Nieuws
IBM annonceert de eerste end-to-end data beveiligingsoplossing voor
betaalkaarten
Nieuw vijffasenprogramma waarmee klanten kunnen voldoen aan alle 12
PCI-vereisten
Amsterdam, 1 november 2007 - IBM (NYSE: IBM) heeft vandaag een nieuw
programma geannonceerd dat producten en diensten biedt waarmee klanten
PCI DSS (Payment Card Industry Data Security Standard) kunnen naleven.
In tegenstelling tot aanbiedingen van de concurrentie is het
uitgebreide programma ontworpen om bedrijven door het gehele
PCI-nalevingsproces te leiden, van evaluatie en naleving tot
certificering, waarbij ze worden geholpen te voldoen aan alle 12
PCI-vereisten voor het beschermen van betaalkaartgegevens van klanten.
PCI is een wereldwijde standaard die van toepassing is op elk bedrijf
dat creditcardgegevens verwerkt, overbrengt of opslaat. De standaard
is opgesteld door creditcardbedrijven om organisaties te helpen bij
het voorkomen van beveiligingsinbreuken. Elk bedrijf dat tegenwoordig
creditcardgegevens verwerkt kan het slachtoffer worden van
internetcriminaliteit, resulterend in de diefstal van klantengegevens.
Als bedrijven de PCI-standaard niet naleven, kan hun bevoegdheid om
creditcardgegevens te verwerken worden ingetrokken of kunnen zij
worden geconfronteerd met hogere verwerkingskosten. Gelet op de
verstrekkende gevolgen die beveiligingsrisico's kunnen hebben voor
organisaties, riskeren bedrijven die de standaard niet naleven een
aanzienlijk financieel en klantenverlies, alsmede negatieve gevolgen
voor hun merkreputatie.
"PCI is een van de grootste IT uitdagingen van deze eeuw," zegt Doug
Medina van Hughes Network Systems, een wereldwijde leider in breedband
satelliet netwerken and services. "Vele leveranciers en consultants
claimen een oplossing te hebben, maar hebben deze slechts ten dele.
Door te werken met IBM, is Hughes in staat geweest alle PCI compliance
deadlines te halen. We zijn er van overtuigd dat we de komende
deadlines even eenvoudig zullen halen, doordat we weten dat IBM de
expertise, vaardigheden en efficiency in huis heeft om ons ook te
assisteren bij toekomste PCI vraagstukken."
Ondanks de risico's van boetes en een recente stijging in het aantal
opvallende gegevensinbreuken, wordt de mate van PCI-naleving geschat
op minder dan 50 procent. Visa USA geeft volgens een rapport van
bedrijfsanalysebureau Gartner, Inc., zelfs aan dat, vanaf juli 2007,
slechts 39 procent van de winkelbedrijven op niveau 1 (gedefinieerd
als degenen die meer dan 6 miljoen transacties per jaar verwerken) en
33 procent van de bedrijven op niveau 2 (gedefinieerd als degenen die
tussen de 1 miljoen en 6 miljoen transacties per jaar verwerken) de
PCI DSS-standaard naleven. 1
"Zoals veel winkelbedrijven de laatste jaren hebben gemerkt, volstaat
het niet langer om te voldoen aan enkele of aan een groot deel van de
verplichte PCI-vereisten", aldus Kristin Lovejoy, director of strategy
voor Governance and Risk Management bij IBM. "Als wereldleider in
beveiligingstechnologie en consultancy-services, heeft IBM de kennis
en ervaring om een uitgebreide oplossing te bieden waarmee bedrijven
kunnen voldoen aan de volledige PCI-standaard".
Alleen IBM helpt organisaties te voldoen aan alle 12 vereisten
De PCI DSS-standaard (Data Security Standard) is een set van 12
vereisten voor de beveiliging van betaalkaartgegevens. Deze vereisten
variëren van het installeren en onderhouden van firewall-configuraties
tot het versleutelen van kaarthoudersgegevens en het onderhouden van
geschikte beleidsdefinities en testprocedures.
Om klanten te helpen voldoen aan alle 12 vereisten, biedt de IBM
PCI-oplossing consultancyservices voor de analyse van
nalevingstekorten, herstelprocedures, validering, permanent testen en
rapporteren, en daarnaast een reeks producten waarmee organisaties
hulp krijgen bij het uitvoeren van elk aspect van de
beveiligingsplanning en de beheer- en nalevingsrapportage. IBM biedt
bv. beveiligingsinformatie en eventbeheer, opslagbeheer,
versleuteling, identiteits- en toegangsbeheer, wijzigings- en
configuratiebeheer, systemen voor het tegengaan van inbreuken, het
testen van toepassingslagen en software voor het bewaken van
gebruikersactiviteiten. Bovendien is IBM één van slechts drie
bedrijven ter wereld die wereldwijd gecertificeerd zijn voor het
uitvoeren van PCI-evaluaties, driemaandelijkse PCI-netwerkscanning,
PCI-evaluaties voor betalingstoepassingen en PCI-services voor
incidentenrespons.
IBM implementeert de PCI-oplossing via een vijffasenprogramma dat de
volgende elementen bevat:
Evaluatie - Dit omvat een algehele "security health check" om inzicht
te krijgen in gebieden die in aanmerking komen om gericht te worden
aangepakt.
Ontwerp - Deze fase behelst de ontwikkeling van een
beveiligingsstrategie, beleidsdefinities, standaarden en procedures,
evenals planning van incidentenrespons, ontwerp van
beveiligingsarchitectuur en implementatieplanning.
Implementatie - Deze fase is gericht op de ingebruikname en
optimalisering van beveiligingssoftware en -hardware ter beveiliging
van de klantengegevens, zowel dynamisch als statisch, evenals op
migratieservices en het verwijderen van kwetsbare punten.
Beheer - In deze fase biedt IBM permanente ondersteuning door middel
van softwareoplossingen voor beveiligingsbewaking en -beheer, alsmede
services voor personeelsaanvulling en noodrespons, forensische analyse
en analyse van bedreigingen.
Opleiding - IBM biedt regelmatig productcursussen en trainings- en
bewustwordingsprogramma's op het gebied van beveiliging, zodat klanten
hun medewerkers goed kunnen voorbereiden op de naleving van PCI op de
lange termijn.
Naast de huidige product- en serviceaanbiedingen neemt IBM ook
specifieke PCI-nalevingsmogelijkheden op in haar IT Governance and
Risk Management-portfolio. IBM Internet Security Systems heeft
bijvoorbeeld onlangs het product IBM Proventia Network Enterprise
Scanner aangevuld met verschillende PCI-specifieke
kwetsbaarheidcontroles om de evaluatie van netwerkkwetsbaarheden te
vereenvoudigen als onderdeel van een PCI-nalevingsprogramma. Bovendien
biedt één product, de samengebundelde risicobeheeroplossing IBM
Proventia Network Multifunction Security, alleen al de mogelijkheid om
de naleving van 10 van de 12 PCI-beveiligingsvereisten te bereiken.
IBM Tivoli Compliance Insight Manager, een softwareoplossing die een
audit- en nalevingsdashboard alsmede een rapportage-engine biedt,
bevat nu ook een PCI DSS-module met een reeks rapportsjablonen die
speciaal zijn ontworpen om de beleidsnaleving van een organisatie te
demonstreren. Bovendien bevat de IBM-portfolio nu ook Watchfire
AppScan om het naleven van PCI DSS-verplichtingen te ondersteunen door
het automatiseren van kwetsbaarheids- en penetratietests met
betrekking tot de toepassingslaag om veelvoorkomende en nieuwe
kwetsbaarheden gedurende de hele softwareontwikkelingscyclus te
achterhalen, van ontwikkeling tot operationele activiteiten.
IBM biedt klanten ook de mogelijkheid om hun huidige
mainframe-investeringen te benutten voor PCI-audits. Om te voldoen aan
de eisen van auditors, biedt het mainframe zware
beveiligingsmechanismen, zoals veilige toegangsbeheer- en
versleutelingsoplossingen, alsmede netwerkbeveiligingsfuncties zoals
ingebouwde services voor detectie van inbreuken en agents voor het
netwerkbeveiligingsbeleid. Samen kunnen deze elementen de diefstal van
identiteitsgegevens zoveel mogelijk helpen voorkomen.
Meer informatie over de IBM-aanbiedingen voor PCI-naleving vindt u op:
www.ibm.com/security/pci
Voor meer informatie over IBM, surf naar: www.ibm.nl
Voor meer informatie kunt u contact opnemen met:
Gerjan Vasse
IBM Corporate Communications
06-20226356
gerjan_vasse@nl.ibm.com
IBM