Europese veiligheidseisen uitgangspunt bij aanschaf parkeerautomaten
De nationale banken in Nederland (verenigd in Currence) hebben naar aanleiding van deze ontwikkeling besloten het nationale merk PIN te vervangen door de internationale betaalmerken van Mastercard en Visa. Dit is al in gang gezet door de wijziging van de magneetstrip op de betaalpas door de (zogenaamde EMV) chip op dezelfde betaalpas, oftewel ‘het nieuwe pinnen’, zoals dit momenteel breed wordt uitgemeten in de media.
Veiligheidseisen
De wijziging heeft ook gevolgen voor de veiligheidseisen die aan gemeentelijke parkeerautomaten worden gesteld. “In de meeste Europese landen worden geen parkeerautomaten geëxporteerd, deze worden alleen in eigen land verkocht”, aldus Bob Goulooze, communicatie director bij Currence. “Dit is op de lange termijn een ongezonde ontwikkeling, omdat de regels per land nogal verschillen. Daarom wordt er binnen Europa nu gewerkt aan uniforme, algemeen geldende goedkeuringseisen.” Dit zogenaamde CAS certificaat gaat in op de EPC eisen die specifiek betrekking hebben op het privacy shield, de security software en de productieprocedures. Doordat er straks veel massaler kan worden afgezet daalt de prijs, met als hogere doel dat de markt beter werkt en monopolyposities verkleinen.
Goulooze: “CAS wordt op dit moment wettelijk ingevoerd. Wij lopen in Nederland hierin redelijk voorop; de eisen voor CAS zijn al grotendeels vastgesteld.” De afgelopen twintig jaar werden in Nederland de eisen van PCI+ gehanteerd; strengere regels dan de Europese. Omdat een aantal gemeenten bezig is met Europese aanbestedingen voor het parkeerautomatenpark en hierbij niet gerefereerd wordt aan de veiligheidseisen in het kader van de Europese ontwikkelingen, wil Currence het onderwerp goed onder de aandacht brengen. Bovendien worden er zelfs veiligheidseisen gesteld die lager zijn dan de gestelde eisen voor PIN. Dit betekent een hoger risico op fraude, met alle gevolgen van dien. Ook zijn deze automaten niet Europees compliant, wat kan betekenen dat in de toekomst niet alle in Europa gangbare betaalmerken op deze automaten kunnen worden geaccepteerd.
Overgangsprogramma
Om het tijdelijke vacuüm te overbruggen van de veiligheidseisen van PIN tot het formeel van kracht worden van de Europese eisen, heeft Currence een zogenoemd Overgangsprogramma opgesteld; een programma dat garandeert dat nieuwe betaal- en parkeerautomaten toekomst vast zijn wat betreft Europese veiligheidseisen. De tool is tot stand gekomen in overleg met banken, leveranciers van betaalautomaten en toonbankinstellingen. Zelfs als gemeenten al in een gevorderd stadium zijn met een aanbesteding of aanbestedingen al zijn afgerond, adviseert Currence alsnog na te gaan of is voldaan aan de Europese veiligheidseisen, met het oog op toekomstvastheid en mogelijke desinvesteringen.
Hoe werkt het Overgangsprogramma precies?
Het Overgangsprogramma bevat een aantal extra elementen, bovenop de huidige PCI-norm. Arie Verhaagen van Currence licht toe: “Het programma bevat een certificatieperiode; hoe lang kan het apparaat in de markt staan, een hard- en softwarecertificaat conform de specificaties van het laboratorium, een conformiliteitsverklaring en eisen omtrent de privacyshield voor het intoetsen van de beveiligingscode.” Maar hoe kan het dat een dergelijk gat gaat ontstaan? Goulooze: “Op 1 januari 2012 verdwijnt PIN uit Nederland, vandaar dat er nu al massaal wordt ingezet op ‘het nieuwe pinnen’. Wordt er niets gedaan, dan worden de PCI-normen nog steeds gehanteerd en ontstaat er dus een gat. Het Overgangsprogramma voorziet hierin.” Het is echter aan de Nederlandse banken om dit goed uit te rollen, vindt Currence. “Daarom is in maart dit jaar de Betaalvereniging Nederland opgericht.” Nu worden gemeenten nog met zachte hand gewezen op de veranderende Europese regelgeving, maar als er straks formeel opgetreden wordt is het zaak dat overheden hun zaken goed op orde hebben.
Imagoschade
Wat zijn dan de concrete gevolgen als een automaat niet aan de geldende eisen voldoet? Volgens Goulooze is vooral de imagoschade voor de parkeersector aanzienlijk. Vervolgens ligt het aan de relatie tussen gemeenten en banken welke voorwaarden er zijn afgesproken. “In Amsterdam is een poosje geleden bijvoorbeeld sprake geweest van parkeerskimming. Deze schade slaat uiteindelijk neer bij de banken, maar mensen verliezen ook het vertrouwen in het betaalverkeer.” Verschillende gemeenten in Nederland zijn zich inmiddels bewust van de gevaren die schuilen in parkeerautomaten die niet voldoen aan de toekomstige Europese regelgeving. In Leiden staan bijvoorbeeld al automaten die voldoen aan de nieuwe eisen, en wordt er in Bergen op Zoom en Spijkenisse hard gewerkt aan verbetering, evenals in de gemeente Rotterdam.