Stengere PCI DSS regels voor betaalgegevens op virtuele systemen
De PCI Security Standards Council heeft de gevolgen van het gebruik van virtualisatie voor het beveiligen van betaalgegevens in kaart gebracht. De bevindingen zijn vastgelegd in nieuwe richtlijnen voor het inrichten van computers waarmee geldelijke transacties worden verwerkt.
Tot nog toe was in de richtlijnen niet gespecificeerd wat gebruik van virtualisatietechnologie betekent voor bedrijven die willen voldoen aan de ‘Payment Card Industry Data Security Standard’. Terwijl virtualisatie wel nieuwe uitdagingen oplevert.
Zo was niet duidelijk welke delen van de virtuele opstelling aan de eisen dienen te voldoen, en of bijvoorbeeld de hypervisor daar ook onder valt (ja dus). Ook de eisen aan gemengde omgevingen – waarbij op een gevirtualiseerde machine een PCI DSS-applicatie naast een andersoortige applicatie draait – waren onduidelijk.
Einde aan onduidelijkheid De nieuwe virtualisatierichtlijnen [PDF] behandelen voor ieder van de bestaande richtlijnen, wat de gevolgen zijn als men virtualisatie gaat gebruiken. Ook wordt verduidelijkt in hoeverre men in de cloud aan PCI DDS kan voldoen, en welke eisen in dat geval aan de clouddienstverlener moeten worden gesteld.
De PCI DSS is opgesteld door de creditcardindustrie. Bedrijven zijn niet verplicht zich aan de richtlijnen te houden bij het verwerken van betaalgegevens. Maar als men zich niet aan de regels conformeert, laten de creditcardmaatschappijen een groter deel van de schade door eventuele fraude voor eigen rekening.
Toepassing van PCI DSS helpt Van de acceptanten in Nederland volgt slechts 8 procent de PCI-regels. Het implementeren van PCI DSS vermindert het risico op gegevensdiefstal overigens wel, bleek eerder dit jaar uit een studie van het Ponemon Institute. Bron: Automatiseringsgids
