Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

De impact van weer een cloudadvies

  • Door
  • Rashid Niamat
  • geplaatst op
  • 14 februari 2013 08:01 uur

PCI-compliant-logoZolang als er sprake is van cloud zijn er meningen en adviezen over de betrouwbaarheid en veiligheid van alle diensten die dat label dragen. Het is daarbij goed elke keer dat er een advies wordt gegeven te kijken naar de partij die dit doet, want objectiviteit is geen vast gegeven en moedwillig FUD verspreiden, komt helaas ook vaak voor.

Met die voorkennis is het goed het meest recente advies van de PCI Security Standards Council over cloudcomputing te lezen (guidance for securing payment card data in cloud environmentsPDF link). De PCI-SSC is een van de commissies van de PCI, een wereldwijd opererende ‘council’ waarin creditcardmaatschappijen, banken, technology vendors en veiligheidsexperts samenwerken. Deze club is dus niet uit op het zaaien van verwarring. Doel is juist op basis van samenwerking en best practices te komen tot veiligere omgevingen voor transacties met creditcards.

Het cloudadvies is bedoeld om alle partijen in de keten die bestaat rond creditcards, te adviseren over het gebruik van de cloud van derde partijen. Het gaat daarmee om zaken als het kiezen van betrouwbare outsourcing partijen, inzichtelijk maken waar de data echt staat en natuurlijk het vooraf grondig onderzoeken van de veiligheidsmaatregelen die elke partij heeft genomen en de samenwerking tussen partijen. Daarmee beschrijft dit document dus iets compleet anders dan de recente publicatie van De Nederlandse Bank over het gebruik van de cloud, wat zich namelijk bepertk tot Office365-achtige diensten.

Het PCI-advies klinkt weinig schokkend, de meeste partijen die ‘iets’ doen met online betalingen weten allang dat er aanvullende eisen door banken of de andere financiële schakels in het proces gesteld worden, dus waarom nu de extra specifiek voor cloud? Als je daarbij ook nog eens nagaat dat de PCI een voornamelijk Amerikaans gezelschap is is het zelf nog opmerkelijker. Was Amerika immers niet het land met een blind vertrouwen in de cloud als de oplossing voor tal van problemen?

De PCI SSC heeft veel vertrouwen in de cloud, maar is de afgelopen periode geconfronteerd met voorvallen waardoor partijen niet meer voldeden aan compliance regels. Dat heeft, zeker in de financiële sector, mogelijk vervelende gevolgen, waarbij persoonlijke aansprakelijkheid van bestuurders wel het toppunt is.

Incidenten en nieuwe inzichten hebben ertoe geleid dat men de bestaande regels voor traditionele outsourcing naast die van outsourcing naar de cloud heeft gelegd en zo zijn er hiaten zichtbaar geworden. In de vakpers zijn voorbeelden verschenen van partijen die afzonderlijk voor hun deel van het storage en transport van data wel PCI compliant, maar dat als keten niet waren. Een ander issue waar de PCI-werkgroep mee geconfronteerd werd, is het ontbreken van 100% heldere definities voor de verschillende cloudservices. Wat dit PCI-document dus lijkt te doen, is reageren op een marktsituatie waarin alles spelers – dus zowel aan vraag- als aan aanbodzijde – de complexiteit niet altijd goed overzien.

En wat is de link met Nederland? Ook als is het document pas een week geleden in de VS gepubliceerd de impact is op termijn wereldwijd. Dus mocht je op enige wijze onderdeel zijn van een keten waar creditcardgegevens worden opgeslagen, verwerkt, getransporteerd: lees goed wat er staat. Vroeg of laat raakt het ook jou business, want de PCI-adviezen zijn in de praktijk namelijk alles behalve vrijblijvend.

Nog geen reacties

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.