De creditcardgegevens van kaarthouders in Nederland liggen zo goed als op straat. Uit onderzoek van Tripwire, een wereldwijde verstrekker van IT Security en compliance oplossingen, blijkt dat slechts 8 procent van de Nederlandse organisaties die credit- en debetcards gebruiken, voldoet aan de normen op gebied van de Payment Card Industry Data Security Standard (PCI DSS). Ook is 5 procent bezig om mogelijke zwaktes te identificeren en compliant te worden.
Burgerlijke (of eigenlijk zakelijke) ongehoorzaamheid of met name onbekendheid met de eisen bij organisaties? Feit is wel dat het schrikbarende cijfers zijn en we kunnen er van op aan dat dit niet op korte termijn is opgelost. We kunnen natuurlijk de schuld gemakkelijk leggen bij de organisaties, maar misschien moeten we ook nog eens kijken naar de hulpmiddelen die we bieden, maken we het allemaal ook niet erg onwerkbaar met al onze regeltjes? De grote winst is te halen in combinatie van de verschillende regels…maar daarover later meer.
Daarnaast komt naar voren dat 36 procent zich bewust is van het feit dat ze niet compliant zijn en niet van plan is om dit te worden (bron).
Zo te lezen worden de organisaties een beetje moe van de regelgeving, de normenkaders, het compliant worden en ga zo maar even door. Het is ook niet niks, we moeten voldoen aan SOx, De Code voor Informatiebeveiliging en nu ook nog PCI DSS. Toch hoeft het allemaal geen probleem te zijn, als we maar vooraf goed nadenken over hoe we de verschillende normen kunnen combineren en hoe we de juiste maatregelen kunnen treffen.
Daarbij komt eigenlijk weer een van mijn stokpaardjes tevoorschijn: we moeten niet compliant willen zijn, nee we moeten “in control” willen zijn. Nemen we dat als uitgangspunt dan zullen we zien dat we de genoemde normenkaders goed als uitgangspunt kunnen gebruiken, er vervolgens ons eigen sausje overheen kunnen gooien en als we dan ook daadwerkelijk “in control” zijn, dan is er geen vuiltje aan de lucht, dan voldoen we namelijk direct aan deze en alle andere normen.
Gelukkig gaat het artikel ook verder in op de risico’s:
Het aantal gevallen van creditcardfraude neemt ook in Nederland steeds meer toe. Voor zowel gebruiker als organisatie zijn er aanzienlijke risico’s, zoals hoge boetes en het verliezen van de mogelijkheid om via bepaalde creditcardmerken te kunnen betalen. Maar nog belangrijker zijn de grote imagoschade, het verlies van klanten en de hoge financiële kosten die beveiligingsproblemen met zich mee kunnen brengen. Een organisatie waarvan bekend is dat zij niet zorgvuldig met de creditcardgegevens van haar cliënten omgaat, zal aanzienlijke reputatieschade oplopen waarbij het voortbestaan van de organisatie in het geding kan komen.
Voor een vrijdag natuurlijk een veel te serieus bericht, dus we stoppen er voor vandaag maar weer snel mee want de inspiratie is nu echt op. Ik denk er nog eens rustig over na en betaal de komende tijd gewoon cash.