Bedrijven krijgen af en toe gevoelige creditcardinformatie, Primary Account Numbers (PAN), (alle informatie die nodig is om een aankoop te voltooien) via e-mail of per telefoon binnen. Als QSA’s zijn wij van mening dat dit een veiligheidsrisico is, of op zijn minst een slechte gewoonte, en dat dit een aandachtspunt moet zijn binnen de security van het bedrijf. Alle kaarthoudergegevens die worden verzonden, verwerkt of opgeslagen, vallen zeer zeker onder PCI DSS.
Om te voorkomen dat informatie van kaarthouders in verkeerde handen valt, is de Payment Card Industry Data Security Standard (PCI DSS) opgesteld om organisaties te houden aan een gemeenschappelijke standaard voor het beveiligen van kaarthouderinformatie tegen ongeoorloofde blootstelling en exploitatie.
Schending van PCI DSS
Vereiste 4.2 van PCI DSS stelt dat creditcardgegevens niet mogen worden vastgelegd, verzonden of opgeslagen via berichtentechnologieën voor eindgebruikers, zoals gewone e-mail.
Dit is de reden waarom: Onbeveiligde e-mail laat onversleutelde creditcardnummers achter in inboxen, prullenbakken, back-ups, webbrowsercaches, enzovoort. Het is uiterst moeilijk te beveiligen, net als elke andere conventionele eindgebruikerstechnologie.
Het is van cruciaal belang om te benadrukken dat het niet voldoen aan de Payment Card Industry Data Security Standard geen strafbaar feit is. De PCI DSS is een gegevensbeveiligingsovereenkomst tussen betaalkaartbedrijven en verwerkers. Als er echter iets misgaat bij het verwerken van creditcardgegevens, kan niet-naleving van PCI desastreus zijn voor de reputatie van een bedrijf.
Is encryptie de oplossing?
Het is makkelijk om te denken dat het versleutelen van de gegevens het probleem zou oplossen. Maar zelfs als uw e-mailserver is geconfigureerd om sterke codering te bieden wanneer u verbinding maakt om uw e-mail te lezen, is er geen garantie dat de ontvangende kant hetzelfde coderingsniveau heeft, noch kunt u er zeker van zijn dat alleen de beoogde ontvanger de informatie kan lezen zodra het is afgeleverd.
Wat zijn de mogelijkheden om creditcardgegevens digitaal te delen en toch PCI-compliant te blijven?
Aangezien e-mail de voorkeursmethode voor communicatie is voor de meeste bedrijven, is het implementeren van een veilig e-mail- en digitaal communicatieplatform van cruciaal belang voor PCI- en AVG-compliance. Het is bedoeld om “risicovol gedrag” in digitale communicatie tegen te gaan. Als er bijvoorbeeld gevoelige privé-informatie aan een e-mail wordt toegevoegd, zoals een bijlage met meerdere creditcardnummers, en/of als het bericht is geadresseerd aan een nieuwe contactpersoon of meerdere ontvangers, wordt er een waarschuwing gegeven en wordt de e-mail automatisch afgewezen. Verder kunnen er strikte veiligheidsmaatregelen worden genomen (bijvoorbeeld versleuteling van persoonsgegevens en 2-factor authenticatie).
Zorg dat uw beleid en procedures op orde zijn
Als QSA die een beoordeling uitvoert, verwachten we het volgende te zien:
-
- Een beleid dat deze situatie aanpakt, waarin staat dat het accepteren van kaarten op deze manier in strijd is met het bedrijfsbeleid. Leg ook uit hoe u de situatie zult aanpakken als klanten het doen.
- Procedures om naleving van het beleid te waarborgen. Routinescans van de e-mailserver of een DLP-implementatie om ervoor te zorgen dat gegevens alleen zijn waar ze zouden moeten zijn, zijn voorbeelden van procedures.
- Bewustwording van medewerkers.Werknemers moeten klanten informeren dat op deze manier geen betaling geaccepteerd kan worden en dat ze het opnieuw moeten indienen via het juiste kanaal. De gegevens moeten vervolgens veilig verwijderd worden. Maar als u uw medewerkers toestaat de kaarten te verwerken wanneer dit gebeurt, wordt het een onderdeel van uw kaartgegevensstroom en wanneer dit tijdens een PCI-audit wordt ontdekt, voldoet u niet aan de regels.
Conclusie
Het sporadisch ontvangen van creditcardgegevens via e-mail kan worden vermeden en voorkomen en hoeft geen extra risico’s met zich mee te brengen. Wilt u uw specifieke situatie met onze QSA’s bespreken, neem dan contact met ons op via info@fortytwo.nl