PCI DSS-Compliance
Sicherheit bei Kreditkarten zählt
Fortsetzung des Artikels von Teil 1
Kontrolllücken beachten
Ein Blick auf die PCI-Kontrollmechanismen, die in Unternehmen eigentlich vorhanden sein sollten (etwa Sicherheits-Checks, Penetrationstests usw.), offenbart dem Report zufolge, dass es eine zunehmend größere Kontrolllücke gibt. Mit anderen Worten: Zahlreiche dieser grundlegenden Dinge waren schlicht nicht vorhanden. 2015 fehlten bei Unternehmen, die bei der Interimsprüfung durchfielen, durchschnittlich 12,4 Prozent der Kontrollen; 2016 sind es 13 Prozent.
Wie erreicht man nachhaltigen Datenschutz?
Viele Unternehmen betrachten PCI DSS-Kontrollvorgaben nach wie vor isoliert; ihnen ist nicht bewusst, dass sie im Zusammenhang gesehen werden müssen – häufig fehlt ein Konzept für das Control-Lifecycle-Management. Dies ist meist auf einen Mangel an qualifizierten Fachkräften in der eigenen Organisation zurückzuführen. Oft wird ein Projekt gestartet, die Compliance erreicht und dann einfach nicht gepflegt, da der Mitarbeiter mit dem PCI-Skill-Set das Unternehmen verlässt. Daraufhin geht die Compliance zurück und das Programm muss wieder neu gestartet werden. Oder alternativ sehen wir ungelernte Mitarbeiter, die mit der Einhaltung der PCI-Norm beauftragt sind, aber sie haben nicht das grundlegende Wissen, um dieses Ziel zu erreichen.
Nach unseren Erfahrungen kann ein besseres Sachverständnis deutlich positiver dargestellt werden, wenn Experten von außen eine Anleitung zum Lifecycle-Management geben bzw. Mitarbeiter kontinuierlich dazu geschult werden.
Sicherheit kann nur über wirksame Kontrollen erreicht werden, die überprüfen, ob sie zu jeder Zeit effektiv arbeiten und sie ändern, wenn sie es nicht sind. Die erfolgreichsten Organisationen setzen auf intelligente Steuerungssysteme, die die Wirksamkeit der implementierten Kontrollen aktiv messen und steuern. Diese Organisationen setzen weiterhin Kontrollen (über die PCI DSS hinaus) ein, um eine widerstandsfähige und nachhaltige Kontrollumgebung zu schaffen, die auch auf zukünftige Risiken eingehen kann. Die anhaltende Leistung der Sicherheitskontrollen ist die große Herausforderung. Bei Änderungen im Geschäftsablauf können Sicherheitskontrollen leicht unzureichend werden und nicht mehr zweckmäßig sein.
Also, wie können Unternehmen Sicherheitskontrollen etablieren, die immer auf der Höhe der Zeit sind? Folgende Punkte sind zu beachten:
- Für Nachhaltigkeit und Resilienz für die Compliance-Bemühungen sorgen: Organisationen, die sich auf die langfristige Wirksamkeit ihrer Sicherheitskontrollen konzentrieren, haben einen signifikanten Vorsprung für diejenigen, die sich ausschließlich auf die Einhaltung von Vorschriften wie PCI DSS, Health Insurance Portability und Accountability Act von 1996 (HIPAA) konzentrieren.
- Sicherheitskontrollen in alltägliche Verfahren integrieren: Wenn Kontrollen nicht ressourceneffizient und budgetfreundlich sind, werden sie nicht gehalten.
- Flexibel bleiben: Unternehmen werden sich ändern, ebenso wie die Bedrohungen, denen sie gegenüberstehen. Also, überprüfen Sie die Wirksamkeit der Kontrollen in regelmäßigen Abständen, um schnell zu reagieren und Anforderungen zu verschieben.
- Mitarbeiter einbeziehen: Briefen Sie Ihre Mitarbeiter regelmäßig und überprüfen Sie, dass jeder versteht, was von ihm / ihr erwartet wird.
- Überprüfen Sie Ihre Passwort-Richtlinie: Entwickeln Sie einen formalen Passwort-Prozess, so dass Anmeldeinformationen organisationsübergreifend stark sind. Installieren Sie zudem ein System, das Passwörter regelmäßig überprüft.
Die immerwährende Debatte: Compliance gegen Sicherheit
Beim 2017 PSR geht es nicht darum, die Leser von der Notwendigkeit der PCI-Compliance zu überzeugen, sondern vielmehr um die messbare Performance von PCI-Compliance und wie sie erhalten werden kann.
Das Einhalten der PCI-Compliance-Validierung bedeutet nicht, dass die Systeme „sicher" sind, nur dass es während des Beurteilungszeitraums keinen Nachweis für die Nichteinhaltung gab. Der Zeitraum beträgt in der Regel nur eine oder zwei Wochen. Auf der anderen Seite werden Sicherheitssysteme häufig täglich getestet. Die Nachhaltigkeit der PCI DSS-Standard ist keine einmalige Aktivität, sondern ein laufendes Programm, ein Programm, das sich an die sich ändernden Anforderungen von Unternehmen und neuen Technologien anpassen muss, die vielleicht in das Geschäftsumfeld eingeführt werden. Es ist ein Programm, das von der Unternehmensführung vorangetrieben werden muss, aber von den Mitarbeitern getragen und verinnerlicht werden sollte.
Gabriel Leperlier ist Head of Continental Europe Security Assurance GRC/PCI bei Verizon
- Sicherheit bei Kreditkarten zählt
- Kontrolllücken beachten
Lesen Sie mehr zum Thema
