PCI-Konformität
Was ist PCI-Compliance?
Die Einhaltung der PCI (Payment Card Industry) wird von PCI Security Standards Council entwickelt und verwaltet.
Die zentralen Thesen
- Unternehmen, die die Datensicherheitsstandards der Payment Card Industry (PCI DSS) befolgen und erfüllen, gelten als PCI-konform.
- Der PCI Security Standards Council ist für die Entwicklung des PCI DSS verantwortlich.
- PCI DSS hat 12 Schlüsselanforderungen, 78 Basisanforderungen und 400 Testverfahren, um sicherzustellen, dass Unternehmen PCI-konform sind.
- Die PCI-Konformität reduziert Datenverletzungen, schützt die Daten von Karteninhabern, vermeidet Bußgelder und verbessert den Ruf der Marke.
- Die PCI-Compliance ist nicht gesetzlich vorgeschrieben, wird jedoch aufgrund gerichtlicher Präzedenzfälle als obligatorisch angesehen.
Grundlegendes zur PCI-Konformität
Die gerichtlicher Präzedenzfälle als zwingend erachtet.
Im Allgemeinen ist die PCI-Konformität eine Kernkomponente des Sicherheitsprotokolls eines Kreditkartenunternehmens. Es wird im Allgemeinen von Kreditkartenunternehmen vorgeschrieben und in Kreditkartennetzwerkverträgen erörtert.
Der PCI Standards Council ist für die Entwicklung der Standards für die PCI-Compliance verantwortlich. Diese Standards gelten für die Händlerverarbeitung und wurden auch um Anforderungen für wichtige Entitäten, die ebenfalls mit der Standardsetzung in der Kreditkartenbranche verbunden sind, sind The Card Association Network und das National Automated Clearing House (NACHA).
Anforderungen an die PCI-Compliance
PCI-Compliance-Standards verlangen von Händlern und anderen Unternehmen, Kreditkarteninformationen auf sichere Weise zu behandeln, um die Wahrscheinlichkeit zu verringern, dass Karteninhaber sensible Finanzkontoinformationen gestohlen werden. Wenn Händler Kreditkarteninformationen nicht gemäß den PCI-Standards verarbeiten, können die Karteninformationen gehackt und für eine Vielzahl betrügerischer Aktionen verwendet werden. Darüber hinaus könnten sensible Informationen über den Karteninhaber bei Identitätsbetrug verwendet werden.
PCI-konform zu sein bedeutet, sich konsequent an eine Reihe von Richtlinien zu halten, die vom PCI Standards Council festgelegt wurden. Die PCI-Konformität wird vom PCI Standards Council geregelt, einer Organisation, die 2006 gegründet wurde, um die Sicherheit von Kreditkarten zu verwalten.
Die vom Rat entwickelten Anforderungen sind als Payment Card Industry Data Security Standards (PCI DSS) bekannt. PCI DSS hat 12 Hauptanforderungen, 78 Basisanforderungen und über 400 Testverfahren. Die Richtlinien gelten auch als bewährte Sicherheitspraktiken. Seine 12 Hauptanforderungen umfassen Folgendes:
- Implementieren Sie Firewalls zum Schutz von Daten
- Geeigneter Passwortschutz
- Karteninhaberdaten schützen
- Verschlüsselung der übertragenen Karteninhaberdaten
- Verwenden Sie Antivirensoftware
- Software aktualisieren und Sicherheitssysteme warten
- Beschränken Sie den Zugriff auf Karteninhaberdaten
- Eindeutige IDs, die Personen mit Zugriff auf Daten zugewiesen werden
- Beschränken Sie den physischen Zugriff auf Daten
- Zugriffsprotokolle erstellen und überwachen
- Sicherheitssysteme regelmäßig testen
- Erstellen Sie eine Richtlinie, die dokumentiert ist und befolgt werden kann
Die neueste Version von PCI DSS wurde im Mai 2018 veröffentlicht und wird als Version 3.2.1 bezeichnet. Insgesamt beschreiben die sechs Ziele und zwölf Anforderungen eine Reihe von Schritten, die Kreditkartenverarbeiter kontinuierlich befolgen müssen. Unternehmen werden zunächst gebeten, ihre Netzwerke und Systeme zu bewerten, die IT-Infrastruktur, Geschäftsprozesse und Verfahren zur Kreditkartenabwicklung umfassen.
Vorteile der PCI-Compliance
Auch die ständige Pflege und Überprüfung eventueller Sicherheitslücken ist sehr wichtig, um den Diebstahl sensibler Karteninhaberdaten wie Sozialversicherungs und Führerscheinnummern möglichst zu vermeiden .
Unternehmen sind verpflichtet, im Rahmen ihrer Kartenverarbeitungsvereinbarungen regelmäßig Compliance-Berichte vorzulegen. Überwachung, Bewertungen und Audits der Datensicherheitsstandards der Zahlungskartenindustrie sind alle ein wichtiger Bestandteil der Sicherheitsabteilung eines Unternehmens.
Alle Unternehmen, die Kreditkarteninformationen verarbeiten, müssen die PCI-Konformität gemäß ihren Kartenverarbeitungsvereinbarungen einhalten. PCI-Compliance ist der Industriestandard und Geschäfte ohne diese können bei Vertragsverletzungen und Fahrlässigkeit zu erheblichen Geldstrafen führen. Ohne PCI-Compliance sind Unternehmen auch sehr anfällig für Diebstahl, Betrug und Datenschutzverletzungen.
95%
Der Prozentsatz der Cybersicherheitsverletzungen, die durch menschliches Versagen verursacht werden.
Zu den Vorteilen der Compliance gehören das verringerte Risiko von Datenschutzverletzungen, der Schutz von Karteninhaberdaten und somit die Vermeidung von Identitätsdiebstahl. Es ist eine gute Praxis für Unternehmen, die Vorschriften einzuhalten, da sie alle Geldstrafen im Zusammenhang mit Datenschutzverletzungen reduzieren, den Ruf eines Unternehmens verbessern, Kunden glücklich machen und sicher sein können, dass sie Geschäfte mit einem verantwortungsbewussten Unternehmen tätigen, was zu Markentreue führt.
Im ersten Halbjahr 2020 wurden 36 Milliarden Datensätze durch Datenschutzverletzungen offengelegt.86 Prozent der Verstöße waren finanziell motiviert, und da der globale Markt für Informationssicherheit im Jahr 2020 voraussichtlich 170 Milliarden US-Dollar erreichen wird, ist das finanzielle Risiko noch höher. Der Schutz der Karteninhaberdaten ist nicht nur gut fürs Geschäft, sondern auch richtig, um sicherzustellen, dass Menschen keinen negativen Schaden erleiden oder finanzielle Verluste erleiden.
PCI-Compliance und Datenschutzverletzungen
PCI-Compliance hilft, betrügerische Aktivitäten zu vermeiden und Datenschutzverletzungen zu mindern. Verizon bietet in seinem „Verizon Payment Security Report“ eine jährliche Bewertung der Zahlungssicherheit. Der Bericht 2019 widmet PCI DSS einen ganzen Abschnitt mit dem Titel „Stand der PCI DSS-Konformität, 2019: Und 12 Hauptanforderungen“. Einige PCI-DSS-Highlights aus dem „Verizon 2019 Payment Security Report“ umfassen Folgendes:
- 36,7 % der Unternehmen unterhielten im Jahr 2018 aktiv PCI-DSS-Programme.
- Die Region Asien-Pazifik übertraf Amerika, Europa, den Nahen Osten und Afrika.
- Aus Branchensicht hinkt das Gastgewerbe anderen Sektoren etwas hinterher.
Häufig gestellte Fragen zur PCI-Konformität
Was bedeutet PCI-konform?
PCI-konform bedeutet, dass jedes Unternehmen oder jede Organisation, die die privaten Daten von Karteninhabern akzeptiert, überträgt oder speichert, die verschiedenen Sicherheitsmaßnahmen des PCI Security Standard Council einhält, um sicherzustellen, dass die Daten sicher und privat bleiben.
Ist PCI-Compliance gesetzlich vorgeschrieben?
Es gibt kein Regulierungsmandat, das die Einhaltung der PCI erfordert, aber es wird durch einen Präzedenzfall als obligatorisch angesehen.
Wie werde ich PCI-konform?
Um PCI-konform zu werden, müssen Sie zunächst bestimmen, welchen Fragebogen zur Selbsteinschätzung Sie befolgen müssen, um konform zu werden. Sobald Sie den Fragebogen ausgefüllt haben, müssen Sie einen bestandenen Schwachstellenscan mit einem von PCI SSC zugelassenen Scan-Anbieter ausfüllen und nachweisen. Das Scannen gilt nur für einige Händler. Sie müssen dann die Konformitätsbescheinigung ausfüllen. Der letzte Schritt besteht darin, alle oben genannten Informationen zu übermitteln.
Wer muss PCI-konform sein?
Jedes Unternehmen oder jede Organisation, die die privaten Daten von Karteninhabern akzeptiert, übermittelt oder speichert.
Das Fazit
PCI-Compliance bezieht sich auf die vom PCI Security Standards Council festgelegten technischen und betrieblichen Standards, die Unternehmen implementieren und aufrechterhalten müssen. Das Ziel der PCI-Konformität besteht darin, Karteninhaberdaten zu schützen und gilt für jede Organisation, die diese Daten akzeptiert, überträgt oder speichert. PCI-Konformität ist eine gute Geschäftspraxis, da die Sicherheit von Verbraucherdaten an erster Stelle steht und einem Unternehmen auch durch einen positiven Markenruf zugute kommt.