Tjee, malware die zich niet aan de industriestandaard PCI-DSS houdt. Wat vervelend nu.

Vooral voor partijen die maar blijven volhouden dat je data echt eerlijk waar hon-derd pro-cent vei-lig ge-ga-ran-deerd bij ze is want kijk maar ze houden zich toch aan de industriestandaardregeltjes.

(Voor degenen die de dis niet snappen: Min of meer arbitraire verzamelingen "best practice" regels, ook wanneer tot "industriestandaard" gebombardeerd, zijn leuk en kunnen wellicht best helpen maar zijn geen garantie op wat dan ook. Dus als je schermt met zulke regeltjes als ware het garanties, en dat gebeurt, ben je eigenlijk bezig de boel te flessen, want de implicatie gaat niet op. Het is eigenlijk te triest voor woorden dat dit nog uitgelegd moet worden maar de ervaring leert dat dat inderdaad moet, nog steeds.)

Ok, fair point. Maar mijn inziens, moeten organisaties toch echt ergens beginnen en dan zijn best practises een goede eerste stap om vervolgens er nog eens goed over te buigen wat ze waarom willen beschermen (dit kun je beter vooraf doen, maar zo werkt het in de praktijk helaas niet altijd).

Ja, je moet ergens beginnen. Maar het houdt daar ook gelijk mee op. [x] PCI-DSS en klaar is Kees. En dat is op zichzelf ook weer een probleem.

Het onderliggende probleem is dat de informatiestroom rondom betalingen inherent onveilig is, omdat er allerlei irrelevante data meegeleverd moet worden--omdat je het op de pof doet of omdat de bankiersregels dat zeggen of noem maar op. Dan proberen ze dat op te lappen door bovenop hun oude systemen een dikke laag cryptografie te stapelen. Dat gebeurt vaak onhandig of onvolledig en cryptografie is niet vergevingsgezind, dus dat zal altijd een probleem blijven.

Dus om het echt op te lossen zul je een electronisch equivalent van contant --iets dat naamloos een zekere waarde vertegenwoordigt-- en/of andere truuks moeten verzinnen, en het zou best kunnen dat daarvoor de bestaande regelgeving op de schop moet. Want die gaat er eigenlijk vanuit dat de dataverwerking qq te vertrouwen is, en dat blijkt niet te garanderen. Dat hiervoor oplossingen verzinnen nog deels een open onderzoeksvraag is doet daar niets aan af.

In plaats daarvan hoor je roepen "we houden ons toch aan de regels dus moet het echt veilig zijn, ja toch? egwel!", wat eigenlijk al voldoende reden zou moeten zijn voor massaal weglopen van klanten. Helaas is het besef nog niet zo ver dat mensen dat ook echt doorhebben, en alle aanbieders doen hetzelfde (heej, kartelvorming) dus ook hetzelfde verkeerd dus valt er niets te kiezen, dus verbetert er te weinig.

Wat het hele ding tot een schijnvertoning degradeert, ondanks alle industry standard best current practice goede bedoelingen. Met andere woorden, dit begin was leuk toen het nog nieuw was. Maar dat ding bestaat al een tijdje, en we komen niet verder.