5 Tipps für eine erfolgreiche PCI DSS-Compliance-Strategie

Der Payment Card Industry Data Security Standard (PCI DSS) ist ein internationaler, geschützter Informationssicherheitsstandard, der vom PCI Security Standards Council für Organisationen entwickelt wurde, dieses verarbeitet Karteninhaberdaten für die größten Kartensysteme der Welt: American Express, Discover, JCB, MasterCard und Visa. Händler müssen PCI DSS-konform sein, wenn sie Kartenzahlungen per Telefon, persönlich oder online akzeptieren wollen.

PCI DSS schützt alle Informationen, die sich auf der Zahlkarte eines Kunden befinden: die primäre Kontonummer (PAN), den Namen des Karteninhabers, das Ablaufdatum der Kreditkarte und den Servicecode. Es gibt 12 Kernanforderungen des PCI DSS mit einer zugehörigen Anzahl von 250 Kontrollen. Dazu gehören sowohl grundlegende Maßnahmen wie die Installation und Wartung von Firewalls und Antiviren-Software als auch komplexere Maßnahmen, die die Entwicklung sicherer Anwendungen und Systeme erfordern.

Obwohl nicht rechtsverbindlich, müssen Händler den PCI DSS als Teil der vertraglichen Verpflichtungen mit Kartenunternehmen und Finanzinstituten, einschließlich Banken, einhalten. Die Nichteinhaltung von PCI DSS hat schwerwiegende Konsequenzen: Banken können ihre Geschäftsbeziehung mit einem Unternehmen dauerhaft beenden und Verstöße auf die MATCH-Liste (Merchant Alert to Control High-Risk) setzen, was dem Unternehmen untersagt, jemals wieder Kartenzahlungen zu verarbeiten. Die Nichteinhaltung von PCI DSS kann außerdem Geldstrafen von bis zu 100.000 US-Dollar/Monat und erhöhte Transaktionsgebühren nach sich ziehen.

Das Erreichen der PCI DSS-Konformität ist eine gewaltige Herausforderung, aber eine unausweichliche Anforderung für alle Unternehmen, die Kartenzahlungen akzeptieren wollen. Was ist die beste Strategie, um PCI DSS-Compliance zu erreichen? Hier sind unsere Tipps!

Führen Sie ein internes Audit durch

Bevor Sie mit der Einhaltung des PCI DSS Anforderung beginnen, müssen Sie zunächst wissen, wie Karteninhaberdaten gespeichert und verarbeitet werden und welche Richtlinien für den Umgang mit sensiblen Daten bereits vorhanden sind. Dazu müssen Unternehmen ein internes Audit durchführen und dabei die Verantwortlichen für Compliance und Datenschutz, die IT-Abteilungen, die Verwaltungsleitung und die obersten Führungskräfte wie CISOs und CIOs einbeziehen.

In dieser Phase können auch Tools wie Data Loss Prevention-Lösungen eingesetzt werden, um die Unternehmensnetzwerke zu scannen und herauszufinden, wo genau Karteninhaberdaten gespeichert sind, wie sie von Mitarbeitern verwendet werden und ob die aktuellen Richtlinien diese Daten ausreichend schützen. Durch den Einsatz von Data-at-Rest-Scans und Überwachungsfunktionen, mit denen Karteninhaberdaten erkannt und nachverfolgt werden können, erhalten Unternehmen einen guten Überblick über die Datenflüsse innerhalb von Unternehmensnetzwerken.

Unternehmen können dann bestehende Richtlinien und Praktiken mit den PCI DSS-Anforderungen vergleichen und feststellen, in welchen Bereichen Verbesserungen erforderlich sind. Auf diese Weise können Unternehmen fundierte Entscheidungen treffen und die PCI DSS-Compliance auf bestehende Richtlinien aufbauen, ohne Zeit und Ressourcen zu verschwenden, indem sie bei Null anfangen.

Sichere Geschäftsprozesse

Um Geschäftsprozesse abzusichern, müssen Unternehmen zunächst Cybersicherheitslösungen wie Firewalls und Antivirensoftware zum Schutz vor Eingriffen von außen installieren und pflegen. Unternehmen müssen außerdem Karteninhaberdaten vor internen Bedrohungen und menschlichen Unachtsamkeiten schützen.

Um dies effektiv zu tun, müssen sie den Zugriff auf Karteninhaberdaten entsprechend der geschäftlichen Notwendigkeit regulieren. Außerdem können sie DLP-Tools verwenden, um die Übertragung von Karteninhaberdaten nach außen zu überwachen, einzuschränken oder zu blockieren. Durch die Verfolgung der Bewegungen von Karteninhaberdaten können Unternehmen Schwachstellen in Compliance-Strategien aufdecken und die Mitarbeiter identifizieren, die möglicherweise sensibilisiert werden müssen, um sicherzustellen, dass die Datenschutzrichtlinien eingehalten werden.

Mitarbeiter schulen

Jede Compliance-Strategie scheitert, wenn die Mitarbeiter nicht in ihre Anwendung einbezogen werden. Unternehmen müssen sicherstellen, dass jeder, der tagtäglich mit Karteninhaberdaten arbeitet, die Anforderungen des PCI DSS kennt, weiß, wie wichtig sie sind und wie sie die Einhaltung unterstützen und sicherstellen können.

Bei einer sensibilisierten Belegschaft ist die Wahrscheinlichkeit geringer, dass Richtlinien umgangen werden. Angemessene Schulungen, die auf Situationen basieren, mit denen sie täglich konfrontiert werden, können auch das Bewusstsein für häufige Fehler schärfen und zu einer Verringerung der durch Nachlässigkeit verursachten Sicherheitsvorfälle führen.

PCI DSS-Compliance für Telearbeit

Während der COVID-19-Pandemie hat das PCI Security Standards Council spezielle Richtlinien für Remote-Arbeit herausgegeben, die Unternehmen dabei helfen sollen, bewährte Sicherheitspraktiken einzuhalten und Zahlungskartendaten zu schützen, während ihre Mitarbeiter von zu Hause aus arbeiten.

Angefangen bei der Anforderung an Mitarbeiter, Verarbeitungsvorgänge in privaten Home-Office-Räumen durchzuführen, bis hin zur Sicherung von Geräten vor unbefugtem Zugriff, müssen Unternehmen die Richtlinien des Councils befolgen, um eine kontinuierliche Einhaltung des PCI DSS zu gewährleisten.

Regelmäßige Tests von Systemen und Prozessen

Jährliche Penetrationstests sind eine Voraussetzung für alle Unternehmen, die PCI DSS-konform sein müssen. Der Test muss durch einen Approved Scan Vendor (ASV) durchgeführt werden. Unternehmen sollten aber auch die Wirksamkeit ihrer internen Richtlinien testen. Dies kann durch die Überwachung von Karteninhaberinformationen geschehen, aber auch durch regelmäßige Data-at-Rest-Scans, die dabei helfen können, festzustellen, wo sensible Daten unberechtigt gespeichert werden.

Durch regelmäßiges Testen ihrer Sicherheitsmechanismen können Unternehmen sicherstellen, dass alle potenziellen Schwachstellen entdeckt und schnell behoben werden. Sie können auch die Wirksamkeit neuer Richtlinien zur Erfüllung der PCI DSS-Anforderungen testen.

guest
0 Comments
Inline Feedbacks
View all comments