Hoe vaak wordt er beweerd dat een bedrijf, systeem of applicatie “PCI-compliant’’ is of dat jouw bedrijf, systeem of applicatie PCI-compliant moet zijn? Soms komt men dan niet verder dan de afkorting (Payment Card Industry) en dat het iets met betalingen van doen heeft, maar realiseert men zich onvoldoende wat het nu echt betekent. In een serie van blog-posts zullen we veel dieper ingaan op de wereld achter PCI. Om te beginnen zullen we kijken welke PCI-standaarden er allemaal zijn en wie wanneer aan welke standaarden moet voldoen. In volgende blogberichten gaan we dieper in op de uitdagingen om gecertificeerd te worden en de toekomstige ontwikkelingen.
PCI DSS
De PCI Security Standards Council is in 2006 het initiatief geweest van een aantal creditcardmaatschappijen om de fraude met creditcards te verminderen. Hiertoe wordt besloten om de DSS (Data Security Standard) te definiëren. Deze standaard definieert eisen om gevoelige betalingsgegevens zo goed mogelijk te beschermen en is van toepassing op alle partijen in de betaalketen. Het is dus relevant voor banken, (web) retailers en partijen die het betalingsverkeer verzorgen. Met andere woorden, alle partijen die op een of andere manier in aanraking komen met deze gevoelige gegevens:
PCI PTS
Al jaren voordat de PCI-organisatie werd opgericht bestond er een andere belangrijke standaard ten behoeve van de beveiliging van het betalingsverkeer: de Visa PIN Security Requirements. Het beheer van deze standaard, met de focus op de cryptografische beveiliging van PIN-codes, is later onder de PCI-organisatie gekomen onder de naam PIN Transaction Security (PTS). De oplettende lezer zal opmerken dat PIN-codes ook in scope zijn van PCI DSS. Dat is waar, maar in DSS wordt niet veel meer genoemd dan dat PIN-codes (ook vercijferd) niet opgeslagen mogen worden. De scope van PTS is heel specifiek de encryptie van PIN-codes met behulp van cryptografische hardware en alle (sleutel)beheersprocessen die daarbij komen kijken. Deze standaard is met name relevant voor banken en andere partijen die betrokken zijn bij de verwerking van betaaltransacties.
PCI PTS HSM
Zoals gezegd is cryptografische hardware een belangrijke component in de betaalketen. Dit soort hardware is enerzijds speciaal ontworpen voor veilige opslag van sleutels en anderzijds voor het uitvoeren van cryptografische berekeningen.
PCI maakt onderscheid tussen HSM’s (Hardware Security Module) en andere cryptografische hardware (zie hieronder). HSM’s worden specifiek ingezet in de backoffice systemen van banken en andere partijen die betrokken zijn bij de verwerking van betaaltransacties. Dit zijn zogenaamde “payment HSM’s”. Er bestaan ook meer generieke HSM’s, maar deze vallen niet binnen de scope van PCI PTS.
Waar DSS het gebruik van HSM’s niet vereist, doet PTS dat namelijk wel. Payment HSM’s moeten voldoen aan één van de twee bekende standaarden: FIPS140-2 van NIST en PCI’s eigen PTS-HSM.
Net als PTS zijn deze standaarden vooral relevant voor banken en andere partijen die betrokken zijn bij de verwerking van betaaltransacties, en uiteraard ook voor fabrikanten van HSM’s.
PCI PTS POI
Een ander type cryptografische hardware heeft de wat duistere naam Point-of-Interaction (POI).
Dit zijn apparaten waarop PIN-codes ingegeven kunnen worden, maar ook apparaten die alleen worden gebruikt voor het uitlezen van betaalpassen of creditcards. Denk dan met name aan de gegevens die onder DSS vallen. In de praktijk gaat het hier dus om geldautomaten en betaalautomaten.
Net als PTS zijn deze standaarden vooral relevant voor banken en andere partijen die betrokken zijn bij de verwerking van betaaltransacties, en uiteraard ook voor fabrikanten van POI’s.
PCI Point to Point Encryption
Deze standaard (ook P2PE genoemd) ligt duidelijk in het verlengde van DSS. Het heeft betrekking op het vercijferen van de in DSS gespecificeerde gevoelige gegevens. En wel zo dat encryptie end-to-end (van betaalterminal tot HSM) wordt toegepast, zodat de gevoelige gegevens nergens nog in klare tekst (niet vercijferd) aanwezig zijn. De doelgroep van deze standaard is gelijk aan die van DSS plus leveranciers van dit soort oplossingen.
PCI Software-based PIN Entry on COTS
De laatste PCI-standaard die ik hier wil noemen is de meest recente (januari 2018) die betrekking heeft op het invoeren van PIN-codes op generieke apparaten zoals smartphones en tablets, die steeds meer gebruikt worden als kassa-systemen in winkels. De standaard is vooral bedoeld voor leveranciers van dit soort oplossingen.
Tot slot
De wereld van PCI is groot en complex. Het goede nieuws is dat niet ieder bedrijf of instelling dat ook maar iets doet met betalingen volledig PCI-gecertificeerd moet worden. Gekeken naar het aantal partijen dat aan één van de PCI-standaarden moet voldoen is DSS het meest relevant. Maar leveranciers van componenten van de betaalinfrastructuur hebben het meest te maken met PTS en PTS HSM.
In de volgende blog-post zullen we aandacht besteden aan de uitdagingen die deze standaarden bieden om gecertificeerd te worden en te blijven.
Alvast meer weten? Neem dan contact op met Avensus High Grade Security.
