Unternehmen profitieren langfristig von PCI DSS In acht einfachen Schritten zur PCI Compliance

Autor / Redakteur: Rodolphe Simonetti, Verizon Business / Peter Schmitz

Die Menge an Daten in einem Unternehmen wächst exponentiell und damit auch die Verantwortung. Viele Unternehmen sehen in Daten ein mächtiges Instrument. Doch je mehr persönliche Daten man speichert, desto größer wird das Risiko, dass es zu potenziellen Datenmissbräuchen kommt und Schwachstellen entstehen, die einen dann auch schnell die PCI-DSS-Compliance kosten können. Wir zeigen in 8 einfachen Schritten, wie man PCI-DSS-Compliance erreicht.

Firma zum Thema

Ein Unternehmen, das sich die Mühe macht, den PCI DSS zu verstehen kann geschäftliche Vorgänge sicherer gestalten und davon auch langfristig profitieren.
Ein Unternehmen, das sich die Mühe macht, den PCI DSS zu verstehen kann geschäftliche Vorgänge sicherer gestalten und davon auch langfristig profitieren.
( Archiv: Vogel Business Media )

Der PCI DSS ist eine Möglichkeit, wie sich Unternehmen besser schützen können. Der PCI DSS ist eine umfangreiche Zusammenstellung vielschichtiger Anforderungen. Er wurde entwickelt, um weltweit die breit angelegte Einführung durchgängiger Maßnahmen zur Datensicherheit zu erleichtern. Er richtet sich an alle Handelsunternehmen und Serviceanbieter, die Zahlungskartendaten speichern, verarbeiten und übertragen. An seiner Entwicklung beteiligt sind namhafte Zahlungskartenmarken wie American Express, Discover Financial Services, JCB International, MasterCard Worldwide und Visa Inc. Die Überprüfung der Compliance lässt sich je nach Volumen der Kartentransaktionen intern oder extern durchführen. Ihre Feststellung erfolgt auf jährlicher Basis.

Rodolphe Simonett ist Head of Governance Risk and Compliance, Professional Services - Europe Middle-East Africa bei Verizon Business. (Archiv: Vogel Business Media)

Der soeben veröffentlichte Payment Card Industry Compliance Report von Verizon Business macht deutlich: Die Einhaltung von Branchenstandards für Sicherheit kann die Kompromittierung von Zahlungskartendaten deutlich reduzieren. Eine weitere wichtige Erkenntnis: Unternehmen, die den Payment Card Industry Data Security Standard (PCI DSS) erfüllen, haben eine halb so große Wahrscheinlichkeit einen Datenmissbrauchsfall zu erleben.

Trotz der damit verbundenen Vorteile sind viele Firmen nach wie vor der Auffassung, es handle sich bei PCI DSS Compliance um abschreckendes, weil zeitintensives Abarbeiten von Checklisten und nicht um eine Maßnahme von strategischer Bedeutung für das Geschäft. Der PCI DSS beschreibt die verfahrenstechnische Herangehensweise an Compliance in Form von zwölf Anforderungen, dem „digital dozen”, die es zu erfüllen gilt. Damit mehr als ein Routine-Audit daraus wird, sollten sich Unternehmen vergegenwärtigen, in wieweit die vorrangigen Komponenten des Standards ihr Unternehmen betreffen und wie ihr Geschäft davon profitieren kann.

Genau genommen ist es für Unternehmen ein Leichtes, einen genaueren Einblick in den PCI DSS zu gewinnen. Dies trägt dazu bei, das gesamte Compliance-Assessment und auch die spätere Implementierung hochgradig erfolgreich zu gestalten. Dies sind die wichtigsten Grundsatzregeln:

Inhalt

  • Seite 1: PCI-DSS ist gut fürs Unternehmen
  • Seite 2: 8 einfache Schritte
  • Seite 3: Nur speichern was man wirklich braucht
  • Seite 4: Fazit

1. Frühzeitig anfangen!

Ein verbreitetes Missverständnis bei Thema PCI DSSCompliance ist der Zeitpunkt, zu dem mit der Planung des Compliance-Projekts begonnen werden sollte. Die besten Erfolgschancen hat ein Unternehmen, wenn diese Aufgabe in Angriff genommen wird, sobald man beschließt, Zahlungskarten zu akzeptieren, oder eine neue Form der Akzeptanz erkundet, zum Beispiel in Verbindung mit einem E-Commerce-Projekt oder einem neuen POS-System.

Weiter empfiehlt sich eine nach Prioritäten strukturierte Herangehensweise an den PCI DSS, zumal dadurch das gesamte Verfahren vereinfacht wird. Dabei wird es wahrscheinlich je nach Unternehmen Abweichungen geben. Es lohnt sich daher, im Vorfeld die erforderliche Zeit zur Identifizierung der entscheidenden Risikobereiche zu investieren.

So wird beispielsweise eine große Einzelhandelskette den Anforderungen, die ihr POS-Netzwerk und die einzelnen Läden betreffen, eine höhere Priorität einräumen; ein Callcenter zieht womöglich vor, den Schwerpunkt auf Vorratsdatenspeicherung und Verschlüsselung zu legen. Jedes Unternehmen sollte anhand des spezifischen Umfeldes, seiner Systeme und auch anhand der Risikoaffinität seine Prioritäten setzen. Zu diesem frühen Zeitpunkt in der Entwicklung der Compliance Roadmap bereits mit gut ausgebildeten und erfahrenen Experten von außerhalb des Unternehmens zusammenzuarbeiten, kann sich als überaus wirksam erweisen. Das hier investierte Geld trägt dazu bei, den Prozess als Ganzes zu glätten und dadurch langfristig Einsparungen zu erzielen.

2. Den Umfang begrenzen

Wie umfangreich PCI DSS Compliance im Unternehmen umgesetzt sein muss, hängt davon ab, wie Karteninhaberdaten bei einem Handelsunternehmen oder Serviceanbieter gespeichert, verarbeitet und übertragen werden. Dass die Umgebung, in der sich Karteninhaberdaten befinden, maximal abgegrenzt wird, und zwar durch Firewalls zwischen den verschiedenen Unter-Netzwerken, sollte eigentlich selbstverständlich sein. Doch das kann sich als schwierig erweisen, insbesondere in länger bestehenden Umgebungen, wo mit Sicherheit traditionell der Schutz des Unternehmens-Perimeters gemeint war.

Die zwölf Anforderungen des PCI DSS beziehen sich auf alle Systemkomponenten. Sie sind definiert als jegliche Netzwerkkomponenten, Server oder Anwendungen, die in der Umgebung mit den Karteninhaberdaten enthalten oder damit verbunden sind. Besteht keine angemessene Trennung zwischen den Subnetzen, kann es durchaus sein, dass das gesamte Unternehmensnetzwerk in ein PCI DSS Assessment einbezogen werden muss.

Inhalt

  • Seite 1: PCI-DSS ist gut fürs Unternehmen
  • Seite 2: 8 einfache Schritte
  • Seite 3: Nur speichern was man wirklich braucht
  • Seite 4: Fazit

3. Nur behalten, was man wirklich braucht

Die goldene Regel für PCI DSSCompliance lautet: Nicht speichern, was man nicht braucht (d.h. Karteninhaberdaten). Leider gelingt es viel zu wenigen Unternehmen, sich an diese Regel zu halten. Nach Erkenntnissen des 2010 Data Breach Investigation Report (DBIR) von Verizon Business wiesen 43% der untersuchten Datenverletzungen mindestens eine unbekannter Komponente auf. Ein weiterer hervorstechender Aspekt ist „ein System, das Daten speichert, von denen das Unternehmen nicht wusste, dass sie auf dem System überhaupt existierten”.

Diese Erkenntnis zeigt, wie wichtig eine objektive Betrachtung der Frage ist, welche Daten wirklich für die geschäftlichen Abläufe benötigt werden, und wie diese sich innerhalb des Unternehmens bewegen. Weiter sollte man wissen, was als Karteninhaberdaten einzustufen ist, was folglich geschützt werden muss und was auf keinen Fall gespeichert werden darf. Beispielsweise dürfen „sensitive authentication data.3“ nicht zur Speicherung nach der Autorisierung zugelassen sein, selbst wenn sie verschlüsselt oder zerhackt sind. Allerdings sind manche Unternehmen fälschlicherweise der Auffassung, dass genau das für verschiedene geschäftliche Zwecke erforderlich ist (z. B. um im Namen des Kunden wiederkehrende Transaktionen zu verbuchen), um Konflikte bei Zahlungen sowie in Rückbelastungssituationen zu vermeiden. In Wahrheit gibt es keinen zu rechtfertigenden Geschäftsgrund, solche Daten nach der Autorisierung zu speichern, weil keines der dargestellten Szenarien die erneute Vorlage sensibler Authentifizierungsdaten erfordert.

4. Die Absicht hinter Kontrollen im Auge behalten

In den Sicherheitsabteilungen von Unternehmen sucht man gern nach irgendwelchen vorgefertigten Checklisten oder Standard-Tools, mit denen sich Aufgaben im Zusammenhang mit Compliance vereinfachen lassen. Zwar stellen eine Checkliste oder ein Tool eine rasche und nachprüfbare Methodik zur Verfügung, mit der man ein Kontrollziel erreicht. Wichtiger ist jedoch, die Absicht hinter dieser Kontrolle als Ganzes zu erfassen und zu erfüllen. Manchmal vermitteln solche Hilfsmittel ein rosiges Bild, obwohl möglicherweise manches im Argen liegt. Checklisten sind immer nützlich, aber ein gesundes Urteilsvermögen bei der Entscheidung, ob die Anstrengungen wirklich der Absicht gerecht werden, die einer Anforderung zugrunde liegt, darf nicht fehlen.

5. Alle Interessengruppen einbinden

PCI DSS Compliance ist nicht allein ein IT-Projekt. Vielmehr sollte von vorneherein die Beteiligung aller Interessengruppen innerhalb des Unternehmens gewährleistet sein. Das Projektteam sollte Vertreter aller Funktionen einbinden: Informationssicherheit, operatives Geschäft, Verwaltung/Einrichtungen, Humanressourcen und nicht zu guter Letzt Informationstechnologie. Die PCI DSS-Anforderungen erstrecken sich über sämtliche Abteilungen eines Unternehmens; die aktive Beteiligung dieser Funktionen spielt eine entscheidende Rolle bei der Erreichung und Beibehaltung von PCI Compliance.

Inhalt

  • Seite 4: Fazit
  • Seite 1: PCI-DSS ist gut fürs Unternehmen
  • Seite 2: 8 einfache Schritte
  • Seite 3: Nur speichern was man wirklich braucht
  • Seite 4: Fazit

6. Überheblichkeit ist fehl am Platz

PCI DSS ist ein einzigartiger Standard, der spezifisch zu dem Zweck aufgestellt, aktualisiert und durchgesetzt wird, Zahlungskartendaten zu schützen. In diesem Zusammenhang ist besondere Aufmerksamkeit und Konzentration erforderlich, selbst – und vielleicht besonders dann – wenn das Unternehmen bereits andere Sicherheitsstandards implementiert hat. Der Grad an Detailgenauigkeit, der im PCI DSS steckt, kann gelegentlich etwas überfordernd wirken. Sicher ist auch, dass er kaum Spielraum für Annahmen und Flexibilität lässt. Unter Umständen erfordert er Änderungen an Geschäftspraktiken oder technischen Komponenten. Ein Unternehmen sollte deshalb besonders den Details große Aufmerksamkeit schenken, wenn man ein PCI DSS-Projekt auf den Weg bringt.

7. Compliance von Zulieferern ist ebenfalls enorm wichtig

Auf dem Weg zur PCI DSS Compliance wird gelegentlich vergessen, dass auch Zulieferer/Serviceprovider des Unternehmens eine entsprechende Compliance aufweisen müssen. Zur Erlangung des Compliant-Status gemäß PCI DSS müssen alle Kontrollen bestanden sein, teilweise Compliance ist keine Option! Daher muss unbedingt auch der Compliance-Status von Zulieferern/Serviceprovidern in Betracht gezogen werden, sofern diese in die Handhabung der Daten involviert sind. Auch wenn Tätigkeiten im Zusammenhang mit den Karteninhaberdaten an solche Unternehmen übertragen werden, verbleibt die Haftbarkeit bei der anbahnenden (Haupt-)Organisation.

8. Alles dokumentieren!

Wer als Unternehmen PCI DSS Compliance anstrebt, sollte sich abschließend stets an eines erinnern: Dokumentieren, was man tut, und tun, was man dokumentiert hat. In den PCI DSS wird in zwei grundlegenden Anforderungen die Belegbarkeit durch Dokumentation und die Belegbarkeit von Implementierungseffizienz betont. Sie sind nur dann erfüllbar, wenn ein Unternehmen minutiös alle implementierten Kontrollen dokumentiert und die Implementierung von Kontrollen wie während des gesamten Prozesses dokumentiert beibehält.

Fazit

Ein Unternehmen, das sich die Mühe macht, den PCI DSS zu verstehen und zu verinnerlichen, kann nicht nur geschäftliche Vorgänge sicherer gestalten, sondern auch langfristig davon profitieren. Es liegt in der Natur des Compliance-Prozesses, dass das Unternehmen sich intensiv mit seinen operativen Abläufen und Datenströmen befasst. Dabei ergibt sich die Gelegenheit, das Geschäft als solches zu optimieren, während man gleichzeitig die Daten seiner Kunden und den eigenen Ruf schützt.

Inhalt

  • Seite 1: PCI-DSS ist gut fürs Unternehmen
  • Seite 2: 8 einfache Schritte
  • Seite 3: Nur speichern was man wirklich braucht
  • Seite 4: Fazit

(ID:2048885)