De Data Security Standard van de Payment Card Industry (PCI-DSS) legt de security-regels vast die de creditcard-maatschappijen opleggen aan degene die transacties verwerken. Deze regels gelden ook voor transacties die in Nederland worden verwerkt en op de naleving ervan zal steeds intensiever worden gecontroleerd.
Alhoewel de regels redelijk nieuw zijn komt het begrip ‘virtualisatie’ echter in de gehele standaard niet voor, zelfs niet in de laatste update. Zo zou je dus prima met je virtuele machine en je virtuele netwerk kunnen voldoen aan de standaard, zonder dat iemand een vraag stelt over de fysieke laag eronder (of omgekeerd natuurlijk). Eric Siebert doorzocht de nieuwste versie van de hele standaard en kwam alleen het woord ‘virtual’ tegen bij ‘virtual private network’.
Er is inmiddels een felle discussie ontstaan over de vraag of zo’n standaard nu wel of niet rekening moet houden met virtualisatie. En dezelfde vraag geldt voor zaken als outsourcing, hosting en cloud computing. Chris Hoff van Rational Survivability gooide olie op het vuur met het gefingeerde verzoek om hulp bij zijn transactieverwerking via Amazon’s EC2 platform. Dit werd onder andere opgepikt door Martin McKeay en eindigde eigenlijk in een patstelling.
Ik vermoed dat PCI-DSS niet de enige security-standaard is die met dit probleem worstelt. Nu de fysieke werkelijkheid van ICT-infrastructuren steeds verder wordt geabstraheerd door de verschillende vormen van virtualisatie, lijkt het mij in ieder geval raadzaam om dit expliciet in de regelgeving mee te nemen. Al was het maar om onnodige verwarring voorkomen.
[...] maar een paar dagen geleden berichtte ik over de discussie of security standaards zoals de PCI Data Security Standard (PCI-DSS) er niet [...]