Bijna geen enkele organisatie voldoet aan eisen creditcardbeveiliging
3 maart 2011 -
De creditcardgegevens van kaarthouders in Nederland liggen zo goed als op straat. Slechts acht procent van de Nederlandse organisaties die credit- en debetcards gebruiken, voldoet aan de normen op gebied van de Payment Card Industry Data Security Standard (PCI DSS). Slechts vijf procent is bezig om mogelijke zwaktes te identificeren en compliant te worden.
Dit blijkt uit onderzoek van Tripwire onder verschillende organisaties die gezamenlijk garant staan voor meer dan 25 miljoen creditcardtransacties per jaar. Daarnaast komt naar voren dat 36 procent zich bewust is van het feit dat ze niet compliant zijn en niet van plan is om dit te worden. Ook vinden de meeste organisaties dat beveiliging op dit gebied het probleem is van de creditcardbedrijven (75 procent) en de banken (60 procent) en dat de verantwoording hiervoor niet bij hen ligt.
Ook meer fraude in Nederland
Het aantal gevallen van creditcardfraude neemt ook in Nederland steeds meer toe. Voor zowel gebruiker als organisatie zijn er aanzienlijke risico’s, zoals hoge boetes en het verliezen van de mogelijkheid om via bepaalde creditcardmerken te kunnen betalen. Maar nog belangrijker zijn de grote imagoschade, het verlies van klanten en de hoge financiële kosten die beveiligingsproblemen met zich mee kunnen brengen. Een organisatie waarvan bekend is dat zij niet zorgvuldig met de creditcardgegevens van haar cliënten omgaat, zal aanzienlijke reputatieschade oplopen waarbij het voortbestaan van de organisatie in het geding kan komen. De PCI DSS is in het leven geroepen om organisaties, die creditcardgegevens verwerken, te helpen om de kaarthouderomgeving te beschermen en creditcardfraude en andere beveiligingsproblemen te voorkomen.
Standaard is onbekend
Uit het onderzoek blijkt verder dat veel organisaties onbekend zijn met de PCI DSS standaard en vaak niet weten of ze compliant zijn (48 procent). Aangezien ook de banken risico lopen op boetes en sancties, ondernemen zij nu veelal actie. 35 procent van de organisaties geeft aan dat zij recentelijk een brief hebben ontvangen van hun bank, waarin hen wordt voorgeschreven dat ze binnen bepaalde tijd PCI compliant moeten zijn. Dit helpt, want 50 procent geeft aan dat ze nu actie willen ondernemen. Toch zegt nog 15 procent dat zij de brief van de bank negeren. Daarnaast blijft er veel verwarring bestaan over de standaard, aangezien de deadlines en vereisten blijven veranderen.
Veilig bewaren van gegevens
Rob Warmack, directeur EMEA bij Tripwire: "Kaarthouderinformatie loopt een groot risico op aanvallen en ernstige gevallen van diefstal en misbruik. Iedere organisatie die gebruikmaakt van deze vorm van betaling, van verzekeringsbedrijf tot financiële dienstverleners en van retail tot hospitality, heeft de verantwoordelijkheid om de data van haar klanten veilig te bewaren. De PCI DSS standaard is een algemeen aanvaarde veiligheidsstandaard die nodig is om deze security te verstrekken. Er is een groeiend besef van het belang van de uitvoering van de PCI DSS, maar het aantal Nederlandse organisaties dat compliant is, is nog steeds onaanvaardbaar laag. Het is zeer belangrijk dat organisaties de gevaren te herkennen en reageren op deze risico's."
