- Door
- Rashid Niamat
- geplaatst op
- 14 februari 2013 08:01 uur
Zolang als er sprake is van cloud zijn er meningen en adviezen over de betrouwbaarheid en veiligheid van alle diensten die dat label dragen. Het is daarbij goed elke keer dat er een advies wordt gegeven te kijken naar de partij die dit doet, want objectiviteit is geen vast gegeven en moedwillig FUD verspreiden, komt helaas ook vaak voor.
Met die voorkennis is het goed het meest recente advies van de PCI Security Standards Council over cloudcomputing te lezen (guidance for securing payment card data in cloud environments – PDF link). De PCI-SSC is een van de commissies van de PCI, een wereldwijd opererende ‘council’ waarin creditcardmaatschappijen, banken, technology vendors en veiligheidsexperts samenwerken. Deze club is dus niet uit op het zaaien van verwarring. Doel is juist op basis van samenwerking en best practices te komen tot veiligere omgevingen voor transacties met creditcards.
Het cloudadvies is bedoeld om alle partijen in de keten die bestaat rond creditcards, te adviseren over het gebruik van de cloud van derde partijen. Het gaat daarmee om zaken als het kiezen van betrouwbare outsourcing partijen, inzichtelijk maken waar de data echt staat en natuurlijk het vooraf grondig onderzoeken van de veiligheidsmaatregelen die elke partij heeft genomen en de samenwerking tussen partijen. Daarmee beschrijft dit document dus iets compleet anders dan de recente publicatie van De Nederlandse Bank over het gebruik van de cloud, wat zich namelijk bepertk tot Office365-achtige diensten.
Het PCI-advies klinkt weinig schokkend, de meeste partijen die ‘iets’ doen met online betalingen weten allang dat er aanvullende eisen door banken of de andere financiële schakels in het proces gesteld worden, dus waarom nu de extra specifiek voor cloud? Als je daarbij ook nog eens nagaat dat de PCI een voornamelijk Amerikaans gezelschap is is het zelf nog opmerkelijker. Was Amerika immers niet het land met een blind vertrouwen in de cloud als de oplossing voor tal van problemen?
De PCI SSC heeft veel vertrouwen in de cloud, maar is de afgelopen periode geconfronteerd met voorvallen waardoor partijen niet meer voldeden aan compliance regels. Dat heeft, zeker in de financiële sector, mogelijk vervelende gevolgen, waarbij persoonlijke aansprakelijkheid van bestuurders wel het toppunt is.
Incidenten en nieuwe inzichten hebben ertoe geleid dat men de bestaande regels voor traditionele outsourcing naast die van outsourcing naar de cloud heeft gelegd en zo zijn er hiaten zichtbaar geworden. In de vakpers zijn voorbeelden verschenen van partijen die afzonderlijk voor hun deel van het storage en transport van data wel PCI compliant, maar dat als keten niet waren. Een ander issue waar de PCI-werkgroep mee geconfronteerd werd, is het ontbreken van 100% heldere definities voor de verschillende cloudservices. Wat dit PCI-document dus lijkt te doen, is reageren op een marktsituatie waarin alles spelers – dus zowel aan vraag- als aan aanbodzijde – de complexiteit niet altijd goed overzien.
En wat is de link met Nederland? Ook als is het document pas een week geleden in de VS gepubliceerd de impact is op termijn wereldwijd. Dus mocht je op enige wijze onderdeel zijn van een keten waar creditcardgegevens worden opgeslagen, verwerkt, getransporteerd: lees goed wat er staat. Vroeg of laat raakt het ook jou business, want de PCI-adviezen zijn in de praktijk namelijk alles behalve vrijblijvend.