Unternehmen profitieren langfristig von PCI DSS

In acht einfachen Schritten zur PCI Compliance

Seite: 4/4

Firma zum Thema

6. Überheblichkeit ist fehl am Platz

PCI DSS ist ein einzigartiger Standard, der spezifisch zu dem Zweck aufgestellt, aktualisiert und durchgesetzt wird, Zahlungskartendaten zu schützen. In diesem Zusammenhang ist besondere Aufmerksamkeit und Konzentration erforderlich, selbst – und vielleicht besonders dann – wenn das Unternehmen bereits andere Sicherheitsstandards implementiert hat. Der Grad an Detailgenauigkeit, der im PCI DSS steckt, kann gelegentlich etwas überfordernd wirken. Sicher ist auch, dass er kaum Spielraum für Annahmen und Flexibilität lässt. Unter Umständen erfordert er Änderungen an Geschäftspraktiken oder technischen Komponenten. Ein Unternehmen sollte deshalb besonders den Details große Aufmerksamkeit schenken, wenn man ein PCI DSS-Projekt auf den Weg bringt.

7. Compliance von Zulieferern ist ebenfalls enorm wichtig

Auf dem Weg zur PCI DSS Compliance wird gelegentlich vergessen, dass auch Zulieferer/Serviceprovider des Unternehmens eine entsprechende Compliance aufweisen müssen. Zur Erlangung des Compliant-Status gemäß PCI DSS müssen alle Kontrollen bestanden sein, teilweise Compliance ist keine Option! Daher muss unbedingt auch der Compliance-Status von Zulieferern/Serviceprovidern in Betracht gezogen werden, sofern diese in die Handhabung der Daten involviert sind. Auch wenn Tätigkeiten im Zusammenhang mit den Karteninhaberdaten an solche Unternehmen übertragen werden, verbleibt die Haftbarkeit bei der anbahnenden (Haupt-)Organisation.

8. Alles dokumentieren!

Wer als Unternehmen PCI DSS Compliance anstrebt, sollte sich abschließend stets an eines erinnern: Dokumentieren, was man tut, und tun, was man dokumentiert hat. In den PCI DSS wird in zwei grundlegenden Anforderungen die Belegbarkeit durch Dokumentation und die Belegbarkeit von Implementierungseffizienz betont. Sie sind nur dann erfüllbar, wenn ein Unternehmen minutiös alle implementierten Kontrollen dokumentiert und die Implementierung von Kontrollen wie während des gesamten Prozesses dokumentiert beibehält.

Fazit

Ein Unternehmen, das sich die Mühe macht, den PCI DSS zu verstehen und zu verinnerlichen, kann nicht nur geschäftliche Vorgänge sicherer gestalten, sondern auch langfristig davon profitieren. Es liegt in der Natur des Compliance-Prozesses, dass das Unternehmen sich intensiv mit seinen operativen Abläufen und Datenströmen befasst. Dabei ergibt sich die Gelegenheit, das Geschäft als solches zu optimieren, während man gleichzeitig die Daten seiner Kunden und den eigenen Ruf schützt.

Inhalt

  • Seite 1: PCI-DSS ist gut fürs Unternehmen
  • Seite 2: 8 einfache Schritte
  • Seite 3: Nur speichern was man wirklich braucht
  • Seite 4: Fazit

(ID:2048885)