Compliance ist kein Grund für Selbstzufriedenheit PCI-Sicherheit – Geschäftschance oder Ausstiegsgrund?

Autor / Redakteur: Ciske van Oosten* / Stephan Augsten

In vielen Branchen herrscht ein Missverständnis vor: Compliance mit PCI-Sicherheitsrichtlinien sei eine rein technische Angelegenheit, die nicht über das Wohl des Unternehmens entscheidet. Doch angesichts der zunehmenden Bedrohungen und schützenswerten Daten wird die Einhaltung gesetzlicher und industrieller Vorgaben immer wichtiger.

Firmen zum Thema

Wer sich an die PCI-Richtlinien hält, bietet auch seinen Kunden ein gewisses Maß an Sicherheit.
Wer sich an die PCI-Richtlinien hält, bietet auch seinen Kunden ein gewisses Maß an Sicherheit.
(Bild: PCI Security Standards Council)

Die Herausforderungen und die Verantwortung von Organisationen nehmen zu, je mehr sensible Daten sie speichern und je stärker sie Datenverletzungen und Schwachstellen ausgesetzt sind. Ginge es nach vernünftigen Geschäftspraktiken, so sollte man Investitionen kontinuierlich schützen und das Ertragspotenzial eines jeden genutzten Assets steigern.

Das Akzeptieren von Zahlungskarten ist nach wie vor ein wertvolles Unternehmens-Asset. Bei gutem Management und ausreichendem Schutz verspricht die Zahlungskarten-Akzeptanz auch in Zukunft eine gute Investmentrendite. Tut man dies nicht, sind Probleme programmiert. Allerdings muss man dann auch die Vorgaben des Payment Card Industry Data Security Standard (PCI DSS) umsetzen.

Die Autoren des Verizon 2014 PCI Compliance Report haben herausgefunden, dass viel zu viele Unternehmen im Anschluss an ihr jährliches Assessment bei der Aufrechterhaltung von Compliance versagen – und damit ihr Geschäft einem erhöhten Risiko in Form von Datenverletzungen und damit verbundenen Schäden in finanzieller und reputativer Hinsicht aussetzen.

2013 erfüllten 11,1 Prozent der Organisationen zum Zeitpunkt ihres Baseline-Assessments die PCI-DSS-Richtlinien zu 100 Prozent, 2012 waren es gerade einmal 7,5 Prozent. Und wir beobachten immer wieder, dass viele Unternehmen PCI-Compliance lediglich als ein Ereignis betrachten, das einmal im Jahr vorkommt. Ihnen ist nicht bewusst, dass Compliance etwas ist, das 365 Tage im Jahr im Mittelpunkt stehen muss.

Ist PCI DSS eher Fluch oder Segen?

Unternehmen stellen häufig die Frage: Kann man PCI-Compliance wirklich als Geschäftschance betrachten? Die Antwort ist ein definitives Ja. Compliance, Sicherheit und Datenschutz sind entscheidend für das Geschäft und stellen für jedes Unternehmen, das diese Bedingungen erfüllt, eine Chance dar.

Vom PCI Security Standards Council selbst ist zu hören, dass die Änderungen in PCI DSS 3.0 (PDF, 5 MB) darauf abzielen, Organisationen bei der Einnahme einer proaktiven Herangehensweise an den Schutz von Karteninhaberdaten zu unterstützen, die sich auf Sicherheit und nicht so sehr auf Compliance konzentriert und PCI DSS zu einer tagtäglichen Geschäftspraxis macht.

Unternehmen profitieren merklich davon, wenn sie Compliance-Maßnahmen zum „business as usual“ machen. Allerdings werden sie etwas Hilfestellung bei der Durchführung ihrer Sicherheits- und Compliance-Programme benötigen, wenn es um Assessment, Management, Change Control und das Reagieren auf Vorfälle geht.

Wie Unternehmen von PCI-Compliance profitieren

Eine engere Ausrichtung an Informationssicherheits-Governance und Management-Qualitätsstandards oder Verweise darauf – besonders im Bezug auf die Einbindung von Befähigungs- und Performance-Maturitätsmodellen – wären zum Beispiel hilfreich. Bei richtiger Handhabung kann Compliance zur Optimierung von Prozessen beitragen, Chancen zur Konsolidierung von Infrastruktur aufzeigen und neue Einnahmequellen erschließen, wie etwa:

  • Verbesserte geschäftliche Effizienz: Programme zur Erreichung von PCI Security Compliance sind eine hervorragende Gelegenheit, betriebliche Abläufe von Anfang bis Ende neu zu überdenken – Prozessoptimierung, verbesserte interne Kommunikation und aus Managementsicht ein besserer Überblick über Sicherheit und damit verbundene Ausgaben sind die Folge.
  • Effizientere IT-Services: Bestrebungen, die PCI Security Standards zu erfüllen, schließen fast immer Änderungen an der IT sowie am Geschäft insgesamt ein. Compliance-Programme bieten die Möglichkeit, einen strategischen Blick auf Systeme und Investitionen zu werfen, die sich womöglich im Laufe der Jahre angesammelt haben. Daraus ergeben sich Vorteile wie Konsolidierung und Straffung der Infrastruktur, Optimierung von Sicherheit, Business Continuity, Handhabbarkeit und System-Performance.
  • Verringertes Risiko: Bei der Initiierung eines PCI Security Compliance Programms schaut man häufig zum ersten Mal auf die Informationsverfügbarkeit im Unternehmen. Der Basissatz an Kriterien, der daraus hervorgeht, lässt sich auch auf andere Arten von Daten und Systemen außerhalb der Karteninhaberdaten-Umgebung anwenden. Er trägt zu mehr Sicherheit bei und verringert Risiko-Schwachstellen.
  • Mehr Innovation: Bei Compliance geht es nicht nur darum, Lücken zu stopfen. PCI Security Compliance kann durchaus Innovation vorantreiben, etwa durch Einführung neuer Technologien (z. B. Cloud-Computing und mobile Services), Arbeitsmethoden oder gar Geschäftsmodelle. Beispielsweise haben Einzelhändler zur Erfüllung von PCI-Anforderungen neue Point-of-Sale-Systeme angeschafft und sind dadurch in den Genuss weiterer Vorteile wie erhöhter Durchsatz und neue Einnahmekanäle durch Werbemöglichkeiten gekommen.
  • Gestärktes Kundenvertrauen: Die Kunden von morgen werden noch anspruchsvoller sein. Big Data und weiterentwickelte Analysemethoden bieten neuartige Einblicke in das Kundenverhalten, jedoch nur, wenn die Kunden dem Unternehmen im Hinblick auf Daten vertrauen. Die Anwendung von PCI-Sicherheitsstandards im gesamten operativen Kundengeschäft trägt zum Schutz der Privatsphäre der Kunden und zum Aufbau von Vertrauen in die Marke(n) des Unternehmens bei.

Organisationen müssen kontinuierlich nicht nur ihren PCI-Security-Compliance-Status überprüfen, sondern auch die Datenschutzrichtlinien ihrer allgemeinen Sicherheitspraktiken. Hundertprozentige Compliance mit PCI DSS zu einem gegebenen Zeitpunkt macht ein Geschäft nicht 100-prozentig sicher, sie ist lediglich ein Teil der größeren Sicherheitslösung.

* Ciske van Oosten ist Director of Operations bei Global Verizon PCI Security Practice.

(ID:42955782)