Het Verizon 2014 PCI Compliance rapport, een toelichting.

Cqure platformblog

Verizon brengt al enige tijd het jaarlijkse Data Breach Investigation Report uit. In april kunnen we daarvan de 2014 versie tegemoet zien. De QSA’s, Qualified Security Assessors van Verizon hebben in de tussentijd een ander studie samengesteld, die in detail beschrijft hoe het er in de wereld voor staat met PCI-DSS compliancy.

De Payment Card Industry PCI, een samenwerkingsverband van de grote creditcard maatschappijen VISA, Mastercard, Discover, American Express en JCB, hebben sinds 2004 een beveiligingsstandaard DSS: Data Security Standard. Alle bedrijven die transacties verwerken en opslaan van deze betaalkaarten moeten voldoen aan de standaard. De standaard is daarmee een baseline: als kaartverwerker moet je op alle punten voldoen aan hetgeen gesteld is in de standaard, ander verlies je uiteindelijk de licentie om kaarttransacties te verwerken.

Het doel van PCI-DSS is om de schade voor de creditcard maatschappijen te beperken in geval van verlies of frauduleus gebruik van de kaarten. De standaard richt zich daarmee volledig op Exclusiviteit en niet op Beschikbaarheid of Integriteit. Niettemin kan de DSS ook een richtlijn zijn voor elk ander bedrijf wat vertrouwelijke gegevens verwerkt of opslaat. Het kan daarvoor fungeren naast bijvoorbeeld de best practices van ISO 27002.

Versie 3.0 van PCI-DSS verscheen in november 2013 en bevat naast een paar nieuwe ‘requirements’ vooral veel verduidelijking van de reeds bestaande tekst, omdat discussies over de interpretatie van de standaard onafgebroken worden gevoerd. Het was voor Verizon in elk geval aanleiding om dit rapport te schrijven en toe te lichten hoe het er binnen hun eigen klantenkring voorstaat. Verizon is wereldwijd een van de grootste QSA’s, en bedienen duizenden klanten op het gebied van de implementatie en naleving van PCI-DSS. De basis voor dit rapport zijn de tussentijdse observaties die ze bij klanten uitvoeren en niet de resultaten van ‘final assessments’

Wat direct opvalt in het rapport is dat veel organisaties compliancy nog steeds zien als iets wat elk jaar een keer ‘gehaald’ moet worden. Weinige zien beveiliging als dagelijks werk, als onderdeel van hun dagelijkse praktijk. Dat komt omdat veel bedrijven een standaard nog steeds zien als afvinklijst en niet de moeite nemen om security in hun processen te integreren en effectief te meten. Security standaards als ISO 27001 en PCI-DSS schrijven geen management framework of een risicoanalyse methode voor. Dat laatste kun je zelf samenstellen uit aanwijzingen in ISO 27005 en ISO 31000 en een management framework als COBIT is voor veel bedrijven te lomp. Wat bedrijven op dit vlak daadwerkelijk geïmplementeerd hebben is dan ook erg subjectief voor een auditor of assessor. Dat is meteen de grootste uitdaging bij het implementeren van standaards: je kunt het als een uitdaging aannemen om fundamenteel aan procesverbetering te doen en daardoor in volwassenheid te groeien. Hierdoor wordt naleving geen jaarlijkse invuloefening meer, maar onderdeel van het primaire proces.

Ondanks de toegenomen regeldruk stelt het rapport dat er over het algemeen beter wordt beveiligd en is de compliancy in 2013 beter dan het jaar daarvoor. Europa loopt nog ver achter ten opzichte van Azië en de Verenigde Staten.

Vervolgens wordt ingegaan op een aantal punten van kritiek op de standaard en het PCI comité (te dun, te dik, te laat, teveel nadruk op dit, te weinig aandacht voor dat). Die kritiek wordt door Verizon grotendeels naar de prullenmand verwezen doordat ze vanuit hun praktijk een goed zicht hebben op de wijze van implementatie die bedrijven hanteren. Hun conclusie is dan ook, dat organisaties die voldoen aan PCI-DSS, een veel minder grote kans hebben om gehacked te worden en een beter beveiligingsbewustzijn hebben.

Het volgend deel van de rapportage gaat in op de naleving per PCI-DSS requirement. De conclusie hieruit is, dat steeds meer bedrijven er in slagen om over de gehele breedte te voldoen aan alle voorschriften. Een groot struikelblok blijft kennelijk requirement 11: test regelmatig de beveiligingssystemen en procedures. De verwachting is dat met de komst van versie 3.0 dit hoofdstuk alleen maar moeilijker te vervullen zal worden. Ook requirement 6.1: het inrichten van een proces voor kwetsbaarheidsmanagement komt er slecht van af. En tenslotte 2.2.2: het verwijderen van onnodige services en protocollen bleek maar door 45 % van de bedrijven naar behoren te worden uitgevoerd.

Het rapport geeft nog vijf adviezen over het verbeteren van de compliancy:

1. Onderschat de hoeveelheid werk niet.

Het voldoen aan een strikte standaard als PCI-DSS is niet eenvoudig. Versie 2.0 bevat 289 maatregelen, die letterlijk moeten worden geïmplementeerd en dat vraagt coördinatie door de hele organisatie heen. Als de volledige omvang van het project niet goed wordt onderkend komt vaak de datum van de assessment in gevaar en wordt het werk afgeraffeld of verandert men van richting. Zoek een goede projectadviseur, die meerdere implementaties van PCI-DSS heeft meegemaakt.

2. Maak de implementatie duurzaam.

Zorg dat PCI-DSS compliancy wordt ingebed in de dagelijkse manier van werken en gebruik een implementatietraject als hefboom om procesverbetering te verwezenlijken. Naleving van de standaard is een permanent gegeven en moet door de hele organisatie gedragen worden. Het gaat niet alleen over IT en ook niet alleen over technologie. Personeel en processen moeten de naleving uitstralen.

3. Denk over naleving in een bredere context.

Het is zeer waarschijnlijk dat PCI-DSS niet de enige standaard is waaraan de organisatie moet voldoen. Probeer op een efficiënte manier alle vereisten in een complete Governance, Risk and Compliance aanpak onder te brengen. Daarnaast is PCI-DSS een samenstel van minimum vereisten. Het is zeer waarschijnlijk dat er in uw organisatie sommige zaken nog zwaarder moeten worden aangezet.

4. Gebruik de hefboomwerking als een kans tot verbetering.

Ga de naleving van standaards niet meer als kosten zien, maar als een investering waar winst op gemaakt kan worden. Consolideer systemen niet alleen vanuit overzichtelijkheid maar ook vanuit efficiëntie en kostenbesparing. Verklein het aantal leveranciers niet alleen vanwege het overzicht maar ook omdat de kosten van toezicht steeds hoger worden. Verbeter processen en verlaag de personeelskosten. Verbeter de systeemprestaties door op tijd patches en configuratie verbeteringen aan te brengen. Meet niet alleen total cost of ownership, maar ook return on investment. Reken de kosten van beveiliging en compliance door aan bedrijfsprocessen.

5. Reduceer het aantal kwetsbare systemen.

Zorg dat vertrouwelijke informatie op zo weinig mogelijk systemen staat en reduceer het aantal verbindingen dat met die omgeving kan worden gemaakt. Hierdoor wordt het risico verkleind en zijn beveiligingsmaatregelen effectiever. Hierdoor wordt de hoeveelheid werk die in de dagelijkse naleving van PCI-DSS moet worden gestoken, gereduceerd. Ook wordt de kans op menselijke fouten verkleind.

2014 wordt weer een belangrijk jaar voor PCI-DSS implementerende organisaties. De overstap van versie 2.0 naar 3.0 vereist in elk geval een intensivering van de netwerkbewaking. Maar het is een goede gelegenheid om weer met een stofkam door het hele stelsel van maatregelen te gaan en de aanbevelingen van Verizon in praktijk te brengen.