Spotlight op detailhandel: informatiebeveiliging en gegevensprivacy

Volgens het Office for National Statistics, in november 2023, 30% van alle detailhandelsverkopen in Groot-Brittannië vonden online plaatse. Ondertussen bleek uit een rapport van beveiligingsbedrijf Sophos dat twee op de drie bedrijven in de detailhandel meldden ransomware-aanvallen in 2022. Omdat zoveel consumenten online winkelen, zijn klantgegevens een verleidelijke prijs voor hackers die kunnen profiteren van het verkopen of misbruiken van die gegevens.

Naast de toenemende cyberdreigingen moeten retailers voldoen aan meerdere cyberbeveiligingsregels. Deze regelgeving en het risico op aanvallen van bedreigingsactoren zorgen ervoor dat cyberbeveiliging in de detailhandel voorop moet staan ​​in de hoofden van merken.

Hoe kunt u voldoen aan de beste praktijken op het gebied van cyberbeveiliging in de detailhandel in het licht van de technologische vooruitgang, strenge regelgeving en cyberdreigingen?

De cyberdreigingen waarmee de detailhandel wordt geconfronteerd

De eerste stap bij het waarborgen van de veerkracht op het gebied van informatiebeveiliging is het begrijpen van de uitdagingen op het gebied van cyberbeveiliging waarmee uw bedrijf te maken kan krijgen. Cyberbeveiliging in de detailhandel kent een reeks bedreigingen, variërend van opzettelijke cyberaanvallen tot onbedoelde beveiligingslekken.

Phishing

Bij een phishing-poging doen cybercriminelen zich voor als vertrouwde personen of bedrijven om het slachtoffer ervan te overtuigen persoonlijke informatie, zoals wachtwoorden, vrij te geven, die vervolgens kunnen worden gebruikt om toegang te krijgen tot accounts en gevoelige klantgegevens. Een rapport van Zscaler ThreatLabz ontdekte dat de detailhandel tussen 436 en 2020 een toename van 2021% in phishing-aanvallen zag.

Point-of-Sale-aanvallen

Bij point-of-sale (POS)-aanvallen maken aanvallers misbruik van zwakke netwerkbeveiliging door kwaadaardige malware te installeren op systemen die worden gebruikt om financiële transacties uit te voeren. Met behulp van deze malware kunnen cybercriminelen eenvoudig betalingsgegevens van klanten, inclusief creditcardgegevens, stelen uit kassasystemen.

Ransomware

Ransomware is malware die is ontworpen om te voorkomen dat een organisatie toegang krijgt tot zijn systemen door de gegevens te versleutelen en losgeld te eisen.

Die van Sophos Stand van zaken rond ransomware in de detailhandel 2023 Uit het rapport blijkt dat 69% van de retailorganisaties in 2023 te maken kreeg met ransomware-aanvallen, een daling ten opzichte van 77% in 2022. 71% van die organisaties verklaarde echter dat aanvallers hun gegevens met succes hadden gecodeerd, en slechts één op de vier (26%) van de retailers stopte met aanvallen. aanvallen voordat hun gegevens werden gecodeerd.

Supply Chain-aanvallen

Aanvallen in de toeleveringsketen richten zich op detailhandelaren door zich te concentreren op kwetsbaarheden in hun toeleveringsketens, meestal via leveranciers met een zwakke beveiliging die toegang hebben tot de software of systemen van detailhandelaren. Met behulp van deze derde partijen infiltreren cybercriminelen het systeem of netwerk van de beoogde detailhandelaar om toegang te krijgen tot gevoelige gegevens.

Wat zijn de kritieke normen en voorschriften voor informatiebeveiliging in de detailhandel

Als u eenmaal begrijpt met welke risico's retailorganisaties worden geconfronteerd, is de volgende stap het doorzoeken van de overvloed aan normen en voorschriften waar uw organisatie zich van bewust moet zijn en die ze moet naleven. Afhankelijk van waar u actief bent en welke klanten u bedient, kan er veel zijn waar u rekening mee moet houden; Hieronder vindt u een samenvatting van de belangrijkste zaken waarmee retailers rekening moeten houden.

De algemene verordening gegevensbescherming (AVG)

Retailers en e-commercebedrijven moeten de Algemene Verordening Gegevensbescherming (AVG) van de EU volgen bij het verzamelen en verwerken van Europese klantgegevens, ongeacht of het een in de EU gevestigde organisatie is of niet. De AVG schrijft voor dat bedrijven duidelijke, bevestigende toestemming moeten krijgen bij het verzamelen van persoonlijke informatie, zoals namen, contactgegevens, aankoopgeschiedenis en alle gegevens die worden gebruikt voor gedragsprofilering of gerichte reclamedoeleinden.

Er zijn met name een transparante kennisgeving en expliciete toestemming vereist om de persoonlijke gegevens van klanten te verwerken voor gedragsmatige reclame. Dit omvat het opbouwen van profielen die persoonlijke voorkeuren, interesses, bestedingsgedrag en andere kenmerken analyseren of voorspellen. Bedrijven moeten duidelijk uitleggen dat dit soort verwerking plaatsvindt en klanten de mogelijkheid bieden om te kiezen of ze ermee akkoord gaan.

Bedrijven moeten klanten ook toegang geven tot hun opgeslagen persoonlijke gegevens en hen de mogelijkheid bieden fouten op verzoek te corrigeren of te verwijderen. In een eenvoudig te begrijpen privacybeleid moet worden uitgelegd welke gegevens een detailhandelaar verzamelt en hoe hij deze gebruikt. Ook voor de internationale overdracht van klantgegevens buiten de EU gelden strikte regels. Bovendien moeten grotere bedrijven Data Protection Officers aanstellen om de naleving van de AVG bij alle activiteiten te controleren.

Mocht een detailhandelaar te maken krijgen met een datalek dat waarschijnlijk de rechten en vrijheden van klanten in gevaar brengt, dan moeten detailhandelaren hun gegevensbeschermingsautoriteit hiervan zonder onnodige vertraging op de hoogte stellen. In sommige gevallen moeten ze mogelijk ook de details van de inbreuk rechtstreeks aan de getroffen personen doorgeven. Daarom is het opzetten van robuuste procedures voor het opsporen, onderzoeken en openbaar maken van inbreuken een cruciale verplichting voor de naleving van de AVG voor detailhandelaren.

California Consumer Privacy Act (CCPA)

De CCPA heeft betrekking op bedrijven met winstoogmerk die aan bepaalde drempels voldoen, zoals het hebben van meer dan $ 25 miljoen aan jaaromzet of het jaarlijks kopen/verkopen van de persoonlijke gegevens van meer dan 50,000 consumenten in Californië.

Voor detailhandelaren en online winkels die aan deze drempels voldoen, vereist de CCPA extra transparantie, openbaarmaking en rechten met betrekking tot de persoonlijke gegevens van consumenten in Californië. Bedrijven moeten openbaar maken welke soorten persoonlijke informatie zij verzamelen en hoe deze wordt gebruikt. Consumenten moeten de mogelijkheid hebben om zich af te melden voor de verkoop van hun gegevens aan derden.

Detailhandelaren moeten ook redelijke beveiligingsprocedures implementeren, zoals encryptie, toegangscontroles, inbraakdetectie en regelmatige tests om deze gegevens te beschermen tegen inbreuken of misbruik. Als een bedrijf een inbreuk ondervindt die gevolgen heeft voor meer dan 500 inwoners van Californië, moeten ze de consumenten onmiddellijk op de hoogte stellen. Als er geen redelijke beveiliging wordt geboden of consumenten die inbreuk maken op de juiste wijze op de hoogte worden gesteld, kan dit leiden tot zware civielrechtelijke boetes onder de CCPA.

Nu Californië het voortouw neemt op het gebied van digitale privacywetten, signaleert de CCPA een aanzienlijke verschuiving voor aanbieders van e-commerce, marketingtechnologiebedrijven, fysieke winkelketens en andere leiders in de detailhandel in de Verenigde Staten. Virginia, Colorado, Utah en Connecticut hebben allemaal soortgelijke wetten ingevoerd die in 2024 van kracht zullen worden.

Veel andere staten hebben ook wetten voor het melden van inbreuken die vereisen dat consumenten op de hoogte worden gesteld als een datalek gevolgen heeft voor de inwoners van die staat. Retailers moeten dus naast de CCPA in Californië ook voldoen aan de snel evoluerende privacywetten op staatsniveau in een groot deel van het land.

De Gramm-Leach-Bliley Act (GLBA)

Veel detailhandelaren bieden klanten financiële producten en diensten aan, zoals creditcards, financieringsprogramma's en loyaliteitsprogramma's. Volgens de Amerikaanse federale Gramm-Leach-Bliley Act (GLBA) moeten detailhandelaren die dit soort financiële aanbiedingen aanbieden, zich houden aan strikte eisen op het gebied van transparantie, gegevensprivacy en beveiliging.

Concreet vereist GLBA dat detailhandelaren hun praktijken voor het verzamelen en delen van informatie duidelijk aan klanten bekendmaken. In veel gevallen moeten bedrijven consumenten de mogelijkheid bieden om zich af te melden voordat ze gegevens delen met externe partijen.

Retailers moeten ook strenge controles en waarborgen implementeren om klantgegevens te beschermen. Dit omvat het aanwijzen van een beveiligingscoördinator, het uitvoeren van risicobeoordelingen, het gebruik van encryptietechnologieën en het op de juiste manier verwijderen van documenten. Het allerbelangrijkste is dat GLBA nalevingsvereisten vastlegt in het geval van een datalek, inclusief het onmiddellijk op de hoogte stellen van getroffen klanten. Nu datakwetsbaarheden en cyberaanvallen wereldwijd toenemen, is naleving van GLBA van cruciaal belang voor retailers die zich richten op financiële dienstverlening om het vertrouwen van klanten te behouden en handhavingsmaatregelen van de regelgeving te vermijden.

Richtlijn Netwerk- en Informatiebeveiliging (NIS2)

NIS2 heeft tot doel een hoger niveau van cyberbeveiliging en veerkracht binnen de EU tot stand te brengen met robuustere verplichtingen op het gebied van cyberbeveiliging. Het bestempelt online marktplaatsen, zoekmachines, clouddiensten en meer specifiek als ‘essentiële’ of ‘belangrijke’ entiteiten die vanaf oktober 2024 gereguleerd zullen worden. Dit betekent dat veel retailers en e-commercebedrijven zoals Amazon, Shopify en eBay zullen vallen. onder de reikwijdte van NIS2. Retailbedrijven die cruciale diensten leveren, zoals betalingen en logistiek, kunnen ook onder NIS2 vallen.

Onder NIS2 moeten detailhandelaren die onder de richtlijn vallen, de risico's voor hun IT-systemen, applicaties, netwerken en gegevens uitgebreid beoordelen. Dit betekent het evalueren van:

• Infrastructuurbeveiliging
• Software kwetsbaarheden
• Bedreigingen van binnenuit
• Risico's van externe leveranciers/leveranciers

 

Op basis van geïdentificeerde risico's zullen detailhandelaren vervolgens de implementatie van cyberbeveiligingsmaatregelen moeten rechtvaardigen, zoals multi-factor authenticatie (MFA), gegevensversleuteling tijdens de overdracht en rust, regelmatige back-up van gegevens, voortdurende penetratietests en kwetsbaarheidsscans, evenals technologieën en processen. voor dreigingsdetectie, incidentrespons en supply chain-risicobeheer.

NIS2 creëert ook bindende vereisten voor het melden van cyberincidenten voor detailhandelaren. In het geval van een inbreuk of een cyberaanval die een materiële impact heeft op de bedrijfsvoering of de beschikbaarheid van gegevens, moeten ze de nationale autoriteiten in elke EU-staat waarin ze actief zijn op de hoogte stellen en proactief details doorgeven aan de getroffen klanten.

Met ingewikkelde digitale toeleveringsketens en datastromen moeten grote retailers wereldwijd zich nu voorbereiden op de uitgebreide cyberbeveiligingsverplichtingen van NIS2 die verband houden met hun verbindingen met de economische zone van de EU. Geavanceerde voorbereiding zal grote merken helpen veerkracht op te bouwen en tegelijkertijd ontwrichtende handhavingsmaatregelen te vermijden.

De Payment Card Industry Data Security Standard (PCI DSS)

Elke winkelier die populaire creditcards accepteert of elektronische betalingen verwerkt, moet voldoen aan de Standaard voor gegevensbeveiliging van de betaalkaartindustrie (PCI DSS). PCI DSS wordt beschouwd als een van de meest algemeen aanvaarde wereldwijde protocollen voor gegevensbeveiliging en is een reeks technische en beleidscontroles die worden beheerd door de PCI Security Standards Council om gevoelige kaarthouderinformatie en transactiegegevens te beschermen.

Concreet moeten detailhandelaren die betalingen verwerken, naleving bewijzen door het volgende te implementeren:

• End-to-end-codering
• Veilige systemen en applicaties onderhouden volgens PCI-richtlijnen
• Beperking van de toegang tot betalingsgegevens
• Het bouwen van firewalls rond kaarthouderomgevingen
• Beveiliging van de IT-infrastructuur met antimalwarebescherming.

Detailhandelaren moeten ook externe en interne kwetsbaarheidsscans uitvoeren, penetratietests uitvoeren, procedures voor respons op incidenten opstellen, alle externe leveranciers monitoren en jaarlijks of driemaandelijks compliance-audits ondergaan, afhankelijk van het transactievolume.

In maart 2022 werd PCI-DSS bijgewerkt van versie 3.2.1 naar versie 4.0, waarbij de nadruk lag op het handhaven van continue beveiliging en het verbeteren van betalingsvalidatieprocessen. Organisaties hebben tot 31 maart 2024 de tijd om de bijgewerkte versie over te nemen – met een deadline van 18 maanden om in maart 2025 volledige naleving te bereiken.

PCI DSS v4.0 bestaat uit 12 vereisten die zijn onderverdeeld in zes categorieën, waaronder:

• Meer aandacht voor beveiliging als continu proces
• Meer flexibiliteit in de manier waarop organisaties hun beveiligingsdoelen kunnen bereiken
• Nieuwe eisen voor dienstverleners, waaronder het gebruik van multi-factor authenticatie en de implementatie van een zero-trust architectuur
• Herziene vereisten voor softwareontwikkeling, inclusief veilige coderingspraktijken en het gebruik van geautomatiseerde tools voor het scannen op kwetsbaarheden en penetratietesten
• Strengere regels voor wachtwoordbeheer, waaronder het gebruik van wachtwoordzinnen en het verbod op bepaalde soorten wachtwoorden
• Het aanmoedigen van meer systematische en effectieve encryptie, inclusief ondersteuning van de introductie van kwantumveilige cryptografie

 

De twaalf bedieningselementen binnen PCI DSS 12 zijn bijgewerkt om gelijke tred te houden met zowel veranderingen in de branche als de tactieken van cybercriminelen.

De gevolgen van slechte informatie- en gegevensbeveiligingspraktijken in de detailhandel

Als informatiebeveiliging en gegevensprivacy niet serieus worden genomen, kan dit grote gevolgen hebben voor detailhandelaren, aanbieders van e-commerce en ondernemersorganisaties.

De financiële gevolgen van niet-naleving 

Aan alle voorschriften en normen die in deze blog worden benadrukt, zijn financiële sancties verbonden als ze niet worden nageleefd. Bedrijven die de AVG schenden, worden geconfronteerd met strenge straffen en kunnen een boete krijgen van maximaal € 20 miljoen of 4% van de wereldwijde omzet, afhankelijk van welke van de twee het hoogste is. Daarnaast kunnen particulieren (betrokkenen) een schadevergoeding vorderen.

Een bedrijf dat PCI-DSS schendt, kan een boete krijgen van $ 5,000 tot $ 100,000 per maand (ongeveer 4,000 tot 80,000 GBP), afhankelijk van de omvang van het bedrijf en de duur en omvang van de niet-naleving.

Ook kan de bank andere sancties opleggen, zoals het verhogen van de transactiekosten of het geheel beëindigen van de relatie. Bij herhaalde overtredingen kunnen aanvullende boetes worden opgelegd, die in de loop van de tijd toenemen.

Bedrijven die de GLBA schenden, riskeren boetes tot $100,000 per overtreding, en personen die de leiding hebben over deze bedrijven kunnen een boete krijgen van $10,000 per overtreding, met maximaal vijf jaar gevangenisstraf.

NIS 2 kent veel strengere handhavingseisen dan zijn voorganger. De straffen voor niet-naleving variëren van een veiligheidsaudit en het bevel om vastgestelde aanbevelingen op te volgen, tot boetes van € 10 miljoen of 2% van de totale wereldwijde omzet van de organisatie – afhankelijk van welke van de twee het hoogste is.

De maximale civielrechtelijke boete voor een onbedoelde CCPA-overtreding bedraagt ​​$2,500 per overtreding. Voor opzettelijke overtredingen bedraagt ​​de maximale boete $7,500 per overtreding. De maximale boetebedragen klinken relatief bescheiden, maar als blijkt dat een bedrijf opzettelijk duizenden of zelfs honderdduizenden opzettelijke overtredingen heeft begaan, bijvoorbeeld door niet te voldoen aan de CCPA-opt-outvereisten, kan het totale bedrag enorm oplopen.

CCPA staat consumenten ook toe om $750 per consument per incident te claimen of daadwerkelijke schadevergoeding te eisen wanneer kan worden aangetoond dat er verlies is ontstaan ​​als gevolg van de inbreuk.

Zoals u kunt zien, kunnen de financiële gevolgen van niet-naleving aanzienlijk zijn en op de lange termijn een impact hebben op de bedrijfsresultaten en de winstgevendheid op de lange termijn.

Reputatie is alles 

Niet-naleving gaat verder dan de meer voor de hand liggende financiële implicaties en omvat:

Reputatieschade: Een inbreuk op persoonsgegevens kan aanzienlijke schade toebrengen aan de reputatie van een organisatie, wat kan leiden tot verlies van klanten en een afname van het vertrouwen. Het kan jaren duren voordat de negatieve impact op de reputatie van een bedrijf is hersteld.

rechtszaken: Organisaties kunnen te maken krijgen met rechtszaken van personen wier persoonlijke gegevens zijn geschonden, wat kan leiden tot verdere financiële boetes en reputatieschade.

Verminderd klantvertrouwen: Wanneer persoonlijke gegevens worden geschonden, kunnen klanten het vertrouwen in de organisatie verliezen, wat resulteert in een verminderde klantbetrokkenheid en mogelijk schade aan het merk en de reputatie van de organisatie.

Verminderde voorraadwaarde: Datalekken kunnen de aandelenwaarde van een bedrijf schaden, omdat beleggers zich zorgen maken over mogelijke financiële boetes en reputatieschade.

Meer toezicht door regelgevende instanties: Organisaties die regelmatig te maken krijgen met datalekken of niet-nalevingsproblemen kunnen te maken krijgen met meer audits en onderzoeken door regelgevende instanties. De organisatie riskeert nog strengere regels als de problemen aanhouden.

Een op standaarden gebaseerde benadering van cyberbeveiliging in de detailhandel

Het adopteren van een gevestigd raamwerk voor informatiebeveiliging is een van de meest effectieve manieren waarop retailers klanten en partners kunnen geruststellen dat ze over een robuust beveiligingsfundament beschikken. De ISO 27001  Framework is een wereldwijd erkende internationale standaard voor informatiebeveiligingsbeheersystemen (ISMS) die een systematische en op risico gebaseerde aanpak biedt voor het beveiligen van gevoelige informatie.

Door het ISO 27001-framework te implementeren, kunnen detailhandelaren een alomvattende aanpak voor informatiebeveiligingsbeheer opbouwen, die beleid, procedures, controles en risicobeheerpraktijken omvat om zich te beschermen tegen potentiële veiligheidsbedreigingen en kwetsbaarheden en om de veiligheid van de gegevens van hun klanten en het bewijs van hun capaciteiten te garanderen. .

Enkele van de kernvereisten van ISO 27001 zullen organisaties in staat stellen een hoog niveau van digitaal vertrouwen aan te tonen, waaronder:

Een risicogebaseerde aanpak volgen: Het ISO 27001-framework vereist dat organisaties risico's voor hun informatiemiddelen identificeren en beoordelen en passende controles implementeren om deze risico's te beperken. Deze aanpak zorgt ervoor dat informatiebeveiligingsmaatregelen zijn afgestemd op de specifieke risico's en behoeften van de organisatie, wat helpt bij het opbouwen van vertrouwen bij klanten en belanghebbenden.

Zorgen voor naleving van de regelgeving: Het ISO 27001-framework is ontworpen om organisaties te helpen voldoen aan verschillende wettelijke vereisten met betrekking tot informatiebeveiliging, waaronder wetten op gegevensbescherming, privacyregelgeving en branchespecifieke regelgeving. Organisaties kunnen vertrouwen opbouwen bij toezichthouders en andere belanghebbenden door naleving van deze regelgeving aan te tonen.

Continue verbetering mogelijk maken: Het ISO 27001-framework benadrukt de noodzaak van voortdurende monitoring, evaluatie en verbetering van het informatiebeveiligingsbeheersysteem. Door hun beveiligingsmaatregelen voortdurend te verbeteren, kunnen organisaties aantonen dat ze zich inzetten voor de bescherming van gevoelige informatie en het opbouwen van vertrouwen bij belanghebbenden.

Effectief beheren van externe leveranciers: ISO 27001-certificering wordt wereldwijd erkend als een validatie van het informatiebeveiligingsbeheersysteem van een organisatie. Door het verkrijgen van certificering kunnen organisaties aan klanten, partners en andere belanghebbenden aantonen dat zij een alomvattend en effectief managementsysteem voor informatiebeveiliging hebben geïmplementeerd.

PCI-DSS en ISO 27001:2022

Interessant is dat veel PCI-DSS-principes rechtstreeks kunnen worden gekoppeld aan ISO 27001, waardoor de mogelijkheid wordt gecreëerd om een ​​geïntegreerde aanpak te volgen die kostenvoordelen en operationele efficiëntie kan bieden, waardoor de benodigde middelen worden verminderd door te focussen op de gedeelde vereisten van de raamwerken.

Andere voordelen zijn onder meer het verbeteren van de algehele beveiliging tegen een breder scala aan bedreigingen door gebruik te maken van de sterke punten van beide standaarden om lacunes te identificeren en op te vullen. Uiteindelijk maakt het geïntegreerde perspectief voortdurende verbetering mogelijk door middel van regelmatige evaluaties en een beter aanpassingsvermogen aan opkomende dreigingen.

We hebben een handige handleiding gemaakt waarin deze benadering van gelijktijdige naleving van zowel ISO 27001 als PCI-DSS v4 wordt uiteengezet, die u hier kunt raadplegen: Het PCI-DSS v4 Framework toewijzen aan de bijgewerkte ISO 27001:2022

Neem een ​​veilige houding aan tegen cyberbedreigingen in de detailhandel

Nu het retaillandschap online blijft verschuiven, moet cyberbeveiliging een topprioriteit zijn voor retailers van elke omvang. Door de toenemende cyberdreigingen, complexe regelgeving zoals AVG en PCI DSS en de reputatierisico's van datalekken staan ​​retailmerken veel op het spel als het gaat om de bescherming van klantgegevens.

Detailhandelaren moeten cruciale stappen ondernemen om robuuste beveiligingscontroles te implementeren, wereldwijd erkende normen zoals ISO 27001 te bereiken en een geïntegreerde aanpak te volgen om aan de nalevingsverplichtingen te voldoen. Het volgen van best practices op het gebied van cyberbeveiliging en het benutten van geavanceerde technologieën zal helpen gevoelige systemen en gegevens te beveiligen.

Het allerbelangrijkste is dat retailers van cyberweerbaarheid een continu proces moeten maken in plaats van een eenmalig project. Naarmate bedreigingen en regelgeving evolueren, moet ook de cyberverdediging evolueren. Door van informatiebeveiliging een regulier discussiepunt in de bestuurskamer te maken en voldoende middelen vrij te maken, kunnen detailhandelaren veiligere, vertrouwde beheerders van klantgegevens worden. De financiële, reputatie- en juridische gevolgen van nietsdoen zijn te groot om te negeren.

Versterk vandaag nog uw compliance

Als u uw reis naar PCI-DSS V4-compliance wilt beginnen, kunnen wij u helpen.

Onze ISMS-oplossing maakt een eenvoudige, veilige en duurzame aanpak van PCI-DSS en informatiebeheer mogelijk met ISO 27001 en meer dan 100 andere raamwerken. Realiseer vandaag nog uw concurrentievoordeel.

Boek een demo