biometrieInterview met futurist Marcel Bullinga in rondetafel-gesprek over veiligheid en creditcards in Finance Innovation magazine oktober 2016

Met een regelpakket van meer dan driehonderd eisen, uitgebreide audits en zware maatregelen bij non-compliance is de impact van nieuwe regels voor bescherming van creditcardgegevens groot. Maar ook brengt PCI-DSS de veiligheid en innovatie naar een hoger plan, zo blijkt tijdens een ronde tafel met verschillende experts bij Basefarm.

Een mooi Engels gezegde is dat je een boek niet op z’n kaft moet beoordelen (‘Don’t judge a book by its cover’). Dit geldt zeker voor de wat onbeduidende term PCI-DSS. Hierachter schuilt regelgeving met grote impact op de betaalindustrie. PCI-DSS – kort voor Payment Card Industry Data Security Standard – is hoe de grote creditcardbedrijven zoals MasterCard en Visa iedereen die met data van kaarthouders werkt verplicht deze gegevens te beveiligen. Het gaat hier om een complex pakket aan eisen waar banken, (e-)winkels en serviceproviders zich aan dienen te houden.

Consument geeft niet om dataprotectie
In de grote publieksmedia is PCI-DSS nauwelijks een issue. Het technische karakter ervan en het gegeven dat het om de zoveelste veiligheidsstandaard gaat, spelen een rol. Maar het grote publiek lijkt ook niet om privacy en dataprotectie te geven. “Gaandeweg zal dat nog wel veranderen”, denkt trendwatcher en futuroloog Marcel Bullinga. “Er zullen nieuwe oplossingen verschijnen en ook de betaalindustrie zal ‘privacy embedded’ alternatieven gaan bieden.”

Niet meer te managen 

Tijdens de roundtable ontspint zich een discussie over de toekomst van regelgeving voor dataprotectie in de financiële sector. Nu al schrijft PCI een pakket
voor van meer dan driehonderd regels. Regulering zoals deze nu bestaat, is een doodlopende weg, vindt Bullinga. “Er is zoveel complexiteit gecreëerd dat het eigenlijk niet meer te managen is. We zouden moeten nadenken over simpelere manieren om dingen te doen. En dan denk ik aan zelfbewuste data en intelligente digitale structuren. Ook zou de betaalindustrie een kaartloze toekomst moeten overwegen, met kaartgegevens gekoppeld aan de persoon zelf, met biometrische authenticatie waarmee nauwelijks te frauderen is.”

Coachende rol
De ronde tafel over PCI-DSS vindt plaats bij IT-dienstverlener Basefarm op Schiphol-Rijk. Basefarm, gespecialiseerd in beheer en hosting van bedrijfskritische applicaties, richtte een ‘PCIcompliant’-platform in voor klanten die gegevens van betaalkaarten verwerken. Patrick Tahiri werkt als Compliance Manager voor Basefarm met deze bedrijven. Een taak die niet alleen technische kennis behoeft, maar ook veel overtuigingskracht omdat
lang niet in elke organisatie het belang van PCIcompliance duidelijk is. “Mijn rol is eigenlijk als die van een coach die de adoptie, implementatie en
onderhoud van PCI in organisaties faciliteert.” Met hoge boetes voor non-compliance, kosten voor forensisch onderzoek bij datalekken en het opschorten van creditcardbetalingen, is PCI-DSS gerust bedrijfskritisch te noemen. Voor Chris Martlew, CTO voor betaalbedrijf Payvision, is het ook business as usual. “Voor ons is de impact van PCI gigantisch of juist nihil, afhankelijk van hoe je het bekijkt. Gigantisch omdat het hier om meer dan driehonderd regels gaat waar we aan moeten voldoen. Maar de impact is ook nihil, omdat veiligheid voor ons toch al het allerbelangrijkste is. Het zou ons einde betekenen als we klantdata zouden verliezen.” De consument vindt er dus weinig van, maar op de bedrijfsagenda neemt dataprotectie een hoge plek in. “Op dit moment is ons bedrijf zelfs gebouwd rondom PCI”, stelt Martlew. “Deels omdat wij nu eenmaal aan deze eisen moeten voldoen, maar voor het allergrootste deel is het gewoon common business logic.” Een logica die Tahiri bedrijven ook ziet omarmen, wanneer zij verder kijken dan alleen de lijst van eisen alleen. “Wat ik belangrijk vind is dat het hen duidelijk is dat het toepassen van die eisen één ding is, en dat het vooral gaat om de intentie van de PCI-benadering en het systeem van checks and balances dat daarbij hoort.”

Allerminst perfect
Hoewel het de intentie is van PCI om betalingsverkeer zo veilig mogelijk te maken en bedrijven verantwoordelijk te stellen voor de bescherming van persoonlijke data van kaarthouders, is de standaard allerminst perfect, vindt Martlew. “Sommige regels zijn echt waanzin. Neem bijvoorbeeld de eis dat bedrijven niet langer het netwerkprotocol TLS 1.0 mogen gebruiken en moeten overstappen naar TLS 1.2. Veel banken en financiële instituten kunnen dat niet zomaar omdat zij afhankelijk zijn van oude systemen.” Bedrijven moeten oplossingen vinden om de standaard op te nemen in hun systemen. “Dat is ook een kans voor innovatie”, vindt Tahiri. “Want hierdoor ontstaan ideeën waar het hele bedrijf van profiteert en die veel breder toepasbaar zijn dan het beveiligen van creditcarddata alleen. Het brengt de veiligheid van je IT naar een hoger plan.” Martlew denkt dat met name kleine bedrijven er vaker voor zullen kiezen om meer te outsourcen. “De enorme investeringen, alleen al voor de PCI-audits en consultancykosten, brengen veiligheid weliswaar naar een hoger plan. Maar het is ook een whole different ball game. Bedrijven zullen er vaker voor kiezen om niet meer zelf creditcardgegevens te verwerken.”