In het dashboard van Trust Guard zijn rapporten volgens verschillende branchestandaarden beschikbaar. Denk hierbij aan PCS DSS, GDPR, ISO27001, OWASP, HIPAA, SOx en NIS2. Zo kunt u in één oogopslag zien of u voldoet aan de vereisten die uw branche aan u stelt.
Vóór 2004 hadden alle kaartuitgevers hun eigen standaard om ervoor te zorgen dat de merchants een minimaal niveau van beveiliging bereikten bij het opslaan, verwerken en verzenden van kaarthoudergegevens. Het was moeilijk voor merchants die meerdere kaarten van verschillende kaartuitgevers gebruikten om te voldoen aan de verschillende standaarden.
De belangrijkste creditcardorganisaties hebben een gezamenlijke inspanning geleverd, wat resulteerde in de release van versie 1.0 van PCI DSS (Payment Card Industry Data Security Standard) in december 2004. MasterCard, American Express, Visa, JCB International en Discover Financial Services hebben in september 2006 de PCI SSC (Payment Card Industry Security Standards Council) opgericht als een administratie / bestuursorgaan dat de ontwikkeling van PCI DSS bevordert. Onafhankelijke / particuliere organisaties kunnen na correcte registratie deelnemen aan de ontwikkeling van PCI.
De PCI DSS standaard is ontwikkeld om de controle over kaarthoudergegevens te vergroten en om creditcardfraude te verminderen. PCI DSS wordt wereldwijd gevolgd en geïmplementeerd. De nieuwste versie van PCI DSS is 3.2.1 en werd uitgebracht in mei 2018. De PCI Data Security Standard specificeert twaalf vereisten om te voldoen aan de standaard. Deze zijn georganiseerd in zes logisch gerelateerde groepen, genaamd “besturingsobjectieven”.
De zes groepen zijn:
1. Bouw en onderhoud een beveiligd netwerk en beveiligde systemen
2. Bescherm kaarthoudergegevens
3. Onderhoud een management programma voor kwetsbaarheden
4. Implementeer sterke toegangscontrolemaatregelen
5. Controleer en test netwerken regelmatig
6. Zorg voor een informatiebeveiligingsbeleid
Kwetsbaarheidsmanagement is de cyclische werkmethode om softwarekwetsbaarheden te identificeren, classificeren, prioriteren, corrigeren en te verzachten. Kwetsbaarheidsbeheer is een integraal onderdeel van computerbeveiliging en netwerkbeveiliging. Kwetsbaarheden kunnen worden ontdekt met een vulnerability scanner, die een computersysteem analyseert en zoekt naar bekende kwetsbaarheden, zoals open poorten, onveilige softwareconfiguraties en gevoeligheid voor malware-infecties.
In het geval van een inbreuk op de beveiliging, zal een gecompromitteerd bedrijf dat niet PCI DSS compliant was op het moment van schending, aanvullende straffen, zoals boetes opgelegd krijgen. Ter informatie: de handhaving en naleving van de PCI DSS en de vaststelling van boetes worden uitgevoerd door de afzonderlijke kaartuitgevers en niet door de Council. Vragen op dit gebied moeten worden gericht aan de kaartuitgevers.
De vulnerability-scan van Trust Guard wordt uitgevoerd door een door PCI Security Standard Council goedgekeurd scanbedrijf en zal samen met de zelfbeoordelingsvragenlijst (SAQ) de PCI-conformiteit voor niveau 2, 3 en 4 bewijzen.
In mei 2016 is de AVG in werking getreden en bedrijven hebben tot 25 mei 2018 de tijd gekregen om hun bedrijfsvoering met de AVG in overeenstemming te brengen. De General Data Protection Regulation (GDPR) heeft invloed op alle bedrijven in Europa die persoonlijke data opslaan. Deze wetgeving reguleert hoe bedrijven dienen om te gaan met persoonlijke gegevens, technisch en organisatorisch.
Wanneer een onderneming niet voldoet aan de regels van AVG/GDPR kan de maximale boete 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet zijn, waarbij de hoogste variant geldt.
Op technisch gebied kan Trust Guard hulp bieden bij de AVG/GDPR. Met onze scan testen wij op vele punten of uw website en/of netwerk veilig is. Hiervan kunt u een pdf rapport maken als bewijs dat u er alles aan doet om te voldoen aan AVG/GDPR.
De oorsprong van de ISO27001 certificering ligt in de Engelse “Code of Practice for Information Security Management”. Hierin wordt verwezen naar een speciaal management systeem voor informatieveiligheid en wordt gespecificeerd hoe u security risico’s aantoonbaar kunt beheersen.
De ISO27001 norm bevat meerdere aspecten met betrekking tot informatiebeveiliging, waaronder systeem- en softwareontwikkeling en onderhoud (documentatie, processen). De norm stelt dat u een scope en beleid definieert, een risicoanalyse uitvoert, voor gevonden risico’s maatregelen selecteert en deze implementeert en beheert.
Het is een continu proces om de ISO27001 certificering te behalen en te behouden. Met de ISO27001 certificering bent u ‘in control’ voor wat betreft uw security risico’s.
Bij het inventariseren van de risico’s die u loopt met uw netwerk kan de Trust Guard veiligheidsscan u helpen. Wij scannen uw netwerk en informeren u over de risico’s die u loopt en mogelijke oplossingen. Tevens kunt u een rapport aanmaken dat de risico’s volgens deze standaard inzichtelijk maakt.
Het Open Web Application Security Project, of OWASP, is een internationale non-profit organisatie die zich richt op de beveiliging van webapplicaties. Hun missie is om de beveiliging van software inzichtelijk te maken, zodat individuen en organisaties weloverwogen beslissingen kunnen nemen met betrekking tot hun beveiliging. Het bekendste OWASP project is de OWASP Top 10.
De OWASP Top 10 is een rapport dat regelmatig wordt bijgewerkt en waarin de aspecten voor de beveiliging van webapplicaties wordt beschreven. De nadruk ligt op de 10 belangrijkste risico’s. Het rapport wordt samengesteld door een team van beveiligingsexperts van over de hele wereld. OWASP verwijst naar de Top 10 als een ‘bewustwordingsdocument’ en zij bevelen aan dat alle bedrijven het rapport opnemen in hun processen om beveiligingsrisico’s te minimaliseren en/of te beperken.
De beveiligingsscan van Trust Guard scant meerdere kwetsbaarheden, waaronder de 10 belangrijkste risico’s die zijn gedefinieerd door de OWASP Top 10 en kan een rapport genereren met de bevindingen van de scan op basis van die Top 10.
De Health Insurance Portability and Accountability Act (kortweg HIPAA) is Amerikaanse wetgeving uit 1996 voor de gezondheidssector. De HIPAA is in Europa vooral bekend vanwege de privacybescherming die hierin uitdrukkelijk is geregeld voor de zorgsector.
In deze Act wordt een aantal standaard protocollen voor gegevensoverdracht beschreven. De “Security Rule” beschrijft de normen ten aanzien van informatiebeveiliging, waarbij procedurele, technische en fysieke beveiligingsmaatregelen worden voorgesteld.
De HIPAA reguleringen zijn bepalend geweest voor ontwikkelingen rond de privacybescherming. De ontwikkeling van technische beveiligingsmaatregelen in het bijzonder is door HIPAA op gang gebracht en de bewustwording rond het realiseren van adequate privacybescherming zou vermoedelijk aanzienlijk minder snel tot stand zijn gekomen.
Met betrekking tot het controleren van de veiligheid van uw netwerk kan de Trust Guard veiligheidsscan bijdragen door kwetsbaarheden te signaleren en oplossingen te bieden. Tevens kan het HIPAA rapport ondersteuning bieden om aan te tonen dat er alles aan gedaan is om de gegevens te beveiligen.
De SOx-standaard is afgeleid van de wetsvoorstellen van senator Paul Sarbanes en senator Michael Oxley. In eerste instantie was er weinig ondersteuning voor de voorstellen, maar door de vele schandalen in 2002 (Enron, Worldcom, AOL, etc) zijn ze in aangepaste vorm aangenomen. Doel van de wet is om fraude te voorkomen. Helaas blijft de menselijke factor te bepalend om fraude volledig te voorkomen.
Bijzonder aan de wetgeving is het feit dat er voor de directie gevangenisstraffen en geldboetes dreigen wanneer zij niet aan de voorwaarden van deugdelijk bestuur voldoen. Ook niet-Amerikaanse bedrijven moeten voldoen aan de SOx-wetgeving wanneer deze een notering hebben op een Amerikaanse beurs.
De Sarbanes-Oxley wet (SOx) is vooral bedoeld voor grote bedrijven die hun eigen software ontwikkelen en gebruiken. Voorheen deden deze bedrijven ook al interne controle, maar door de SOx-wetgeving wordt dit verregaand geformaliseerd. Een bijzondere plaats in het geheel neemt de IT in. Als de door het bedrijf geschreven software de cijfers oplevert waar de accountants hun gegevens uit betrekken, dan zullen de accountants zeker vragen stellen bij het tot stand komen van deze software. In veel gevallen zal het bedrijf moeten aantonen dat de software op een deugdelijke wijze is beheerd.
Hierbij kan Trust Guard bijdragen door een rapport aan te bieden die inzicht geeft met betrekking tot de IT kwetsbaarheden (intern en extern).
In het tijdperk van voortdurende digitalisering ondergaat de samenleving diverse invloeden die de veiligheid van maatschappij en economie onder druk zetten. Denk hierbij aan de COVID-19-pandemie, de Oekraïne-oorlog, de toenemende gevolgen van klimaatverandering, en een exponentiële groei van cyberaanvallen, zoals phishing, malware en ransomware. Deze ontwikkelingen hebben geleid tot een veranderend landschap waarin Europese lidstaten de noodzaak erkennen om hun digitale en economische weerbaarheid te versterken.
In 2016 introduceerde de Europese Unie de Directive on Security of Network and Information Systems (NIS Directive). Deze eerste wetgeving was gericht op het verhogen van cybersecurity en legde de focus op essentiële dienstverleners, waaronder water-, energie- en telecombedrijven, de transportsector, gezondheidszorg en financiën. Als antwoord op de voortdurende digitale evolutie en de bredere impact op diverse sectoren, werd later de NIS2-richtlijn gelanceerd als een uitbreiding van deze initiële wetgeving.
De NIS2-richtlijn omvat diverse belangrijke elementen:
Het is van cruciaal belang om te bepalen of uw bedrijf als essentiële of belangrijke dienstverlener wordt beschouwd. Essentiële diensten zijn van vitaal belang voor het functioneren van de samenleving, terwijl belangrijke diensten een aanzienlijke impact hebben op gebruikers of andere bedrijven. Indien dit het geval is, zijn er specifieke verplichtingen waaraan moet worden voldaan.
Non-compliance kan leiden tot aanzienlijke boetes, oplopend tot 10% van de jaaromzet, met een maximum van 20 miljoen euro.
Hoewel er nog geen definitieve einddatum is vastgesteld, wordt momenteel gesproken over eind 2024 als mogelijke deadline waarop organisaties moeten voldoen aan de vereisten van de NIS2-richtlijn. Het is van groot belang om op de hoogte te blijven van eventuele specifieke deadlines die door de overheid worden vastgesteld.
Scan nu gratis vrijblijvend uw website en bescherm de privacy gegevens van uw klanten.
Veenweg 158 – B
3641 SM MIJDRECHT
Nederland
+31 (0)297 – 381 303
info@trustguard.eu
Business to You
Exclusive partner Trust Guard EMEA