Creditcardbedrijven eisen beveiliging persoonsgegevens

Nadat eerder meldingen waren binnengekomen van creditcard diefstal bij de winkels Polo Ralph Lauren en DSW, hebben de grote creditcardmaatschappijen winkels nu een ultimatum gesteld, zo laat ZDNet ons weten. Handelaren krijgen tot 30 juni de tijd om de nieuwe PCI beveiligingstandaard te implementeren. Als dit voor die tijd niet lukt, dan kunnen de winkels verschillende straffen verwachten, waaronder geldboetes. De creditcardmaatschappijen zijn al ruime tijd de nieuwe standaard aan het promoten, maar omdat het implementeren ervan een kostbaar proces is, hebben tot nu toe weinig bedrijven die aangenomen. Er moet nieuwe software worden aangeschaft en mensen worden bijgeschoold voordat het bedrijf aan de standaard kan voldoen.

creditcardHet vernieuwde protocol verplicht gebruikers van de creditcardsystemen om onder andere firewalls, encryptie en antivirus software te gebruiken, samen met account checks per kwartaal, netwerkmonitoring en het verbod op het gebruik van standaardwachtwoorden. Om gecertificeerd te worden moeten bedrijven met meer dan 20.000 transacties per jaar hun netwerken elk kwartaal scannen en jaarlijks controleren of ze nog aan de standaard voldoen. Het is overigens onduidelijk of de nieuwe beveiligingsregels de creditcardfraude die afgelopen maand aan het licht kwam had kunnen voorkomen. Bij de 108 filialen van de schoenwinkel DSW waren van ruim 200.000 klanten gegevens ontvreemd. Eerder deze maand bleek dat bij de winkelketen Polo Ralph Lauren van 180.000 klanten persoonsgegevens gestolen was.

Door Bart Veldstra

Freelance Nieuwsposter

Feedback • 22-04-2005 22:10 25

22-04-2005 • 22:10

25

Bron: ZDNet

Lees meer

Van grootschalige creditcardroof verdachte Est uitgeleverd aan VS
Van grootschalige creditcardroof verdachte Est uitgeleverd aan VS Nieuws van 9 augustus 2010
Onderzoekers: beveiliging pincodes van bankpassen is lek
Onderzoekers: beveiliging pincodes van bankpassen is lek Nieuws van 15 april 2009
Pinpassen gaan over op EMV-chipstandaard
Pinpassen gaan over op EMV-chipstandaard Nieuws van 24 mei 2006
Stichting wil fraude op veilingsites aanpakken
Stichting wil fraude op veilingsites aanpakken Nieuws van 17 september 2005
Veertig miljoen creditcardnummers gestolen
Veertig miljoen creditcardnummers gestolen Nieuws van 18 juni 2005
Hacker High School in Barcelona leidt tieners op
Hacker High School in Barcelona leidt tieners op Nieuws van 11 april 2005
Hardware vaak onvoldoende beveiligd tegen hackers
Hardware vaak onvoldoende beveiligd tegen hackers Nieuws van 2 april 2005
Hardere aanpak computercriminaliteit in wetsvoorstel
Hardere aanpak computercriminaliteit in wetsvoorstel Nieuws van 24 maart 2005
'Geld belangrijkste drijfveer nieuwe virusschrijvers'
'Geld belangrijkste drijfveer nieuwe virusschrijvers' Nieuws van 25 januari 2005
Digitaal betalen zonder het vel over de oren te halen
Digitaal betalen zonder het vel over de oren te halen Nieuws van 3 december 2003
Chatgroep vaak startpunt creditcard-fraude
Chatgroep vaak startpunt creditcard-fraude Nieuws van 15 juli 2003
Meer producten en artikelen
Bedrijfsnieuws

Reacties (25)

-Moderatie-faq
25
23
17
6
2
2
Wijzig sortering
Gwaihir 22 april 2005 23:11
En dan boek je bij het Dorinth in Eindhoven (5 sterren notabene) en dan mailen ze je telefonisch doorgegeven VISA nummer gewoon terug in de bevestiging, naam, verloopdatum en alles! Ze zijn nog hoogst verontwaardigd ook als je er commentaar op maakt.

Vervolgens maken ze een fotokopie van de kaart bij het inchecken, voor en achterzijde, dus inclusief het extra nummertje wat alleen voor niet-in-persoon transacties gebruikt wordt.

Tja, helpt deze beveiliging als zelfs veelontvangers van credit cards als deze er zo mee omgaan?
kodak
@Gwaihir23 april 2005 00:10
Net als dat je als klant het gedrag wat je net beschrijft niet hoeft te accepteren en je zo'n bedrijf zelfs voor kan aanpakken, hoef je het ook niet te accepteren dat ze er elektronisch niet goed mee omgaan.

Dat nu niet een maar meerdere grote creditcardmaatschappijen gezamelijk met dit ultimatum komen geeft aan dat niet allen de klanten het zat zijn dat er met ze gespeelt wordt. De creditcardmaatschappijen hebben er zelf nu kennelijk ook last van en wensen niet meegezogen te worden is het wangedrag van een deel van hun gebruikers.

offtopic:
Ik zou zeker schriftelijk een klacht neerleggen bij zowel dat hotel als je creditcardmaatschappij. Dit gedrag kan gewoon echt niet en is precies zo'n voorbeeld van wangedrag waarbij met vertrouwelijke gegevens en beveiliging gespeelt wordt. Laat ze maar voelen dat ze verkeerd bezig zijn.
Ruben314 23 april 2005 04:13
Het niet al te netjes met creditcard gegevens omspringen werkt gelukkig twee kanten op.

Zit op het moment in de VS en wilde een camera bestellen via internet. Het probleem is dat je op de website je billing-address (dus in Nederland) moet invoeren. En dat past dan niet in die hokjes (je moet een staat selecteren). Bovendien staat er onder dat je alleen met domestic creditcards kunt betalen.

Uiteindelijk was ik het zat en heb ik gewoon mijn creditcard gegevens (nummertjes) icm een willekeurig adres in Amerika ingevuld, en drie dagen later kwam DHL mijn pakje brengen.
Anoniem: 116213 @Ruben31423 april 2005 08:48
Dan was de webwinkel meer geïntereseerd in het geld dan in anti-fraude. Bij de betere winkels zoals newegg.com krijg je dat absoluut niet voor elkaar. Alle gegevens worden gecontroleerd met de creditkaart gegevens, inclusief telefoonnummer. Het naar een ander adres sturen neemt automatisch al 2 extra werkdagen in beslag (de eerste keer), omdat dit handmatig wordt gecontroleerd.

Wat de betere webwinkels ook als optie hebben is dat jij kan opgeven dat er absoluut geen creditkaart info wordt opgeslagen in het database van de webwinkel. Je moet dan wel elke keer opnieuw je creditkaart gegevens invullen bij een volgende bestelling, maar dat heb ik er graag voor over.

En de winkels die dit niet als optie hebben stuur ik altijd een email direct na de bestelling (of voeg het toe aan het commentaat) dat ze mijn creditkaart gegevens per direct moeten verwijderen, nadat betaling gedaan is.
Rukapul @Anoniem: 11621323 april 2005 11:44
Ook de creditcard maatschappijen hebben in deze boter op hun hoofd want deze moeten m.i. gewoon als eis stellen dat winkels de creditcard gegevens niet permanent op mogen slaan.

Als retailer ben je eigen volslagen idioot om creditcard als betalingsmethode te accepteren, want er worden een hoop kosten en alle risico op je afgewenteld door de creditcard maatschappijen. Elke recente stap van de creditcard maatschappijen hebben niet alleen getracht het gebruik van creditcards veiliger te maken, maar ook meer risico verschoven van zichzelf naar de retailers.

Creditcard maatschappijen zelf zijn bedrijven die met beperkt zeer beperkt risico hele hoge marges weten te behalen.
Anoniem: 85411 @Anoniem: 11621325 april 2005 12:56
euhm, bij newegg al een paar keer besteld met mijn 'Belgische' creditcard.
Gewoon vanuit Paypal je betaling doen is de boodschap !
Anoniem: 115055 22 april 2005 22:53
Tja, je kunt natuurlijk ook gewoon stellen dat creditcard boeren een volslagen lek produkt op de markt zetten en de kosten van het dichten van dat lek op anderen willen afschuiven.
Laat ze hun produkt maar zo aanpassen dat bedrijven in het midden tussen de creditcard boer en de klant geen kritieke gegevens over die klant meer hoeven en kunnen opslaan.
Anoniem: 36664 @Anoniem: 11505522 april 2005 23:14
De creditcard gegevens worden gestolen aan de kant van de retailers. Het lek zit hem dus bij de slecht beveiligde servers van DSW e.d.. niet bij Mastercard.

Of is Debian ook schuldig als jouw Linux machine gehackt wordt omdat je ssh met root/root op poort 22 open hebt staan?

Lijkt me niet.....De creditcard bedrijven zijn de bedrijven die opdraaien voor de kosten van de fraude, niet de bedrijven waar de fraude plaats vindt! Ik geef ze dus groot gelijk dat ze dit willen doen.
Anoniem: 61096 @Anoniem: 3666423 april 2005 10:32
Het lek zit hem niet bij de retailers maar bij de manier waarop een credit card werkt. Alle gegevens die nodig zijn voor een betaling zijn openbaar. Zelfs een pincode is niet nodig. Vergelijk de Credit Card eens met je bankpas.

Als ik bij de AH mijn pinpas gebruik slaat de AH geen gegevens van mij op. De beveiliging van AH kan zo lek als een mandje zijn, zolang men daar niet doelbewust apparatuur gaat installeren om mijn pincode en bankpas te hacken ben ik gewoon veilig. Zelfde geldt voor elk willekeurig restaurant. Gebruik ik echter een credit card bij een restaurant of winkel ziet de ober/verkoper alle relevante gegevens van mijn creditcard en kan hij hier direct misbruik van maken.

De credit card is dus vele malen onveiliger dan een pinpas. Dat is niet de schuld van de winkel of restaurant maar van de credit card maatschappij. Laat hen dat ook maar oplossen.

Als je het met linux wilt vergelijken: Stel dat Debian standaard een telnet sessie toestaat met root/root en het onmogelijk is dit uit te zetten. Is Debian dan ook nog onschuldig als jou PC gehacked wordt?
Anoniem: 32714 22 april 2005 23:27
Het probleem zit gewoon bij de creditcardbedrijven zelf. De enige manier om fraude op te lossen is door middel van een pincode. Ze doen dit niet omdat ze bang zijn klanten te verliezen. Alleen in Nederland wordt er al een paar minjoen euro per jaar gefraudeerd (ik heb gewerkt bij Interpay).
kodak
@Anoniem: 3271423 april 2005 02:13
Je beseft je dat je zegt "het systeem moet anders in elkaar zitten." en dat je daarmee het hele idee achter de creditcard dus de das om doet?
Het idee achter de creditcards is dat je met zo min mogelijk middelen zo vrij mogelijk bent in betalen en er toch garanties zijn om het veilig te houden.
Juist omdat je niet verplicht bent om enkel deze vorm van betalen te gebruiken en je de keuze hebt om accoord te gaan met deze vorm is het een succes. Het probleem zit daarmee niet in het systeem maar hoe de bedrijven die van de creditcarddienst gebruik maken die veiligheid negeren. Dat is te vergelijken met bedrijven die geen moeite nemen om afkijken/aflezen van de pincode en bijkomende geheime gegevens te vookomen en daarmee een lek veroorzaken in de beveiliging en het vertrouwen.

Het toepassen van een extra authenticatie is geen oplossing voor dit systeem. Zeker niet als deelnemers veiligheidseisen negeren. De oplossing die hier gekozen is is een juiste stap: deelnemers verplichten de beveiligingseisen na te leven of worden uitgesloten van deelnamen. Een tweede stap zou het aanscherpen van de authenticatie zijn, maar daar heb je weinig aan als deelnemers niet meewerken aan de veiligheid.
Anoniem: 61096 @kodak23 april 2005 11:00
Dat een systeem jarenlang goed gewerkt heeft wil niet zeggen dat er geen fundamentele problemen met de veiligheid van het systeem bestaan. Op dit moment is de creditcard op geen enkele manier beveiligd. Zowel koper als verkoper hebben toegang tot alle gegevens die nodig zijn voor een transactie. Het systeem is dan ook volledig gebaseerd op vertrouwen in de tegenpartij.

Echter, door de enorme toename van het gebruik van creditcards is het steeds makkelijker om aan creditcard gegevens te komen en het misbruik neemt snel toe. Het vertrouwen begint dan ook logischerwijs af te brokkelen. Aan de andere kant zijn de mogelijkheden om creditcards te beveiligen de laatste jaren steeds goedkoper geworden. Creditcardmaatschappijen hebben deze ontwikkelingen genegeerd. Nu dat niet meer mogelijk is probeert men het schip te keren door strenge eisen te stellen aan de manier hoe gebruikers met creditcards om gaan maar doen ze zelf geen enkele poging de beveiliging van het product te verbeteren.

Gebruikers moeten inderdaad meewerken aan de veiligheid, maar creditcard maatschappijen moeten ervoor zorgen dat hun product zelf ook in afdoende mate is beveiligd. Stap 1 is een goed product, stap 2 is het afdwingen van een correct gebruik van het product. Met dit soort regels slaan creditcard maatschappijen stap 1 over en richt men zich puur op de gebruikers. Dat is in mijn ogen niet de goede manier.
Anoniem: 48920 @Anoniem: 3271422 april 2005 23:38
pincode lost ook niets op, fraude met bankpassen komt ook heel veel voor (meekijkers, mensen die passen kopieren)
Anoniem: 32714 @Anoniem: 4892023 april 2005 01:17
Dit is appels met peren vergelijken. Het schadebedrag van Creditcard maatschappijen is overigens veel hoger dan die van de banken.
YellowOnline @Anoniem: 3271423 april 2005 01:47
Pro info: in België althans hebben alle Visa kaarten nu een pincode. De bedoeling is van in de toekost enkel die methode nog te gebruiken. nu bestaan beiden door elkaar omdat niet alle terminals en kassasystemen aangepast zijn. Binnen nu en pakweg in jaar kan je niet meer zonder pincode betalen.
Je kan je dan afvragen heo het zit met restaurants, maar in Frankrijk bv. komt de garçon al jaren met een mobiele terminal naar tafel.
Anoniem: 33796 @Anoniem: 3271423 april 2005 12:03
De reden dat niet alle terminals/kassasystemen de pincode aanvaarden ligt niet aan het systeem zelf maar aan de aanbieders van de Visa/Mastercard kaarten.

In België heb je 3 aanbieders. 1 Daarvan (de grootste welliswaar) is omgeschakeld naar kaarten met pincode, de 2 andere volgen pas eind dit jaar of in de loop van volgend jaar. Afhankelijk waar de zaakvoerder dus een contract heeft ondersteund zijn toestel al dan niet beveiliging met pincode.

In restaurants / tea-rooms worden alle oude toestellen nu omgewisseld naar draagbare toestellen zodat de ober inderdaad naar de tafel kan gaan en de klant niet telkens naar de bar mee moet.
Anoniem: 72090 23 april 2005 12:18
Ja, lukt ze toch niet. CCV2 is toch inmiddels wettelijk verplicht? Dat is dat kleine stukje extra code op een creditcard. Zelfs Bol.com en Amazon.com maken hier nog steed geen gebruik van....
Anoniem: 57363 22 april 2005 23:15
Klinkt mij in de oren dat de gegevens encrypted moeten worden en dat er een DMZ (Demilitarized Zone) moet worden ingericht met waarschijnlijk Tivoli Access Manager er tussen.
Keerzijde is dat creditcard bedrijven wel garant moeten staan dat gegevens niet worden misbruikt en dat zij daarvoor garant staan. Lijkt mij redelijk.....
kidde 22 april 2005 23:56
Die pincodes op creditcards worden op het moment in NL ook daadwerkelijk ingevoerd, zie bijvoorbeeld
http://www.planet.nl/planet/show/id=67782/contentid=559856/sc=7bc6a0
Treenaks @kidde23 april 2005 07:17
Mijn creditcard heeft al sinds ik hem heb (1998 oid) een pincode... wat is hier nieuw aan?
Anoniem: 32714 @Anoniem: 13846223 april 2005 01:14
Als jij gaat betalen in een winkel, heb je dan die pincode nodig? Het antwoord is helaas nee... Die pincode is alleen voor gebruik met geldautomaten.
Anoniem: 110977 @Anoniem: 1403822 april 2005 22:47
Of geen investering in creditcard, geen kosten aan systeem, en zolang je niet in een toeristisch gebied zit zal je niet al te veel inkomsten mislopen. De bespaarde investering maakt dat je spullen goedkoper kan leveren of dat je meer winst hebt of beide als je het goed doet.

[edit] bericht was half af.
Anoniem: 39303 @Anoniem: 11097723 april 2005 00:33
Het gaat hier over de VS, waar zo'n beetje alles met CC wordt betaald. Bedrijven lopen dus wel ernstig veel geld mis als ze geen CC accepteren

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq