten geldt dat zij min of meer per toeval geconfronteerd zijn met de laatste nieuwe versie (1.2) van PCI DSS. Organisaties die het eerste op de hoogte waren van de standaard hebben meer tijd gehad en gebruikt voor de invoering. Wij zijn van mening dat een mechanisme voor actieve monitoring op veranderende eisen uit wet & regelgeving en standaarden de mogelijkheid vergroot op een tijdige certificering en daarmee de kans op boetes en aansprakelijkstelling verkleint Strategische besluitvorming Door strategische besluitvorming wordt richting gegeven aan de manier waarop de organisatie invulling geeft aan de invoering van PCI DSS. PCI DSS legt eisen op aan de organisatie (met mogelijk aanzienlijke consequenties) en men zal aan alle eisen moeten voldoen om te kunnen certificeren. De organisatie zal afwegingen moeten maken die uitwijzen of en hoe de invoering van PCI DSS zodanig kan worden vormgegeven dat de wijze van invoering aansluit op de organisatiestrategie. Het management stelt kaders voor verdere invoering en zorgt voor afstemming met reeds gemaakte keuzes t.a.v. technologie, compliance en informatiebeveiliging. Tevens wordt in deze fase helder wat de ambitie is ten aanzien van de invoering en in welke mate de organisatie zich aan de invoering committeert. We gaan eerst in op een tweetal invalshoeken voor de positionering van de organisatie ten opzichte van de standaard. Die positionering vormt een vertrekpunt voor de te maken keuzes in deze fase. Pagina 14 van 43

15 Positionering ten opzichte van de standaard Van belang voor de positionering van de organisatie ten opzichte van PCI DSS zijn enerzijds de verwachte voordelen van de invoering van de standaard en anderzijds de gevolgen van non compliance. Het verwachte voordeel voor de organisatie is een afweging van een aantal mogelijke voor en nadelen, waarvan onderstaand een aantal voorbeelden is gegeven: Voordelen Toename beveiligingsniveau Vertrouwen in de organisatie Concurrentiepositie ( first mover advantage, toenemende klantvraag, license to operate ) Lagere verwerkingskosten voor transacties van acquirers en merchants die PCI DSS compliant zijn 6 ; Afname fraude Aansluiting op technologische vernieuwing Tabel 3 Voor & nadelen van invoering Nadelen Audit burden Eisen kunnen leiden tot andere inrichting van systemen dan gewenst cq. tot hoge kosten (upgrade van infrastructuur, assessment kosten en onderhouden van compliance) Systeemaanpassingen die de normale operatie kunnen verstoren Kosten van het invoeringsproject Kosten van onderhoud van de certificering Bij PCI DSS zijn er in het geval van non compliance verschillende mogelijke gevolgen: Boetes in het geval van security incidenten vanuit de credit card maatschappijen 7 aan de acquirers; Boetes (maandelijks oplopend) vanuit de credit card maatschappijen naar acquiring banken voor non compliant merchants (die dit op hun beurt weer doorberekenen naar de merchants); Boetes (maandelijks) voor het opslaan van verboden credit card gegevens door de credit card maatschappijen (Messmer, 2007: 2); Aansprakelijkstelling van merchants en acquirers voor de directe schade (zoals het vervangen van credit cards, schadeloos stellen van slachtoffers van fraude); Aansprakelijkstelling van acquirers en merchants voor maatschappelijke schade (zoals inbreuk op de privacy van kaarthouders) (Morse & Raval, 2008: 541); Intrekking van de mogelijkheid om transacties van het card scheme te verwerken (acquirer) of betalingen te accepteren (merchant) (Meadowcroft, 2008; Adler & Swanson, 2007); Imagoschade bij organisaties met een beveiliging/fraude incident, wat de continuïteit van de organisatie in gevaar kan brengen (PaySquare, 2009); 6 VISA biedt lagere verwerkingskosten voor banken die zorgen dat de op hun aangesloten acquirers PCI DSS compliant zijn, die deze korting ook weer kunnen doorrekenen aan hun merchants. Andere maatschappijen gaan dit voorbeeld ook toepassen (Schwartz, 2007). 7 PCI DSS is geen wetgeving en wordt door de credit card maatschappijen geregeld in de contracten met de acquirers. De credit card maatschappijen hebben meestal geen directe relatie met de merchants en stellen daarom de acquirers aansprakelijk voor het hebben van PCI compliant merchants. Pagina 15 van 43

16 Wanneer we deze twee factoren tegen elkaar afzetten ontstaan vier mogelijke invalshoeken die sturend kunnen zijn voor de strategische keuzes die de organisatie in deze fase maakt. Hoog Verwachte voordelen Realisatie van baten belangrijker dan snelheid van implementatie Kosten mogen hoger uitvallen wanneer de baten mee stijgen Voldoen wanneer het echt moet Kosten zo laag mogelijk Snelheid geboden Kosten mogen hoger uitvallen wanneer de baten mee stijgen Snelheid geboden Kosten zo laag mogelijk Laag Klein Gevolgen van non compliance Figuur 4 Invalshoeken voor strategische keuzes Groot Organisatieniveau dat betrokken is bij de besluitvorming en invoering van PCI DSS Voor het waarborgen van een goede invoering en het maken van de juiste keuzes is het van belang dat zowel de business als IT betrokken is bij besluitvorming. PCI DSS is een standaard voor informatiebeveiliging en veel van de eisen zijn van technische aard, de invoering ervan is echter niet alleen een IT aangelegenheid. Voor een goede alignment van de invoering met de business en haar doelstellingen is het van belang dat zowel business als IT management betrokken zijn bij de besluitvorming. Dit is ook van belang voor de noodzakelijke toezegging van resources in de fase planvorming. Bij de meeste geïnterviewde organisaties is zowel business als IT management betrokken bij de besluitvorming. In deze fase komt het management voor de volgende keuzes te staan: Wel of niet voldoen aan de standaard Alignment met andere initiatieven/strategie (t.a.v. business IT alignment, technologie, compliance en informatiebeveiliging) Moment van invoering van en voldoen aan de standaard Wel of niet proberen invloed uit te oefenen (om compliance aan de standaard meer in lijn met eigen organisatiedoelstellingen te krijgen) Wel of niet voldoen aan de standaard Een van de eerste vragen die de organisatie zich kan stellen is of het accepteren van credit cards met inbegrip van de PCI DSS eisen (en de consequenties daarvan) nog past binnen de organisatiestrategie. Voor organisaties waarbij de afhankelijkheid van credit cards als betaalmiddel laag is en de kosten om aan PCI DSS te voldoen hoog zijn kan het een overweging zijn om te stoppen met het accepteren van credit cards. Zeker in Nederland, waar het gebruik van credit cards relatief laag is, kan dit voor organisaties een reële overweging zijn. Op die manier wordt voorkomen dat er boetes en aansprakelijkheidstelling plaatsvinden. Alle respondenten hebben ervoor gekozen om te voldoen aan de standaard. Gezien de centrale vraagstelling van de scriptie gaan we alleen verder op de keuze om credit cards te blijven accepteren en te voldoen aan de standaard. Pagina 16 van 43

17 Alignment met andere initiatieven/strategie De besluitvormingsfase is een geschikt moment om de gehele PCI DSS invoering in lijn te brengen met de organisatiestrategie en geplande activiteiten: In het kader van business IT alignment is het logisch de strategie voor de beheersing van regelgeving in het IT domein op de business strategie af te stemmen (Henderson & Venkatraman, 1999). Kiest een organisatie er in de markt voor om een early mover te zijn, dan lijkt het logisch om ook te anticiperen op nieuwe eisen, zeker wanneer daar een (tijdelijk) competitief voordeel mee te behalen is. In een recent onderzoek naar het behalen van een competitief voordeel uit opgelegde aanpassingen in informatiesystemen wordt gesteld dat organisaties die de aanpassingen kunnen combineren met aanpassingen die reeds gepland stonden in het voordeel zijn ten opzichte van concurrenten. Onder andere omdat de kans dat ze hiermee in lijn met de bedrijfsstrategie handelen groter is (Krell & Matook, 2009: 4 5). Op het gebied van beveiliging kan aangehaakt worden op eventueel reeds toegepast beveiligingsstandaarden (zie ook paragraaf 2.5 Planvorming) waarbij tot een geïntegreerde en samenhangende set van beveiligingsmaatregelen gekomen kan worden. Met betrekking tot compliance is het raadzaam om te kijken hoe de keuzes voor het moment van invoering en het wel of niet proberen invloed uit te oefenen passen in de eventuele overall compliance strategie die de organisatie hanteert. Op die manier kan gebruik gemaakt worden van reeds bestaande mechanismen voor invoering van standaarden en bestaande platformen/overlegstructuren voor beïnvloeding. Op deze wijze kan men voorkomen dat er onder hoge tijdsdruk ingegrepen moet worden op reeds ingeslagen paden en worden dubbele kosten en besluiten vermeden die niet leiden tot toegevoegde waarde. Moment van invoering van en voldoen aan de standaard In lijn met de organisatiestrategie moet ook bepaald worden welk moment de organisatie kiest om te starten met de invoering en op welk moment ze compliant wil zijn aan de standaard. Organisaties die voorop willen lopen met ontwikkelingen zullen meer gebaat zijn bij snelle invoering. Organisaties die het laagste kostenniveau nastreven willen gebruik kunnen maken van ervaring die andere organisaties hebben opgedaan met de invoering van de standaard. Organisaties worden geconfronteerd met eisen van externe partijen waaraan voldaan moet worden. Weidenbaum (1980) betoogt dat er drie generieke reacties zijn op deze eisen, te weten passief reageren, positief anticiperen en beleid beïnvloeden. Hierbij worden ondernemingen door toenemende regelgeving gemotiveerd om van een passief reagerende naar een beleid beïnvloedende reactie op te schuiven. Vanagas & Žirgutiene (2005) nemen een soortgelijke verschuiving waar van een reactieve naar een proactieve benadering van compliance (zie figuur 5). Figuur 5 Compliance Paradigm Shift (Vanagas & Žirgutiene, 2005) Het lange termijn competitief voordeel (sustainable competitive advantage) neemt toe bij respectievelijk een reactieve, anticiperende en proactieve strategie (Oliver & Holzinger, 2007: 33). Pagina 17 van 43

18 Bij proactief reageren heeft de eigen organisatie het initiatief en kan het PCI DSS ook actief inzetten als instrument voor informatiebeveiliging en marketing (commercieel gebruik maken van vroege certificering) en is er ook tijd om de invoering handig en beheerst te plannen en in lijn met andere noodzakelijke wijzigingen (vervanging applicaties etc.) te laten verlopen; Bij tijdige reactie zijn deze voordelen in mindere mate aanwezig aangezien het voordeel van de beschikbare tijd er dan minder is en het inzetten van certificering als marketing instrument verminderde uitwerking heeft. Daarnaast ligt het initiatief op dat moment bij de partij die PCI DSS vereist, hoewel er nog voldoende tijd is voor een geleidelijke invoering; Bij reactief reageren ligt de termijn waarop men compliant moet zijn in de nabije toekomst en zal de invoering onder zwaardere druk plaatsvinden. Er is dan geen tijd meer om de invoering in lijn met andere keuzes van de organisatie te plannen. Daar staat tegenover dat het wachten met de invoering als voordeel kan bieden dat men kan leren van de ervaring van anderen. Later verschenen verduidelijking van de richtlijnen kunnen bij latere invoering in een keer worden meegenomen. Naast de positionering (in termen van verwacht voordeel van invoering en gevolgen van noncompliance) van de organisatie ten opzichte van de standaard zijn er nog een aantal factoren, die de keuze voor het moment van invoeren en compliant worden beïnvloeden: Maatschappelijke verantwoordelijkheid (vanwege mogelijke effecten van security breaches op andere partijen in het maatschappelijk verkeer); Ontstaan van kritieke massa (als steeds meer concurrenten voldoen wordt het een nadeel als je niet voldoet); Toenemende druk van card schemes; Reeds aanwezige niveau van beveiliging; Vermijden van investeringen in legacy technologie (applicaties, systemen en netwerken) wanneer deze voor vervanging gepland staat. De reactie van de respondenten op PCI DSS verschilde per organisatie. De partijen die proactief reageerden (verplichting was nog niet opgelegd) deden dat vooral om zeker te stellen dat de gevolgen van non compliance werden beperkt door implementatie van de maatregelen. Bij de partijen die tijdig reageerden waren de vrees voor boetes en reputatieschade bij non compliance en de toename van de informatiebeveiliging de belangrijkste redenen. Bij partijen die reactief reageerden werd in de ene organisatie de noodzaak niet gezien aangezien het beveiligingsniveau al voldoende werd geacht. Daar is na een aantal jaren pas besloten om PCI DSS in te voeren vanuit een commercieel oogpunt (toenemende vraag van klanten om PCI DSS compliance, waardoor het op termijn een disqualifier kon worden in bid trajecten, helemaal als concurrerende bedrijven wel compliant zijn). Deze laatste overweging was voor de andere organisatie die zich reactief opstelde ten aanzien van PCI DSS ook doorslaggevend om met PCI DSS aan de slag gegaan. Bij de partijen die zich reactief opstellen zien we dat de invoering meer problemen (te weinig tijd voor goede studies naar oplossingen, de noodzaak voor tijdelijke compenserende maatregelen om security breaches en aansprakelijkstelling te voorkomen) oplevert dan bij de partijen die dat proactief of tijdig doen. Deze hebben wel voldoende tijd om voorbereidingen te treffen en in een keer de juiste maatregelen te implementeren. Uit oogpunt van het tijdig certificeren (en daarmee de kans op boetes en aansprakelijkstelling verkleinen) en de verhoging van het beveiligingsniveau zijn wij van mening dat een proactieve aanpak de meeste voordelen biedt. Wel of niet proberen invloed uit te oefenen Beïnvloedingsstrategieën worden gedefinieerd als acties voor het vergaren van steun voor de belangen van de onderneming (Shaffer, 1995; Oliver & Holzinger, 2007). Concurrentie vindt niet alleen plaats in de markt maar ook in de politieke arena. Organisaties kunnen concurrentievoordeel beha Pagina 18 van 43

19 len door zich actief in deze politieke arena te bewegen en daar te pogen regelgeving naar hun hand te zetten (Henisz & Zelner, 2003). Voor PCI DSS kan worden gepoogd invloed uit te oefenen op de inhoud (eisen) en opzet (rule based) van de standaard en op de deadline voor het voldoen aan de standaard om dit beter te laten aansluiten op de eigen doelstellingen en keuzes van de organisatie. Invloed proberen uit te oefenen op de inhoud kan, zeker gezien het rule based karakter van PCI DSS, van belang zijn om (fundamentele) wijzigingen in de opzet van PCI DSS geaccepteerd te krijgen door de credit card maatschappijen. Hiervoor is het dan wel noodzakelijk coalities te vormen (bijvoorbeeld middels een branchevereniging) (Van Zoest, 2007). Een aantal respondenten heeft bij latere versies via het PCI SSC geprobeerd invloed uit te oefenen middels reviews op de voorstellen. Daarbij wordt wel een aantal zaken opgemerkt: PCI SSC luistert naar de (invloedrijke) partijen in de markt; De werkelijke invloed wordt als beperkt ervaren en de discussie blijft soms erg theoretisch. Ten aanzien van de deadline van het voldoen aan de standaard hebben op twee na alle respondenten geprobeerd invloed uit te oefenen op de invoering van de standaard. Er is vooral met de credit card maatschappijen gesproken om tot overeenstemming te komen over een voor beide partijen acceptabel moment van compliance. Slechts één van de respondenten maakt actief gebruik van coalities met andere partijen die eenzelfde belang hebben. Eén andere partij heeft een poging hiertoe ondernomen, die gestrand is als gevolg van concurrentieoverwegingen. Gezien de beperkte invloed die in de praktijk mogelijk lijkt, is het voor individuele partijen naar onze mening weinig zinvol om te kiezen voor beïnvloeding op de inhoud van de standaard. Enkel wanneer gebruik gemaakt wordt van coalities voor het bereiken van kritieke massa vinden wij beïnvloeding ten aanzien van de inhoud een zinvolle keuze. Met betrekking tot het moment van compliant worden vinden wij het raadzaam om hierover met de organisatie die de compliance vereist in overleg te treden, hierdoor is de kans groter dat het moment van invoering aan te sluiten is op de planning/strategie van de eigen organisatie. Het vergroot de kans op certificering aangezien er meer tijd is om een beheerste invoering te doorlopen Interpretatie van de eisen De juiste interpretatie van de eisen leidt tot snellere certificering aangezien er ten tijde van de audit geen misverstanden meer bestaan over de vraag of nu wel op de juiste manier aan de eisen uit de PCI DSS is voldaan. Het lijkt enerzijds makkelijk dat de PCI DSS een rule based opzet kent, dit laat onverlet dat er nog steeds een goed begrip vereist is van wat er nu precies wordt gevraagd en op welke onderdelen het nu wel en niet van toepassing is op de eigen organisatie 8. De interpretatie vormt één van de moeilijkste onderdelen bij het invoeren van wet en regelgeving en standaarden. 8 Bij PCI DSS wordt de interpretatie bemoeilijkt door de opzet van PCI DSS zelf. Morse & Raval (2008) zetten uiteen dat de eisen onderling verschillen in aard, scope en detailniveau. Enkele eisen zijn sterk voorschrijvend (firewall configuratie, data encryptie), terwijl andere ruimte laten voor eigen invulling ( business need to know ). Daarnaast zijn de structuur en volgorde van de eisen weinig logisch. De eis die de toon zou moeten zetten voor de hele standaard (het hebben en onderhouden van een informatiebeveiligingsbeleid) is de laatste eis van de standaard, terwijl deze als eerste verwacht zou mogen worden. Pagina 19 van 43

20 Tijdens deze fase staat het management voor de volgende keuzes: Intern opbouwen van de benodigde kennis of naar behoefte extern inhuren; Ambitieniveau bij de vertaling van eisen naar de eigen organisatie. Intern opbouwen van de benodigde kennis of naar behoefte extern inhuren Door wijzigingen op de standaard, het uitkomen van aanvullende documentatie en door wijzigingen in de processen en systemen in de organisatie is interpretatie van de eisen geen eenmalige exercitie. Voor een goede interpretatie is specialistische kennis vereist op diverse terreinen (over de standaard zelf en de toelichting daarop maar ook over mogelijke maatregelen in systemen en processen die aan de eisen voldoen). De organisatie kan ervoor kiezen om deze kennis tijdelijk van buiten de organisatie te betrekken door inhuren van externen (QSA s, juristen, consultants) die zich in de specifieke aandachtsgebieden hebben gespecialiseerd. Het alternatief is om de kennis intern op te bouwen. Aanvullend kan men in beide situaties gebruik maken van kennis in branche en vakverenigingen en afstemming met de toezichthouder/de partij die de eisen oplegt. Het voordeel van extern inhuren is de flexibilisering van de kosten en de toegang tot up to date specialistische kennis in de markt. Het voordeel van het intern opbouwen van de kennis is dat deze permanent beschikbaar is en deze kennis snel in kan zetten in geval van wijzigingen. Ondanks het feit dat de PCI DSS een rule based standaard is, bieden de eisen in de PCI DSS nog aanleiding tot interpretatie. Op dit vlak zijn er grote overeenkomsten tussen de diverse respondenten. Ten eerste hebben, op één na, alle geïnterviewden een QSA in de hand genomen om te ondersteunen bij de interpretatie van de standaard. In een aantal gevallen heeft deze QSA ook geholpen in de contacten met credit card maatschappijen om onduidelijkheden of standpunten van de organisatie ten aanzien van de interpretatie van de standaard af te stemmen. Ten tweede bleek de interpretatie van de standaard in de meeste gevallen een lastige exercitie, vooral het bepalen van de scope (issuing/acquiring, services, systemen, geografisch) was daarbij lastig. Door enkele van de respondenten wordt als reden de inconsistente terminologie in de standaard gegeven. Ook het statement op hoofdlijnen dat de eisen van toepassing zijn op alles wat met payments te maken heeft leidt tot veel discussie. Het is van belang om te voorkomen dat ten tijde van de certificering tekortkomingen met een grote impact (bijvoorbeeld investering in een webapplicatie die niet voldoen aan de OWASP eisen) naar voren komen als gevolg van een verkeerde of ongelukkige interpretatie van de standaard. Daarom vinden wij het verstandig om in een vroeg stadium een adviseur aan te stellen die over voldoende kennis beschikt om een goede interpretatie te maken. Het is vervolgens afhankelijk van de grootte van de organisatie of het haalbaar is om deze kennis intern te borgen. Ambitieniveau bij de vertaling van eisen naar de eigen organisatie De keuze voor het ambitieniveau bij de vertaling van de eisen naar de eigen organisatie is van invloed op de vraag of de invoering tot een verhoging van het beveiligingsniveau gaat leiden. Bij de interpretatie van de eisen heeft de organisatie de keuze om: Vast te houden aan de baseline positie die door PCI DSS wordt gegeven (leidt tot minimale maatregelen); De interpretatie uit te voeren in het licht van de risico s die daadwerkelijk worden gelopen en waar nodig zichzelf hogere eisen te stellen dan strikt genomen vanuit PCI DSS gezien noodzakelijk zijn (kan leiden tot zwaardere maatregelen). Hanteren van de baseline draagt bij aan het snel gecertificeerd raken van de organisatie. De interpretatie vanuit de daadwerkelijke risico s draagt bij aan minimaliseren van de kans op security incidenten. Bij de ondervraagde organisaties zagen we zowel de keuze om dicht bij de baseline te blijven om de kosten te beperken en vanwege het commerciële belang van certificering als organisaties die de eisen interpreteerden vanuit hun eigen beveiligingsrisico s om daarmee het niveau van informatie Pagina 20 van 43