In het e-commerce-landschap nemen Payment Service Providers (PSP’s) inmiddels een ontzettend belangrijke positie in. Ze zorgen ervoor dat merchants hun bedrijven kunnen runnen en dat consumenten online betalingen kunnen verrichten. In 99 van de 100 gevallen gebeurt dat veilig en vertrouwd, maar er kan zich altijd een storing voordoen.
In die gevallen is het zaak dat de payment service provider adequaat optreedt om de storing te verhelpen en de problemen te communiceren naar de klanten, in dit geval webwinkeliers. PSP MultiSafepay werd onlangs getroffen door een algehele storing, waardoor de webwinkeliers geen online betalingen konden ontvangen.
Vincent Ossewaarde, IT-Security specialist en PCI-DSS auditor (QSA) van Fortytwo nam deze case voor internetkassa.nu onder de loep en ziet aanleiding tot een algemene waarschuwing over data- en informatiebeveiliging bij psp’s. Plaatste Vincent in het vorige artikel zijn vraagtekens bij de informatiebeveiliging voor en door psp’s, ditmaal het tweede deel in zijn alarmerende reeks: ‘Het lijkt er vooral op dat de PSP of haar hostingpartij zich niet bewust is van een aantal cruciale en fundamentele aspecten van informatiebeveiliging.’
“Veel kwalijker nog dan de storing op zichzelf, is dat deze case een aantal fundamentele zaken blootlegt waar elke security-auditor zich achter zijn oren zou moeten krabben. De reactie van de betroffen PSP geeft aan dat het gaat om een foutje tijdens routine-onderhoud dat voor sommige merchants langdurige storingen veroorzaakte.
In elke omgeving waar mensen werken kunnen fouten gemaakt worden, dat is helaas een integraal onderdeel van ons werk. Maar procedures en beleid zouden dermate opgesteld moeten zijn dat fouten vroegtijdig worden gedetecteerd en dat ‘routine-onderhoud’ zorgvuldig wordt gecontroleerd voordat dit ‘live’ gaat. Het onderhoud vond plaats op kritieke systemen, waarbij het maken van fouten grote gevolgen kan hebben en waar dus extra controles uitgevoerd dienen te worden. De PSP mag en moet van een hostingbedrijf verwachten dat ze dit op een zorgvuldige wijze uitvoeren.
Voor aangesloten merchants ligt de situatie natuurlijk heel anders. Zij nemen een dienst af en hebben -kort gezegd- niet zo veel te maken met de hostingpartij van hun PSP. De PSP heeft immers zelf besloten om de systemen uit te besteden en moet er dus voor zorgen dat hun personeel en toeleveranciers zorgen dat geleverd wordt wat de PSP heeft beloofd.
De reactie van de PSP op dit incident lijkt op het eerste gezicht een eenvoudige uitleg van wat er heeft plaatsgevonden, met een begrijpelijke gang van zaken. Maar als je wat dieper kijkt dan lijkt er toch wel iets fundamenteel mis zijn gegaan op het gebied van informatiebeveiliging. En dat dat niet leidt tot verlies van data is in dit geval een goede meevaller, maar dit is slechts één aspect van informatiebeveiliging. Het lijkt er vooral op dat de PSP of haar hostingpartij zich niet bewust is van een aantal cruciale en fundamentele aspecten van informatiebeveiliging of hier in elk geval geen blijk van geeft.”
Deze gastbijdrage is tot stand gekomen in samenwerking met Vincent Ossewaarde, IT-Security specialist en PCI-DSS auditor (QSA) van Fortytwo. Lees hier het eerste deel van de gastbijdrage: ‘Zonder goed werkende DNS-servers zijn allerlei vormen van attacks mogelijk.’
