Wirtschaftliche und technische Kriterien für PCI-konforme Security-Lösungen

PCI-Compliance schafft Vertrauen

30.05.2008 | Autor / Redakteur: Meinolf Schulte (SSH Communications Security Germany) / Peter Schmitz

Unternehmen sollten IT-Security und PCI-Compliance betriebswirtschaftlich im Rahmen einer TCO- oder ROI-Analyse kalkulieren.
Unternehmen sollten IT-Security und PCI-Compliance betriebswirtschaftlich im Rahmen einer TCO- oder ROI-Analyse kalkulieren.

Boomender Online-Handel und immer mehr Fälle von Kreditkartenbetrug und Identitätsdiebstahl gehen längst Hand in hand. Höchste Zeit, dass Unternehmen mit dem PCI-DSS-Standard Wege für das sichere Zahlungs- und Datenmanagement gehen. Aber neben technologischen gibt es auch betriebswirtschaftliche Kriterien für eine PCI-konforme Security-Lösung. Security-Insider zeigt, worauf es bei der Auswahl ankommt.

Der Online-Handel boomt. Und mit ihm auch der Kreditkartenbetrug. Zwei Fakten aus dem Winter 2007 werfen ein bezeichnendes Licht auf diese Entwicklung. Auf der einen Seite bezifferte der Verband des bundesdeutschen Onlinehandels (VDBO) den Umsatz alleine im Online-Weihnachtsgeschäft auf 4,8 Milliarden Euro, das sind rund eine halbe Milliarde Euro mehr als noch 2006. Und auf immerhin 10,9 Milliarden Euro beziffert der Bundesverband des Deutschen Versandhandels (BVH) die Gesamtausgaben im eCommerce für das Jahr 2007, was einer Steigerung von 9 Prozent gegenüber dem Vorjahr entspricht.

Auf der anderen Seite hat Identitätsbetrug alleine in den USA von 2002 bis 2007 um 50 Prozent zugenommen - der geschätzte Gesamtschaden: zwischen 50 und 65 Milliarden Dollar jährlich. Im Jahr 2006 waren nach Gartner davon 15 Millionen US-Staatsbürger direkt oder indirekt betroffen. Aber auch dem klassischen Handel, der sensible Daten webbasiert verwaltet, fehlt teilweise das nötige Risikobewusstsein: So musste der US-Einzelhändler TJX Companies Inc., der Kreditkartendaten u.a. von Branchenriesen wie Visa und MasterCard speichert, eingestehen, im Verlauf von 3 Jahren annähernd 100 Millionen vertrauliche Datensätze aus seinem Intranet an Hacker verloren zu haben.

Das passt ins Bild, hatte doch 2006 die Security Research & Consulting GmbH im Auftrag von MasterCard und Visa bei 3000 Verkäufern und über 35 Service-Providern die Standards im Umgang mit Kartendaten geprüft und war dabei zu dem erschreckenden Ergebnis gekommen, dass über 60% der überprüften Unternehmen gegen geltende Sicherheitsregeln verstießen: diese Nachlässigkeit hat ihren Preis, den Unternehmen wie Kunden in Milliardenhöhe zu zahlen haben.

Der Erfolg des Online-Handels hängt vom Kundenvertrauen ab

Retail und eTail basieren nicht zuletzt auf Kundenvertrauen in die Sicherheit ihrer Finanztransaktionen. Daher wurde im Herbst 2007 von der Kreditkartenindustrie im Verbund mit 28 IT-Security Anbietern der PCI DSS als verbindlicher Standard für Händler implementiert. Gab es vorher die insularen Sicherheitsbestimmungen einzelner Anbieter wie das Visa-Account-Information-Security-Programm oder die American Express Security Operating Policy (DSOP), so ist nun in 12 einzelnen Paragraphen genau festgelegt, was ein Unternehmen leisten muss, um „compliant“ zu sein.

Wer gegen diese Richtlinien verstößt, hat mit Sanktionen bis hin zum Entzug der Erlaubnis zu rechnen, Kreditkartentransaktionen durchführen zu dürfen. Regelmäßig angesetzte externe Audits durch ein zertifiziertes Unternehmen (QSA) und vierteljährliche Scans mit Scanvendor verpflichten insbesondere die Level 1-Anbieter, große Retailer mit mehr als 6.000.000 Kreditkartentransaktionen jährlich, zu dokumentierten Sicherheitsrichtlinien und Transparenz über ihren Sicherheitsstatus.

Das Verschleiern eines großangelegten Datendiebstahles ist so nicht mehr ohne weiteres möglich. Der Kunde erfährt davon - und dann drohen Imageverlust in der Öffentlichkeit und eventuell auch Klagen auf Schadensersatz. Kein Händler kann sich das leisten, daher muss er auf IT-Security Anbieter setzen, die ihn insbesondere dabei unterstützen, die im Zeichen von Sniffing, Man-in-the-Middle-Angriffen und Identitätsdiebstahl zentrale PCI-Richtlinie IV eines sicheren Datei- und Datentransfers durch starke Verschlüsselung - einschließlich Schlüsselvergabe, -verwaltung und Authentifizierung - einzuhalten.

Seite 2: Starke Verschlüsselung ist erst der Anfang

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2012962 / Compliance und Datenschutz )