Compliance ist kein Grund für Selbstzufriedenheit

PCI-Sicherheit – Geschäftschance oder Ausstiegsgrund?

| Autor / Redakteur: Ciske van Oosten* / Stephan Augsten

Wer sich an die PCI-Richtlinien hält, bietet auch seinen Kunden ein gewisses Maß an Sicherheit.
Wer sich an die PCI-Richtlinien hält, bietet auch seinen Kunden ein gewisses Maß an Sicherheit. (Bild: PCI Security Standards Council)

In vielen Branchen herrscht ein Missverständnis vor: Compliance mit PCI-Sicherheitsrichtlinien sei eine rein technische Angelegenheit, die nicht über das Wohl des Unternehmens entscheidet. Doch angesichts der zunehmenden Bedrohungen und schützenswerten Daten wird die Einhaltung gesetzlicher und industrieller Vorgaben immer wichtiger.

Die Herausforderungen und die Verantwortung von Organisationen nehmen zu, je mehr sensible Daten sie speichern und je stärker sie Datenverletzungen und Schwachstellen ausgesetzt sind. Ginge es nach vernünftigen Geschäftspraktiken, so sollte man Investitionen kontinuierlich schützen und das Ertragspotenzial eines jeden genutzten Assets steigern.

Das Akzeptieren von Zahlungskarten ist nach wie vor ein wertvolles Unternehmens-Asset. Bei gutem Management und ausreichendem Schutz verspricht die Zahlungskarten-Akzeptanz auch in Zukunft eine gute Investmentrendite. Tut man dies nicht, sind Probleme programmiert. Allerdings muss man dann auch die Vorgaben des Payment Card Industry Data Security Standard (PCI DSS) umsetzen.

Die Autoren des Verizon 2014 PCI Compliance Report haben herausgefunden, dass viel zu viele Unternehmen im Anschluss an ihr jährliches Assessment bei der Aufrechterhaltung von Compliance versagen – und damit ihr Geschäft einem erhöhten Risiko in Form von Datenverletzungen und damit verbundenen Schäden in finanzieller und reputativer Hinsicht aussetzen.

2013 erfüllten 11,1 Prozent der Organisationen zum Zeitpunkt ihres Baseline-Assessments die PCI-DSS-Richtlinien zu 100 Prozent, 2012 waren es gerade einmal 7,5 Prozent. Und wir beobachten immer wieder, dass viele Unternehmen PCI-Compliance lediglich als ein Ereignis betrachten, das einmal im Jahr vorkommt. Ihnen ist nicht bewusst, dass Compliance etwas ist, das 365 Tage im Jahr im Mittelpunkt stehen muss.

Ist PCI DSS eher Fluch oder Segen?

Unternehmen stellen häufig die Frage: Kann man PCI-Compliance wirklich als Geschäftschance betrachten? Die Antwort ist ein definitives Ja. Compliance, Sicherheit und Datenschutz sind entscheidend für das Geschäft und stellen für jedes Unternehmen, das diese Bedingungen erfüllt, eine Chance dar.

Vom PCI Security Standards Council selbst ist zu hören, dass die Änderungen in PCI DSS 3.0 (PDF, 5 MB) darauf abzielen, Organisationen bei der Einnahme einer proaktiven Herangehensweise an den Schutz von Karteninhaberdaten zu unterstützen, die sich auf Sicherheit und nicht so sehr auf Compliance konzentriert und PCI DSS zu einer tagtäglichen Geschäftspraxis macht.

Unternehmen profitieren merklich davon, wenn sie Compliance-Maßnahmen zum „business as usual“ machen. Allerdings werden sie etwas Hilfestellung bei der Durchführung ihrer Sicherheits- und Compliance-Programme benötigen, wenn es um Assessment, Management, Change Control und das Reagieren auf Vorfälle geht.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42955782 / Compliance und Datenschutz )