Unternehmen profitieren langfristig von PCI DSS

In acht einfachen Schritten zur PCI Compliance

Seite: 2/4

Firma zum Thema

1. Frühzeitig anfangen!

Ein verbreitetes Missverständnis bei Thema PCI DSSCompliance ist der Zeitpunkt, zu dem mit der Planung des Compliance-Projekts begonnen werden sollte. Die besten Erfolgschancen hat ein Unternehmen, wenn diese Aufgabe in Angriff genommen wird, sobald man beschließt, Zahlungskarten zu akzeptieren, oder eine neue Form der Akzeptanz erkundet, zum Beispiel in Verbindung mit einem E-Commerce-Projekt oder einem neuen POS-System.

Weiter empfiehlt sich eine nach Prioritäten strukturierte Herangehensweise an den PCI DSS, zumal dadurch das gesamte Verfahren vereinfacht wird. Dabei wird es wahrscheinlich je nach Unternehmen Abweichungen geben. Es lohnt sich daher, im Vorfeld die erforderliche Zeit zur Identifizierung der entscheidenden Risikobereiche zu investieren.

So wird beispielsweise eine große Einzelhandelskette den Anforderungen, die ihr POS-Netzwerk und die einzelnen Läden betreffen, eine höhere Priorität einräumen; ein Callcenter zieht womöglich vor, den Schwerpunkt auf Vorratsdatenspeicherung und Verschlüsselung zu legen. Jedes Unternehmen sollte anhand des spezifischen Umfeldes, seiner Systeme und auch anhand der Risikoaffinität seine Prioritäten setzen. Zu diesem frühen Zeitpunkt in der Entwicklung der Compliance Roadmap bereits mit gut ausgebildeten und erfahrenen Experten von außerhalb des Unternehmens zusammenzuarbeiten, kann sich als überaus wirksam erweisen. Das hier investierte Geld trägt dazu bei, den Prozess als Ganzes zu glätten und dadurch langfristig Einsparungen zu erzielen.

2. Den Umfang begrenzen

Wie umfangreich PCI DSS Compliance im Unternehmen umgesetzt sein muss, hängt davon ab, wie Karteninhaberdaten bei einem Handelsunternehmen oder Serviceanbieter gespeichert, verarbeitet und übertragen werden. Dass die Umgebung, in der sich Karteninhaberdaten befinden, maximal abgegrenzt wird, und zwar durch Firewalls zwischen den verschiedenen Unter-Netzwerken, sollte eigentlich selbstverständlich sein. Doch das kann sich als schwierig erweisen, insbesondere in länger bestehenden Umgebungen, wo mit Sicherheit traditionell der Schutz des Unternehmens-Perimeters gemeint war.

Die zwölf Anforderungen des PCI DSS beziehen sich auf alle Systemkomponenten. Sie sind definiert als jegliche Netzwerkkomponenten, Server oder Anwendungen, die in der Umgebung mit den Karteninhaberdaten enthalten oder damit verbunden sind. Besteht keine angemessene Trennung zwischen den Subnetzen, kann es durchaus sein, dass das gesamte Unternehmensnetzwerk in ein PCI DSS Assessment einbezogen werden muss.

Inhalt

  • Seite 1: PCI-DSS ist gut fürs Unternehmen
  • Seite 2: 8 einfache Schritte
  • Seite 3: Nur speichern was man wirklich braucht
  • Seite 4: Fazit

(ID:2048885)