Die PCI-Cmpliance ist eine Reihe von Standards und Richtlinien für Unternehmen um personenbezogene Daten im Zusammenhang mit Kreditkarten zu verwalten und zu sichern. . Die großen Kreditkartenanbieter – Visa, Mastercard und American Express – haben im Jahr 2006 eine Richtlinie mit der Bezeichnung Payment Card Industry Data Security Standards (PCI DSS) eingeführt, um Kreditkartendaten vor Diebstahl zu schützen.
Experten schätzen, dass Kreditkartenbetrug Unternehmen, zB. in den Vereinigten Staaten jedes Jahr mehrere Milliarden Dollar kostet. Es ist ziemlich klar zu erkennen, dass Cyberkriminelle derzeit im Krieg um die Kreditkarten (noch) vorne liegen. Der Schutz von Kundendaten und Zahlungsinformationen muss für Verbraucher, Unternehmen und Banken Priorität haben, damit die Verschwendung von Milliarden für Kreditkartenbetrug endlich ein Ende hat. Das Verständnis von PCI-Compliance und eine Verbesserung der entsprechenden Kompetenzen bilden einen wesentliche Beitrag, wenn wir diesen Krieg für uns ( die Ehrlichen ) entscheiden wollen.
PCI DSS-Compliance sollte zu den wichtigsten durchgängigen Projekten in jedem Unternehmen gehören, welches die privaten Kreditkartendaten seiner Kunden erfasst und speichert. Nach dem 2018 Verizon Payment Security Report erfüllen nur 52,5 % aller Organisationen diese Compliance-Kriterien vollständig. Das muss besser gehen!
Die Untersuchung von Verizon zeigt eine Korrelation zwischen Unternehmen, die einen Datenverstoß festgestellt haben, und solchen, bei denen PCI-DSS-Kontrollen fehlen. Kurz gesagt: Betroffene Unternehmen haben nicht alle Anforderungen erfüllt, was nicht wirklich überraschend ist.
Wesentlicher ist, dass Sie durch Einhalten des PCI DSS ihre Konformität mit Datenschutzgesetzen wie der Datenschutz-Grundverordnung (DSGVO) oder dem Gramm-Leach-Bliley Act (GLBA) sicherstellen können. Der PCI DSS steht für bewährte Praktiken im Datenschutz, die jedes Unternehmen befolgen sollte.
Der PCI DSS liefert Ihnen die Roadmap für Ihren Weg zur PCI-Compliance. Im PCI DSS finden Sie einen 12-stufigen Plan für den Schutz von Kundendaten.
| Ziele | Anforderungen |
| Aufbau und Pflege sicherer Netzwerke und Systeme | Anforderung 1: Installieren und Pflegen einer Firewall-Konfiguration für den Schutz der Daten von Kreditkarteninhabern Anforderung 2: Nicht die vom Vendor gelieferten Standards bei Passwörtern für Systeme und andere Sicherheitsparameter verwenden |
| Schutz der Daten von Kreditkarteninhabern | Anforderung 3: Schützen der gespeicherten Daten von Kreditkarteninhabern Anforderung 4: Verschlüsselung der Karteninhaberdaten bei der Übertragung über offene, öffentliche Netzwerke |
| Pflege eines systematischen Managements von Sicherheitslücken | Anforderung 5: Schützen aller Systeme gegen Malware und regelmäßiges Aktualisieren von Virenschutzsoftware und Programmen Anforderung 6: Entwickeln und Pflegen sicherer Systeme und Anwendungen |
| Implementieren starker Zugriffskontrollmaßnahmen | Anforderung 7: Einschränken des Zugriffs auf Karteninhaberdaten auf Personen mit unbedingtem geschäftlichen Bedarf Anforderung 8: Identifizieren und Authentifizieren des Zugriffs auf Systemkomponenten Anforderung 9: Einschränken des physikalischen Zugriffs auf Karteninhaberdaten |
| Regelmäßige Überwachung und Prüfung der Netzwerke | Anforderung 10: Verfolgen und Überwachen des gesamten Zugriffs auf Netzwerkressourcen und Karteninhaberdaten Anforderung 11: Regelmäßige Überprüfung der Sicherheitssysteme und -verfahren |
| Pflegen eine Informationssicherheitsrichtlinie | Anforderung 12: Pflegen einer Richtlinie, in der auf Informationssicherheit für alle Mitarbeiter eingegangen wird |
Das ist nicht leicht zu beantworten.
Die Kosten der PCI-Compliance sind im Vergleich zu denen einer Datenschutzverletzung gering.
Die PCI-Compliance ist einfach gute Datensicherheitspraxis und unterscheidet sich nicht wesentlich von NIST– oder SANS-Sicherheitskontrollen. Betrachten Sie die Kosten für PCI-Compliance eher als „Kosten für gute Datensicherheitspraktiken“ und rechnen Sie dann entsprechend.
Jedes Kreditkartenunternehmen hat seine eigenen Compliance-Validierungsstufen, die es einhalten muss. Sie können entweder Ihr eigenen PCI Compliance Self-Assessment Questionnaire (SAQ) durchführen oder einen Vertrag mit einem zertifizierten PCI Quality Security Assessor (QSA) abschließen.
PCI QSAs sind für die Durchführung von PCI-Sicherheitsbewertungen zertifiziert und geschult. Die einzelnen QSAs werden mit dem einen oder anderen Geschäftsfeld besser vertraut sein. Wenn Sie also diesen Weg wählen, achten Sie darauf, dass Sie den einen finden, der zur Ihren Geschäftsanforderungen passt.
Die andere Möglichkeit besteht darin, ein SAQ-Formular auszufüllen, das eine Reihe von Ja- oder Nein-Fragen enthält, mit denen Ihr Konformitätsgrad mit dem PCI DSS bestimmt wird. Alle Unternehmen füllen diesn SAQ aus und übermitteln ihre Quartalsberichte an die dafür vorgesehenen Organisationen.
Um Ihre PCI-Compliance aufrechtzuerhalten, sollten Sie mit PCI-konformen Unternehmen für die Verarbeitung von Kreditkartendaten und Banken zusammenarbeiten. Die Daten, die Sie schützen, sind nur dann von Bedeutung, wenn sie in allen Phasen des Transaktionslebenszyklus geschützt bleiben.
Zunächst müssen Sie in Ihrem Unternehmen gute Datensicherheitspraktiken umsetzen und regelmäßig interne Audits und Qualitätskontrollen im Hinblick auf Ihre PCI-konformen Daten durchführen. Im Folgenden finden Sie einige spezifische Kontrollen, die Sie implementieren können, um Ihre PCI-Daten zu schützen.
Gemäß dem maßgeblichen PCI Compliance Blog werden Geldbußen nicht veröffentlicht oder gemeldet sondern in der Regel an die Händler durchgereicht. Banken geben diese Geldbußen dann in Form erhöhter Transaktionsgebühren oder durch die Kündigung von Geschäftsbeziehungen weiter.
Bußgelder variieren zwischen 5.000 und 100.000 Dollar pro Monat, bis die Händler Compliance erreichen. Bußgelder in dieser Höhe sind machbar für große Banken, können ein kleines Unternehmen aber schnell in den Bankrott treiben.
Allerdings sind dievon der PCI verhängten Bußgelder klein im Vergleich zu Kreditüberwachungsgebühren, Gerichtskosten und staatlichen Verfahren, die anfallen können, wenn Sie nicht wirklich PCI DSS-konform sind. Das Unternehmen Target hat beispielsweise gemeldet, dass sich die Gesamtkosten der massiven Datenschutzverletzung mit Kreditkartendaten beim Unternehmen auf über 200 Millionen USD beliefen, wovon 18,5 Millionen USD auf einen gerichtlichen Vergleich mit 47 Generalstaatsanwälten entfielen.
Die Varonis Datensicherheitsplattform bietet Ihnen die Grundlagen, die Sie auf Ihrem Weg zur PCI-Compliance benötigen. Varonis kartiert Ihre Ordner und Ordnerzugriffe und scannt Dateien im Hinblick auf PCI-konformen Daten. Sobald Sie wissen, wo sich Ihre PCI-Compliance-Daten befinden, können Sie daran arbeiten, das Risiko von Verstößen zu reduzieren und diese Daten auf anormale Zugriffsmuster zu überwachen. Varonis schützt Ihre PCI-Daten langfristig. Sie können sogar Datenzugriffsberichte für Ihre PCI-Compliance-Audits erstellen.
Laden Sie unseren kostenlosen Compliance- und Verordnungsleitfaden herunter, um mehr darüber zu lesen, wie Varonis Sie auf Ihrem Weg zur Compliance unterstützt.