Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 25 reacties
Bron: ZDNet

Nadat eerder meldingen waren binnengekomen van creditcard diefstal bij de winkels Polo Ralph Lauren en DSW, hebben de grote creditcardmaatschappijen winkels nu een ultimatum gesteld, zo laat ZDNet ons weten. Handelaren krijgen tot 30 juni de tijd om de nieuwe PCI beveiligingstandaard te implementeren. Als dit voor die tijd niet lukt, dan kunnen de winkels verschillende straffen verwachten, waaronder geldboetes. De creditcardmaatschappijen zijn al ruime tijd de nieuwe standaard aan het promoten, maar omdat het implementeren ervan een kostbaar proces is, hebben tot nu toe weinig bedrijven die aangenomen. Er moet nieuwe software worden aangeschaft en mensen worden bijgeschoold voordat het bedrijf aan de standaard kan voldoen.

creditcardHet vernieuwde protocol verplicht gebruikers van de creditcardsystemen om onder andere firewalls, encryptie en antivirus software te gebruiken, samen met account checks per kwartaal, netwerkmonitoring en het verbod op het gebruik van standaardwachtwoorden. Om gecertificeerd te worden moeten bedrijven met meer dan 20.000 transacties per jaar hun netwerken elk kwartaal scannen en jaarlijks controleren of ze nog aan de standaard voldoen. Het is overigens onduidelijk of de nieuwe beveiligingsregels de creditcardfraude die afgelopen maand aan het licht kwam had kunnen voorkomen. Bij de 108 filialen van de schoenwinkel DSW waren van ruim 200.000 klanten gegevens ontvreemd. Eerder deze maand bleek dat bij de winkelketen Polo Ralph Lauren van 180.000 klanten persoonsgegevens gestolen was.

Moderatie-faq Wijzig weergave

Reacties (25)

En dan boek je bij het Dorinth in Eindhoven (5 sterren notabene) en dan mailen ze je telefonisch doorgegeven VISA nummer gewoon terug in de bevestiging, naam, verloopdatum en alles! Ze zijn nog hoogst verontwaardigd ook als je er commentaar op maakt.

Vervolgens maken ze een fotokopie van de kaart bij het inchecken, voor en achterzijde, dus inclusief het extra nummertje wat alleen voor niet-in-persoon transacties gebruikt wordt.

Tja, helpt deze beveiliging als zelfs veelontvangers van credit cards als deze er zo mee omgaan?
Net als dat je als klant het gedrag wat je net beschrijft niet hoeft te accepteren en je zo'n bedrijf zelfs voor kan aanpakken, hoef je het ook niet te accepteren dat ze er elektronisch niet goed mee omgaan.

Dat nu niet een maar meerdere grote creditcardmaatschappijen gezamelijk met dit ultimatum komen geeft aan dat niet allen de klanten het zat zijn dat er met ze gespeelt wordt. De creditcardmaatschappijen hebben er zelf nu kennelijk ook last van en wensen niet meegezogen te worden is het wangedrag van een deel van hun gebruikers.

offtopic:
Ik zou zeker schriftelijk een klacht neerleggen bij zowel dat hotel als je creditcardmaatschappij. Dit gedrag kan gewoon echt niet en is precies zo'n voorbeeld van wangedrag waarbij met vertrouwelijke gegevens en beveiliging gespeelt wordt. Laat ze maar voelen dat ze verkeerd bezig zijn.
Het niet al te netjes met creditcard gegevens omspringen werkt gelukkig twee kanten op.

Zit op het moment in de VS en wilde een camera bestellen via internet. Het probleem is dat je op de website je billing-address (dus in Nederland) moet invoeren. En dat past dan niet in die hokjes (je moet een staat selecteren). Bovendien staat er onder dat je alleen met domestic creditcards kunt betalen.

Uiteindelijk was ik het zat en heb ik gewoon mijn creditcard gegevens (nummertjes) icm een willekeurig adres in Amerika ingevuld, en drie dagen later kwam DHL mijn pakje brengen.
Dan was de webwinkel meer geïntereseerd in het geld dan in anti-fraude. Bij de betere winkels zoals newegg.com krijg je dat absoluut niet voor elkaar. Alle gegevens worden gecontroleerd met de creditkaart gegevens, inclusief telefoonnummer. Het naar een ander adres sturen neemt automatisch al 2 extra werkdagen in beslag (de eerste keer), omdat dit handmatig wordt gecontroleerd.

Wat de betere webwinkels ook als optie hebben is dat jij kan opgeven dat er absoluut geen creditkaart info wordt opgeslagen in het database van de webwinkel. Je moet dan wel elke keer opnieuw je creditkaart gegevens invullen bij een volgende bestelling, maar dat heb ik er graag voor over.

En de winkels die dit niet als optie hebben stuur ik altijd een email direct na de bestelling (of voeg het toe aan het commentaat) dat ze mijn creditkaart gegevens per direct moeten verwijderen, nadat betaling gedaan is.
Ook de creditcard maatschappijen hebben in deze boter op hun hoofd want deze moeten m.i. gewoon als eis stellen dat winkels de creditcard gegevens niet permanent op mogen slaan.

Als retailer ben je eigen volslagen idioot om creditcard als betalingsmethode te accepteren, want er worden een hoop kosten en alle risico op je afgewenteld door de creditcard maatschappijen. Elke recente stap van de creditcard maatschappijen hebben niet alleen getracht het gebruik van creditcards veiliger te maken, maar ook meer risico verschoven van zichzelf naar de retailers.

Creditcard maatschappijen zelf zijn bedrijven die met beperkt zeer beperkt risico hele hoge marges weten te behalen.
euhm, bij newegg al een paar keer besteld met mijn 'Belgische' creditcard.
Gewoon vanuit Paypal je betaling doen is de boodschap !
Tja, je kunt natuurlijk ook gewoon stellen dat creditcard boeren een volslagen lek produkt op de markt zetten en de kosten van het dichten van dat lek op anderen willen afschuiven.
Laat ze hun produkt maar zo aanpassen dat bedrijven in het midden tussen de creditcard boer en de klant geen kritieke gegevens over die klant meer hoeven en kunnen opslaan.
De creditcard gegevens worden gestolen aan de kant van de retailers. Het lek zit hem dus bij de slecht beveiligde servers van DSW e.d.. niet bij Mastercard.

Of is Debian ook schuldig als jouw Linux machine gehackt wordt omdat je ssh met root/root op poort 22 open hebt staan?

Lijkt me niet.....De creditcard bedrijven zijn de bedrijven die opdraaien voor de kosten van de fraude, niet de bedrijven waar de fraude plaats vindt! Ik geef ze dus groot gelijk dat ze dit willen doen.
Het lek zit hem niet bij de retailers maar bij de manier waarop een credit card werkt. Alle gegevens die nodig zijn voor een betaling zijn openbaar. Zelfs een pincode is niet nodig. Vergelijk de Credit Card eens met je bankpas.

Als ik bij de AH mijn pinpas gebruik slaat de AH geen gegevens van mij op. De beveiliging van AH kan zo lek als een mandje zijn, zolang men daar niet doelbewust apparatuur gaat installeren om mijn pincode en bankpas te hacken ben ik gewoon veilig. Zelfde geldt voor elk willekeurig restaurant. Gebruik ik echter een credit card bij een restaurant of winkel ziet de ober/verkoper alle relevante gegevens van mijn creditcard en kan hij hier direct misbruik van maken.

De credit card is dus vele malen onveiliger dan een pinpas. Dat is niet de schuld van de winkel of restaurant maar van de credit card maatschappij. Laat hen dat ook maar oplossen.

Als je het met linux wilt vergelijken: Stel dat Debian standaard een telnet sessie toestaat met root/root en het onmogelijk is dit uit te zetten. Is Debian dan ook nog onschuldig als jou PC gehacked wordt?
Het probleem zit gewoon bij de creditcardbedrijven zelf. De enige manier om fraude op te lossen is door middel van een pincode. Ze doen dit niet omdat ze bang zijn klanten te verliezen. Alleen in Nederland wordt er al een paar minjoen euro per jaar gefraudeerd (ik heb gewerkt bij Interpay).
Je beseft je dat je zegt "het systeem moet anders in elkaar zitten." en dat je daarmee het hele idee achter de creditcard dus de das om doet?
Het idee achter de creditcards is dat je met zo min mogelijk middelen zo vrij mogelijk bent in betalen en er toch garanties zijn om het veilig te houden.
Juist omdat je niet verplicht bent om enkel deze vorm van betalen te gebruiken en je de keuze hebt om accoord te gaan met deze vorm is het een succes. Het probleem zit daarmee niet in het systeem maar hoe de bedrijven die van de creditcarddienst gebruik maken die veiligheid negeren. Dat is te vergelijken met bedrijven die geen moeite nemen om afkijken/aflezen van de pincode en bijkomende geheime gegevens te vookomen en daarmee een lek veroorzaken in de beveiliging en het vertrouwen.

Het toepassen van een extra authenticatie is geen oplossing voor dit systeem. Zeker niet als deelnemers veiligheidseisen negeren. De oplossing die hier gekozen is is een juiste stap: deelnemers verplichten de beveiligingseisen na te leven of worden uitgesloten van deelnamen. Een tweede stap zou het aanscherpen van de authenticatie zijn, maar daar heb je weinig aan als deelnemers niet meewerken aan de veiligheid.
Dat een systeem jarenlang goed gewerkt heeft wil niet zeggen dat er geen fundamentele problemen met de veiligheid van het systeem bestaan. Op dit moment is de creditcard op geen enkele manier beveiligd. Zowel koper als verkoper hebben toegang tot alle gegevens die nodig zijn voor een transactie. Het systeem is dan ook volledig gebaseerd op vertrouwen in de tegenpartij.

Echter, door de enorme toename van het gebruik van creditcards is het steeds makkelijker om aan creditcard gegevens te komen en het misbruik neemt snel toe. Het vertrouwen begint dan ook logischerwijs af te brokkelen. Aan de andere kant zijn de mogelijkheden om creditcards te beveiligen de laatste jaren steeds goedkoper geworden. Creditcardmaatschappijen hebben deze ontwikkelingen genegeerd. Nu dat niet meer mogelijk is probeert men het schip te keren door strenge eisen te stellen aan de manier hoe gebruikers met creditcards om gaan maar doen ze zelf geen enkele poging de beveiliging van het product te verbeteren.

Gebruikers moeten inderdaad meewerken aan de veiligheid, maar creditcard maatschappijen moeten ervoor zorgen dat hun product zelf ook in afdoende mate is beveiligd. Stap 1 is een goed product, stap 2 is het afdwingen van een correct gebruik van het product. Met dit soort regels slaan creditcard maatschappijen stap 1 over en richt men zich puur op de gebruikers. Dat is in mijn ogen niet de goede manier.
pincode lost ook niets op, fraude met bankpassen komt ook heel veel voor (meekijkers, mensen die passen kopieren)
Dit is appels met peren vergelijken. Het schadebedrag van Creditcard maatschappijen is overigens veel hoger dan die van de banken.
Pro info: in België althans hebben alle Visa kaarten nu een pincode. De bedoeling is van in de toekost enkel die methode nog te gebruiken. nu bestaan beiden door elkaar omdat niet alle terminals en kassasystemen aangepast zijn. Binnen nu en pakweg in jaar kan je niet meer zonder pincode betalen.
Je kan je dan afvragen heo het zit met restaurants, maar in Frankrijk bv. komt de garçon al jaren met een mobiele terminal naar tafel.
De reden dat niet alle terminals/kassasystemen de pincode aanvaarden ligt niet aan het systeem zelf maar aan de aanbieders van de Visa/Mastercard kaarten.

In België heb je 3 aanbieders. 1 Daarvan (de grootste welliswaar) is omgeschakeld naar kaarten met pincode, de 2 andere volgen pas eind dit jaar of in de loop van volgend jaar. Afhankelijk waar de zaakvoerder dus een contract heeft ondersteund zijn toestel al dan niet beveiliging met pincode.

In restaurants / tea-rooms worden alle oude toestellen nu omgewisseld naar draagbare toestellen zodat de ober inderdaad naar de tafel kan gaan en de klant niet telkens naar de bar mee moet.
Ja, lukt ze toch niet. CCV2 is toch inmiddels wettelijk verplicht? Dat is dat kleine stukje extra code op een creditcard. Zelfs Bol.com en Amazon.com maken hier nog steed geen gebruik van....
Klinkt mij in de oren dat de gegevens encrypted moeten worden en dat er een DMZ (Demilitarized Zone) moet worden ingericht met waarschijnlijk Tivoli Access Manager er tussen.
Keerzijde is dat creditcard bedrijven wel garant moeten staan dat gegevens niet worden misbruikt en dat zij daarvoor garant staan. Lijkt mij redelijk.....
Die pincodes op creditcards worden op het moment in NL ook daadwerkelijk ingevoerd, zie bijvoorbeeld
http://www.planet.nl/planet/show/id=67782/contentid=559856/sc=7bc6a0
Mijn creditcard heeft al sinds ik hem heb (1998 oid) een pincode... wat is hier nieuw aan?
Als jij gaat betalen in een winkel, heb je dan die pincode nodig? Het antwoord is helaas nee... Die pincode is alleen voor gebruik met geldautomaten.
Of geen investering in creditcard, geen kosten aan systeem, en zolang je niet in een toeristisch gebied zit zal je niet al te veel inkomsten mislopen. De bespaarde investering maakt dat je spullen goedkoper kan leveren of dat je meer winst hebt of beide als je het goed doet.

[edit] bericht was half af.
Het gaat hier over de VS, waar zo'n beetje alles met CC wordt betaald. Bedrijven lopen dus wel ernstig veel geld mis als ze geen CC accepteren

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True