Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

PCI Compliance: hoe bereik ik het?

14 augustus 2019 - 15:315 minuten leestijdOpinieSecurity & Awareness

In het eerste deel van deze blogreeks (Hoe te beginnen aan PCI Compliance, 23 juli 2019) gaf ik een introductie tot PCI Compliance: wat deze inhoudt, voor wie zij geldt en hoe zij wordt bepaald. In dit deel vertel ik meer over de consequenties als bedrijven niet voldoen aan de PCI (Payment Card Industry) en welke stappen organisaties kunnen nemen om niet alleen te voldoen aan PCI DSS, maar ook hun algehele security-aanpak kunnen optimaliseren.

Er zijn tegenwoordig nog steeds organisaties die niet voldoen aan de PCI-standaarden (Payment Card Industry). Hierdoor lopen zij risico op datalekken, wat weer kan leiden tot een kostbare kettingreactie. Als de gegevens van gebruikers worden gestolen, zijn hun geld en kredietscores in gevaar. Ondertussen kan de onderneming te maken krijgen met boetes, verlies van goodwill en verplichte herstelwerkzaamheden omdat zij er niet in is geslaagd het gegevensverlies te voorkomen. Door de valkuilen omtrent PCI-compliance te mijden help je dus zowel jezelf als je klanten te beschermen tegen stijgende kosten, stress en ongemak. Om dit soort kosten, zowel materiële als immateriële, te vermijden, is het belangrijk om tijd te investeren in een uitgebreid beveiligingsprotocol dat PCI-standaarden bevat. 

Boetes en sancties

Datalekken en non-compliance zorgen niet alleen voor slechte pr. Ze stellen ook je klanten bloot aan identiteitsdiefstal en kunnen leiden tot boetes en sancties. Boetes variëren van tweeduizend euro tot meer dan honderdduizend euro per maand voor schending van PCI-compliance. Daarnaast kunnen er extra boetes worden opgelegd voor herhaalde overtredingen, afhankelijk van je bank. 

Naast de vooraf vastgestelde boetes, kunnen datalekken op den duur nog meer kosten met zich meebrengen. Als de kaarthoudergegevens van je klanten zijn gestolen, kan je ook te maken krijgen met fraudeschade door het gebruik van gestolen rekeningnummers door dieven. Het is mogelijk dat je de kosten voor het herverstrekken van gecompromitteerde kaarten voor je rekening moet nemen, plus de kosten van extra fraudepreventie of controle die de kaartverenigingen eisen. Dit soort kosten zijn niet altijd even hoog als grote datalekken, maar ze kunnen catastrofaal zijn voor kleine bedrijven en  ongelegen komen voor grotere organisaties. Kortom, als je te maken krijgt met een lek, kan het moeilijk of zelfs onmogelijk zijn om hier ooit volledig van te herstellen. 

Pas op voor tunnelvisie

Hoewel datalekken beangstigend zijn, moet je onthouden dat het niet de beste security-houding is om je op één specifiek aspect te concentreren. In de afgelopen jaren hebben veel grote bedrijven te maken gehad met cyberaanvallen, ondanks dat ze aan de PCI-eisen voldeden. Hoewel deze standaarden een extra bescherming bieden tegen datalekken, zal PCI DSS alleen je niet volledig beschermen. Maar als je beveiliging in de loop van de tijd een vaste prioriteit maakt, merk je waarschijnlijk dat de PCI-compliance vanzelf in orde komt. 

Een instantie genaamd PCI Security Standards Council (SSC) is verantwoordelijk voor het ontwikkelen en bijhouden van PCI DSS-vereisten. Maar de handhaving wordt uitgevoerd door vijf creditcardmaatschappijen: Visa, MasterCard, American Express, JCB International en Discover. Elk merk heeft zijn eigen richtlijnen voor naleving en zijn eigen rapportage- en validatievereisten. Daarnaast hebben ze ieder hun eigen deadlines, merkspecifieke definities en straffen voor het niet naleven van de regels. Daarom is het cruciaal om rechtstreeks advies in te winnen bij de creditcardmaatschappijen om zeker te zijn dat alles onder controle is.

Hoe word ik PCI-compliant?

Als tijd en middelen beperkt zijn, is het voor organisaties moeilijk om een allesomvattende aanpak van kwetsbaarheden te implementeren dat eigenlijk een fundamenteel onderdeel van hun beveiliging zou moeten zijn. PCI-scanning geeft bedrijven meer inzicht in hun huidige kwetsbaarheden, biedt context van de risico’s en zorgt voor een actieplan om de gaten in de beveiliging te dichten.

Als je nog maar net begonnen bent met PCI-compliance, kan je veel informatie vinden op de website van de PCI Security Standards Council. Daar is informatie te downloaden, zoals een beginnershandleiding en een beknopte referentiegids.

Sommige organisaties stellen een team of taskforce samen om te voldoen aan de initiële compliance-eisen en ontbinden deze vervolgens na de certificering. Anderen schaffen nieuwe middelen of apparaten aan om aan bepaalde PCI-eisen te voldoen. Vervolgens laten ze na om deze te monitoren of te beheren nadat ze zijn geconfigureerd, wat ze onbruikbaar maakt tegen bedreigingen. Weer anderen stellen een document voor werknemersbeleid op maar werken dit nooit bij, ook al is er veel personeelsverloop. Of er wordt vanuit het management budget beschikbaar gesteld om compliant te worden, maar vervolgens geen geld vrijgemaakt om compliant te blijven. Vermijd al deze scenario’s! 

Externe partijen zoals mijn werkgever kunnen op aanvraag scans uitvoeren van interne en externe netwerkapparaten, servers, webapplicaties, databases en andere systemen, zowel op locatie als in de cloud. Deze PCI-kwetsbaarheidsscans helpen om risicovolle veiligheidsgaten in je netwerk op te sporen en te voldoen aan je jaarlijkse compliance-eisen. Ze bieden ook toegang tot deskundigen wanneer je behoefte hebt aan meer informatie. 

De lange termijn

Voortdurende oplettendheid is de beste verdediging tegen beveiligingsincidenten. Daarom is een vast team ideaal dat het beleid, de procedures en de algehele PCI-compliance regelmatig evalueert – niet slechts één keer per jaar. Ontwikkel een strategie voor PCI-compliance die past bij het bedrijf en rekening houdt met de algemene security-aanpak.

Vergeet niet dat PCI-compliance alleen niet volstaat om bedrijfsgegevens te beschermen tegen dure en tijdrovende cyberaanvallen. Een jaarlijkse beoordeling verliest zijn waarde als deze niet wordt gekoppeld aan voortdurende inspanningen om PCI-compliance te handhaven. Kwetsbaarheidsscans helpen de risico’s te verminderen, zorgen ervoor dat men compliant blijft en beschermen de apparaten en gegevens.

Met een duidelijk beveiligingsprogramma ben en blijf je niet alleen PCI-compliant. Je bent ook voorbereid om nieuwe en opkomende bedreigingen aan te pakken. Alleen door beproefde beveiligingscontroles te implementeren en te onderhouden, zal je bedrijf behalve compliant ook daadwerkelijk veilig zijn.

Meer over

ComplianceDDoS

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Slimme connectiviteit: de toekomst van bouwen

    Hoe stoom jij jouw organisatie in de bouw en installatie sector klaar voor de digitale toekomst?

    Computable.nl

    De weg van dataverzameling naar impact

    Iedere organisatie heeft data, maar niet iedereen weet hoe je het goed gebruikt. Hoe zet je waardevolle informatie om in actie?

    Computable.nl

    Beveiliging en IT samen sterk tegen bedreigingen

    Deze paper geeft concrete strategieën en handvatten om IT en Security effectiever te integreren.

    Meer lezen

    OpinieSecurity & Awareness

    Hoe te beginnen aan PCI Compliance

    2 reacties op “PCI Compliance: hoe bereik ik het?”

    1. Pa Va Ke schreef:
      19 augustus 2019 om 11:14

      PCI compliance … zo fijn dat afkortingen hergebruikt worden binnen de ICT. Ik dacht bijna dat we een artikel kregen over Peripheral Component Interconnect compliance (de goede oude PCI compliant insteekkaarten)

      Login om te reageren
    2. Ewout Dekkinga schreef:
      27 augustus 2019 om 11:48

      De Payment Card Industry (PCI) Data Security Standard (DSS) is de zelfregulatie vanuit een branch. En deze norm voor gegevensbeveiliging is dan ook vooral gericht op het imago van een ecosysteem en houdt niet altijd rekening met de nieuwe GDPR normeringen voor de privacy.

      Login om te reageren

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs