Unternehmen profitieren langfristig von PCI DSS

In acht einfachen Schritten zur PCI Compliance

Seite: 3/4

Firma zum Thema

3. Nur behalten, was man wirklich braucht

Die goldene Regel für PCI DSSCompliance lautet: Nicht speichern, was man nicht braucht (d.h. Karteninhaberdaten). Leider gelingt es viel zu wenigen Unternehmen, sich an diese Regel zu halten. Nach Erkenntnissen des 2010 Data Breach Investigation Report (DBIR) von Verizon Business wiesen 43% der untersuchten Datenverletzungen mindestens eine unbekannter Komponente auf. Ein weiterer hervorstechender Aspekt ist „ein System, das Daten speichert, von denen das Unternehmen nicht wusste, dass sie auf dem System überhaupt existierten”.

Diese Erkenntnis zeigt, wie wichtig eine objektive Betrachtung der Frage ist, welche Daten wirklich für die geschäftlichen Abläufe benötigt werden, und wie diese sich innerhalb des Unternehmens bewegen. Weiter sollte man wissen, was als Karteninhaberdaten einzustufen ist, was folglich geschützt werden muss und was auf keinen Fall gespeichert werden darf. Beispielsweise dürfen „sensitive authentication data.3“ nicht zur Speicherung nach der Autorisierung zugelassen sein, selbst wenn sie verschlüsselt oder zerhackt sind. Allerdings sind manche Unternehmen fälschlicherweise der Auffassung, dass genau das für verschiedene geschäftliche Zwecke erforderlich ist (z. B. um im Namen des Kunden wiederkehrende Transaktionen zu verbuchen), um Konflikte bei Zahlungen sowie in Rückbelastungssituationen zu vermeiden. In Wahrheit gibt es keinen zu rechtfertigenden Geschäftsgrund, solche Daten nach der Autorisierung zu speichern, weil keines der dargestellten Szenarien die erneute Vorlage sensibler Authentifizierungsdaten erfordert.

4. Die Absicht hinter Kontrollen im Auge behalten

In den Sicherheitsabteilungen von Unternehmen sucht man gern nach irgendwelchen vorgefertigten Checklisten oder Standard-Tools, mit denen sich Aufgaben im Zusammenhang mit Compliance vereinfachen lassen. Zwar stellen eine Checkliste oder ein Tool eine rasche und nachprüfbare Methodik zur Verfügung, mit der man ein Kontrollziel erreicht. Wichtiger ist jedoch, die Absicht hinter dieser Kontrolle als Ganzes zu erfassen und zu erfüllen. Manchmal vermitteln solche Hilfsmittel ein rosiges Bild, obwohl möglicherweise manches im Argen liegt. Checklisten sind immer nützlich, aber ein gesundes Urteilsvermögen bei der Entscheidung, ob die Anstrengungen wirklich der Absicht gerecht werden, die einer Anforderung zugrunde liegt, darf nicht fehlen.

5. Alle Interessengruppen einbinden

PCI DSS Compliance ist nicht allein ein IT-Projekt. Vielmehr sollte von vorneherein die Beteiligung aller Interessengruppen innerhalb des Unternehmens gewährleistet sein. Das Projektteam sollte Vertreter aller Funktionen einbinden: Informationssicherheit, operatives Geschäft, Verwaltung/Einrichtungen, Humanressourcen und nicht zu guter Letzt Informationstechnologie. Die PCI DSS-Anforderungen erstrecken sich über sämtliche Abteilungen eines Unternehmens; die aktive Beteiligung dieser Funktionen spielt eine entscheidende Rolle bei der Erreichung und Beibehaltung von PCI Compliance.

Inhalt

  • Seite 4: Fazit
  • Seite 1: PCI-DSS ist gut fürs Unternehmen
  • Seite 2: 8 einfache Schritte
  • Seite 3: Nur speichern was man wirklich braucht
  • Seite 4: Fazit

(ID:2048885)