In dit tweede deel over PCI (Payment Card Industry) kijken we naar de uitdagingen om gecertifieerd te worden en te blijven. De vorige bijdrage was nog vrij algemeen, maar nu ontkomen we er niet aan om meer de diepte in te gaan. Daarbij beperk ik me tot de Data Security Standard (DSS) en de PIN Transaction Security standard (PTS).
De belangrijkste vraag om mee te beginnen is echter: waarom?
Het makkelijke en ook goede antwoord is omdat het moet als je in de betaalwereld actief bent. Niet compliant zijn kan direct tot boetes leiden. Het betere antwoord is echter dat je het als bedrijf zelf wil om er beter van te worden, met minder kans op beveiligingsincidenten en reputatieschade. Een betere reputatie op beveiligingsgebied verbetert zelfs de concurrentiepositie.
Het is altijd goed om te realiseren dat beveiliging een proces is en geen bestemming. Het is goed om gecertificeerd te zijn, maar gecertificeerd blijven is geen eenvoudige opgave.
DSS certificering
De beveiligingseisen van DSS zijn geen rocket science en zouden niet misstaan in beveiligingsplannen van elk bedrijf. Ze zijn terug te vinden op de website van PCI Security Standards.
Eén van de belangrijkste maatregelen om gevoelige gegevens van betaalpas- en kaarthouders (zie ons vorige blogbericht) te beveiligen, is het toepassen van cryptografie. En natuurlijk komen daar de benodigde vereisten voor goed sleutelbeheer bij kijken.
Om gecertificeerd te kunnen worden moet met succes een audit door een onafhankelijke partij worden doorlopen. Een zeer belangrijke stap om het certificeringsproces te vereenvoudigen is om de scope van de audit te beperken. Zorg dat je weet in welke systemen en applicaties de gevoelige gegevens van betaalpas- en kaarthouders worden verwerkt of worden opgeslagen! Maar om de scope van de audit echt te verkleinen, moeten die systemen en applicaties gescheiden worden van de overige infrastructuur.
Een handig hulpmiddel om te peilen hoe ver je al bent op de DSS-meetlat is de “self assessment“. Dit is niets meer dan een vragenlijst om het huidige niveau van beveiliging te bepalen. Aan welke eisen wordt al voldaan en waar is verbetering nodig? Voor sommige kleine bedrijven is de self assessment zelfs voldoende voor certificering, maar voor de meeste bedrijven is het een noodzakelijke stap voordat een officiële audit uitgevoerd mag worden.
PTS-certificering
Zoals in de vorige blog-post beschreven is de scope van PTS de encryptie van PIN-codes met behulp van gecertificeerde cryptografische hardware (HSM) en alle (sleutel)beheerprocessen die daarbij komen kijken.
De certificering wordt niet uitgevoerd door de PCI-organisatie, maar door de individuele creditcard-maatschappijen. De belangrijkste struikelblokken zijn de volgende onderwerpen:
- De gebruikte HSM’s zijn niet (volledig) PCI compliant?De hardware en standaard firmware is over het algemeen wel gecertificeerd, maar meestal wordt er gebruik gemaakt van klant / land-specifieke firmware die niet gecertificeerd is. Het is ook duur om dit te laten certificeren. ?Daarnaast is “crypto-agility” nog geen gemeengoed in de betaalwereld. Ondersteuning van legacy-algoritmes zorgt ervoor dat HSM’s niet in PCI-mode kunnen draaien.?
- Vastlegging van processen en procedures en bewijsvoering dat de processen en procedures daadwerkelijk worden gevolgd?Goed beheer blijkt in de praktijk altijd weer moeilijk. Tijdsdruk en de waan van de dag leiden ertoe dat sleutelbeheerwerkzaamheden niet goed worden gedocumenteerd. ?
- Gebrek aan ervaren en goed gekwalificeerde sleutelbeheerders?Net als overal in de ICT-wereld is het moeilijk om goede mensen te krijgen en te houden. Dit geldt zeker voor sleutelbeheer, wat toch een echt specialisme is.
De conclusie is dat het geen gemakkelijke opgave is om PTS-gecertificeerd te worden en te blijven.
Een oplossing voor het eerste struikelblok is om zoveel mogelijk gebruik te maken van standaard HSM’s, zonder klant- of landspecifieke firmware. Dit is natuurlijk makkelijk gezegd dan gedaan, vergt een lange adem, maar zou wel op de lange termijnagenda moeten staan.
De andere twee struikelblokken zijn wellicht nog lastiger op te lossen. Kun je sleutelbeheer wel outsourcen? Bestaat er zoiets als “Key-management-as-a-Service”? En wat kan “HSM-as-a-Service” hiervoor betekenen?
Op deze vragen zullen we in een volgend blogbericht nader ingaan.
Alvast meer weten? Neem dan contact op met Avensus High Grade Security.
