PCI DSS-Compliance
Sicherheit bei Kreditkarten zählt
Cyberkriminalität ist auf dem Vormarsch und damit steht die Sicherheit bei Kreditkarten für Unternehmen und Verbraucher gleichermaßen im Fokus.
Der Payment Card Industry Data Security Standard (PCI DSS) soll Unternehmen, die Kartenzahlungen akzeptieren, darin unterstützen, ihre Zahlungssysteme vor Datenverletzungen und damit vor dem Diebstahl von Kundendaten zu schützen. Allerdings nehmen viele Organisationen die langfristige Einhaltung des Standards nicht ernst und halten die Compliance- Richtlinien nicht ein.
Dies sind Ergebnisse, die in vor kurzem im Verizon 2017 Payment Security Report (2017 PSR) veröffentlicht wurden. Der Report untersucht ausführlich die Details der Zahlungssicherheit und der PCI DSS-Compliance und zeigt einen Zusammenhang zwischen der Einhaltung von Sicherheitsstandards für Zahlungskarten und der Abwehrfähigkeit von Cyberangriffen. Keine der Organisationen, bei denen Verizon Datenverletzungen untersucht hat, erfüllte zum Zeitpunkt des Vorfalls vollständig die Compliance Vorgaben; erfüllt wurden maximal zehn der zwölf Kernanforderungen des PCI DSS.
Die Auswirkungen einer Datenverletzung können erheblich sein, nicht nur monetär, indem die Umsätze zurückgehen, sondern auch resultierend in eine schwächere Markenreputation und Kundenbindung. Darüber hinaus werden sich die Strafen für unzureichende Vorsichtsmaßnahmen für viele Organisationen verschärfen und jedes Unternehmen, das in der EU tätig ist, wird künftig der neuen Allgemeinen Datenschutzrichtlinie (GDPR) unterliegen. Hierbei handelt es sich um Strafzahlungen, die dann anfallen, wenn der Schutz personenbezogener Daten, die Zahlungskartendaten enthalten, nicht gewährleistet ist. Die Höhe variiert, bis zu 20 Millionen Euro oder 4 Prozent des Umsatzes, je nachdem, welcher Wert höher ist.
Die Fakten:
Insgesamt hat die PCI-Compliance bei global tätigen Unternehmen zugenommen; 55,4 Prozent der von Verizon untersuchten Organisationen bestanden 2016 ihre Interimsbewertung. Im Jahr 2015 hatten lediglich 48,4 Prozent diese Hürde genommen.
Allerdings sind Organisationen verpflichtet, nicht nur die 100 Prozent-Marke des PCI DSS zu erreichen, sondern diesen Standard auch zu halten. Dies bedeutet, dass alle anwendbaren Sicherheitskontrollen kontinuierlich im Einsatz sind. So ist es zwar lobenswert, dass die PCI-Compliance zunimmt; Tatsache bleibt aber, dass 40 Prozent der großen wie kleinen Firmen und Behörden, die weltweit analysiert wurden, nach wie vor nicht die PCI-DSS-Compliance-Standards erfüllen. Und von denen, die bestanden haben, verliert fast die Hälfte innerhalb eines Jahres den Status wieder – viele davon sogar schneller.
Compliance nach Branchen: Wesentliche Erkenntnisse und Beispiele
Von allen untersuchten Industrien erzielten die IT-Dienstleister die höchste Quote für vollständige Compliance. Weltweit erreichten 2016 etwa drei Fünftel (61,3 Prozent) der im Bereich IT-Services tätigen Unternehmen bei einer Interimsprüfung vollständige Compliance, dicht gefolgt von den Finanzdienstleistern mit 59,1 Prozent (darin eingeschlossen Versicherungsunternehmen). Der Einzelhandel schaffte 50 Prozent und das Hotel- und Gaststättengewerbe brachte es auf 42,9 Prozent.
Weiterhin zeigt der 2017 PSR-Report die Compliance-Hürden der jeweiligen Branchen auf:
- Einzelhandel: Sicherheits-Tests, verschlüsselte Datenübertragung und Authentifizierung
- Hotels und Gaststätten sowie Reisen: Stärkung der Sicherheit, Schutz von Daten bei der Übertragung sowie physische Sicherheit
- Finanzdienstleistungen: Sicherheitsprozeduren, sichere Konfigurationen, Schutz von Daten bei der Übertragung, Schwachstellen-Management sowie übergreifendes Risikomanagement.
- Sicherheit bei Kreditkarten zählt
- Kontrolllücken beachten
Lesen Sie mehr zum Thema
