De vrieskou hangt in de lucht, en dat betekent dat de feestdagen weer aanbreken. Dit is een cruciale periode voor veel winkels en horecagelegenheden. Hun eigenaars hopen vurig dat 2017 een topjaar wordt.
Wat de feestdagen dit jaar ook mogen brengen, één ding is zeker: consumenten geven een groot deel van hun geld online uit. Volgens de prognoses zal er in 2017 ruwweg zeshonderd miljard euro in de Europese e-commercemarkt omgaan. West-Europese landen gaan daarbij vanouds aan kop.
Shoppen vanaf mobiele apparaten wint eveneens aan populariteit. Consumenten doen tegenwoordig zelfs inkopen vanaf verschillende apparaten. Zo is het mogelijk dat ze vergelijkend productonderzoek doen op een laptop, de beschikbaarheid raadplegen op hun smartphone en betalen vanaf hun tablet. Met de opkomst van omnichannel winkelervaringen is het belangrijk dat bedrijven de informatie van hun klanten, met inbegrip van creditcardgegevens, veilig houden op alle apparaten en via elk kanaal.
Kaartbeveiliging
Creditcards en bankpasjes zijn in omloop sinds respectievelijk de jaren vijftig en jaren zeventig. In de loop der jaren hebben kaartverstrekkers diverse veiligheidsmaatregelen aan hun passen toegevoegd, van hologrammen tot geavanceerde elektronische functies. Deze maatregelen hebben het moeilijker gemaakt om gestolen of nagemaakte kaarten te gebruiken. Criminelen laten het er echter niet bij zitten. Ze hebben hun focus inmiddels verschoven naar ‘card not present’ (cnp)-aanvallen. Deze hebben het gemunt op telefonische en internettransacties. Met name het laatste kanaal is een populair doelwit als gevolg van de snelle opkomst van e-commerce.
Als reactie op deze groeiende vorm van criminaliteit experimenteren creditcardbedrijven met diverse nieuwe kaartfuncties. Zo zijn er creditcards met een elektronisch display dat om de dertig seconden een nieuwe code genereert. De enige nieuwe functie die tot dusver op brede schaal wordt ingezet, is 3D Secure. Dit is een vorm van two factor-authenticatie. Wanneer een poging wordt gedaan om een online transactie uit te voeren, krijgt de kaarthouder een online invoerscherm te zien dat om een wachtwoord vraagt. Gebruikers die nog geen wachtwoord hebben ingesteld, moeten aanvullende persoonlijke informatie (zoals een geboortedatum) opgeven om een wachtwoord aan te kunnen maken.
Kaartverstrekkers wijzigen niet alleen hun kaarten, maar zoeken ook naar manieren om de fraudedetectie te verbeteren. Het voordeel hiervan is dat dit onzichtbaar is voor de gebruikers, zodat dit hen niet weerhoudt om een aankoop te doen. Een veelbelovende methode is het gebruik van de locatiegegevens van de smartphone van de kaarthouder. Aan de hand hiervan kan worden gecontroleerd of deze inderdaad aanwezig is op het punt waarop de transactie wordt uitgevoerd. Als dat niet het geval is, wordt de transactie geblokkeerd of vraagt het systeem om aanvullende controle-informatie.
Maar het toevoegen van nieuwe beveiligingsfuncties is slechts een deel van het antwoord. Winkeliers moeten voor krachtige beveiligingsmaatregelen zorgen. Als ze dat niet doen, stellen ze de gegevens van hun klanten bloot aan cyberrisico’s. En een datalek kan de feestdagen pas echt verpesten.
Data beschermen
Winkeliers moeten de gegevens beschermen tijdens de transactie, nadat de betaling is voltooid en wanneer ze worden opgeslagen.
Dit zijn mijn belangrijkste aanbevelingen voor winkeliers:
- Let op pogingen tot knoeien met apparaten. Voer regelmatige controles uit op alle apparaten die betalingsgegevens vastleggen. Zo zou u werknemers moeten trainen op het herkennen van tekenen van sabotage. Zorg er daarnaast voor dat ongebruikte apparaten veilig worden opgeslagen.
- Versleutel data op basis van de laatste (want veiliger) methoden. Websites en applicaties moeten worden ontwikkeld op basis van veilige programmeertechnieken en gebruikmaken van de laatste versie van het encryptieprotocol TLS. Voor betalingen in de winkel kan point-to-point encryptie (p2pe) data beschermen op het verkooppunt totdat die een veilige omgeving bereikt waar die kan worden ontsleuteld.
- Zorg ervoor dat alle methoden voor het verwerken van de creditcardgegevens van klanten (en dus ook technologie van externe leveranciers) gebruikmaken van robuuste beleidsregels voor identificatie en toegangsbeheer. Zo moeten alle standaardwachtwoorden worden gewijzigd, moet er krachtige authenticatie worden gebruikt en mogen gebruikers niet elkaars account gebruiken. Klantengegevens moeten niet langer worden bewaard dan strikt noodzakelijk, en mogen alleen worden gedeeld met gebruikers die ze voor hun werk nodig hebben. Dit zijn stuk voor stuk simpele beveiligingsmaatregelen, maar het is verbazingwekkend hoeveel bedrijven deze niet op orde hebben.
- Investeer in je werknemers. Zij kunnen de sterkste troefkaart of zwakste schakel zijn. Bied hen relevante training, zodat zij bedreigingen kunnen identificeren en alarm slaan, en bewaak en meet de effectiviteit van je beveiligingsmechanismen. Dit is van cruciaal belang voor de ontwikkeling van een duurzaam verificatiesysteem dat effectief blijft naarmate de onderneming en het bedreigingslandschap veranderen.
Uit onderzoek blijkt dat cybercriminelen hun pijlen op organisaties van elke omvang richten, en dat slechts één datalek slepende gevolgen kan hebben voor de bedrijfsreputatie. PCI DSS-compliance verkleint de kans op succesvolle cyberaanvallen. Deze standaard voor de beveiliging van creditcardgegevens omvat de bovenstaande en nog vele andere maatregelen.
Het bereiken van PCI DSS-compliance garandeert geen bescherming, maar helpt enorm. Bij alle gevallen van diefstal van creditcardgegevens die sinds 2010 werden onderzocht, voldeed het bedrijf in kwestie niet volledig aan de PCI DSS-eisen op het moment dat het beveiligingsincident zich voordeed.
Het veilig houden van klantgegevens vraagt om meer dan eenmalig slagen voor een beveiligingsaudit. De beveiligingsmechanismen moeten dagelijks worden getest en zowel robuust als veerkrachtig zijn. Elke keer dat klanten een aankoop doen, stellen zij hun vertrouwen in jouw bedrijf. Beschaam dat vertrouwen niet.
