Anonim
Africa Studio / Shutterstock

Jüngste Verstöße gegen große Einzelhändler haben die PCI-Vorschriften (Payment Card Industry) in den Mittelpunkt gerückt. Es sind jedoch nicht nur große Unternehmen, die diese Vorschriften einhalten müssen. Die Regeln gelten für alle Unternehmen, die für Transaktionen auf Kredit- und Debitkarten angewiesen sind. Auch wenn Ihr Unternehmen vier Mitarbeiter beschäftigt und eine Kreditkartentransaktion pro Monat durchführt, muss es PCI-konform sein.

Das ist leichter gesagt als getan. Der Verizon-Bericht zur Zahlungssicherheit 2018 stellte fest, dass die meisten Unternehmen Schwierigkeiten haben, den PCI-DSS-Standard (Payment Card Industry Data Security Standard) einzuhalten. Dieser Standard wurde geschaffen, um die Sicherheit von Kredit- und Debitkartendaten zu gewährleisten. im Jahr 2017.

"Es ist kein guter Trend", sagte Ciske Van Oosten, Senior Manager Global Intelligence bei Verizon, in einem Interview mit eWeek. "Wir wissen, dass Organisationen, die die PCI-DSS-Konformität nicht einhalten, diese verletzt werden."

Was ist die Kreditkartenbranche?

"Zahlungskartenindustrie" ist der Sammelbegriff für Branchen, die Kredit- und Debitkarten einsetzen oder verwenden. Dies schließt Kassensysteme ein, die von Handel und Einzelhandel, Geldautomaten und Instituten verwendet werden, die jede Art von Kredit-, Debit- oder Prepaid-Karte für Geldtransaktionen ausstellen.

Im Jahr 2006 schlossen sich die wichtigsten Kreditkartenunternehmen - Visa, Mastercard, American Express und Discover sowie das Japan Credit Bureau - zusammen, um den PCI SSC (Payment Card Industry Security Standards Council) zu gründen, mit dem diese Anforderungen erfüllt und verwaltet werden sollen für mehr Sicherheit in der gesamten Branche. Dies führte zum Datenschutzstandard der Kreditkartenindustrie.

Anmerkung der Redaktion: Erwägen Sie einen Kreditkarten-Bearbeitungsservice für Ihr Unternehmen? Wenn Sie nach Informationen suchen, die Ihnen bei der Auswahl der für Sie richtigen Informationen helfen, verwenden Sie den unten stehenden Fragebogen, um kostenlos Informationen von verschiedenen Anbietern zu erhalten.

Käuferzone Widget

Jedes Unternehmen, das Kredit- und Debitkarten akzeptiert, muss sich an PCI DSS halten, unabhängig von Transaktionsvolumen und Unternehmensgröße (obwohl PCI SSC hier kleine Unternehmen unterstützt). Es gibt jedoch vier Compliance-Stufen, die auf dem Volumen der Visa-Transaktionen über einen Zeitraum von 12 Monaten basieren. Diese Ebenen legen die Maßnahmen fest, die die Organisation ergreifen muss, um die Anforderungen zu erfüllen. Je mehr Transaktionen, desto mehr Aktionen sind erforderlich. Laut PCIComplianceGuide.org sind dies die vier Ebenen und ihre Anforderungen:

  • Stufe 1: Jeder Händler verarbeitet - unabhängig vom Akzeptanzkanal - mehr als 6 Millionen Visa-Transaktionen pro Jahr. Jeder Händler, für den Visa nach eigenem Ermessen entscheidet, sollte die Anforderungen für Händler der Stufe 1 erfüllen, um das Risiko für das Visa-System zu minimieren.
  • Stufe 2: Jeder Händler verarbeitet - unabhängig vom Akzeptanzkanal - 1 bis 6 Millionen Visa-Transaktionen pro Jahr.
  • Stufe 3: Jeder Händler, der jährlich 20.000 bis 1 Million Visa-E-Commerce-Transaktionen abwickelt.
  • Stufe 4: Jeder Händler, der weniger als 20.000 Visa-E-Commerce-Transaktionen pro Jahr abwickelt, und alle anderen Händler - unabhängig vom Akzeptanzkanal - wickeln bis zu 1 Million Visa-Transaktionen pro Jahr ab.

12 Anforderungen für PCI DSS

Der PCI-SCC enthält eine Liste von 12 Anforderungen, um PCI-DSS zu erfüllen:

  1. Installieren und warten Sie eine Firewall-Konfiguration, um Karteninhaberdaten zu schützen.
  2. Verwenden Sie keine vom Hersteller bereitgestellten Standardeinstellungen für Systemkennwörter und andere Sicherheitsparameter.
  3. Schützen Sie gespeicherte Karteninhaberdaten.
  4. Verschlüsseln Sie die Übertragung von Karteninhaberdaten über offene, öffentliche Netzwerke.
  5. Verwenden und aktualisieren Sie Antivirensoftware oder -programme regelmäßig.
  6. Entwickeln und pflegen Sie sichere Systeme und Anwendungen.
  7. Beschränken Sie den Zugriff auf Karteninhaberdaten nach geschäftlichen Anforderungen.
  8. Weisen Sie jeder Person mit Computerzugriff eine eindeutige ID zu.
  9. Beschränken Sie den physischen Zugriff auf Karteninhaberdaten.
  10. Verfolgen und überwachen Sie den gesamten Zugriff auf Netzwerkressourcen und Karteninhaberdaten.
  11. Testen Sie regelmäßig Sicherheitssysteme und -prozesse.
  12. Behalten Sie eine Richtlinie bei, die sich mit der Informationssicherheit für Mitarbeiter und Auftragnehmer befasst.

Warum PCI-Konformität wichtig ist

Verbraucher legen mehr denn je Wert auf Sicherheit. Angesichts von Datenverletzungen mit hohem Bekanntheitsgrad, von denen viele über gestohlene Kredit- und Debitkarten in der Einzelhandels- und Dienstleistungsbranche kommen, möchten Verbraucher wissen, dass sie ihre Geschäfte sicher abwickeln und von ihren Kreditkartenunternehmen keine Informationen über fragwürdige Gebühren erhalten. Verbraucher werden von Unternehmen Abstand nehmen, die Datenverletzungen erlitten haben, und eine einzelne Verletzung könnte so kostspielig sein, dass kleine Unternehmen für immer aus dem Geschäft genommen werden könnten. PCI-Konformität garantiert nicht, dass keine Datenverletzung auftritt, bietet jedoch zusätzliche Sicherheitsvorkehrungen, um die Sicherheit zu verbessern.

Wenn sich herausstellt, dass ein Unternehmen nicht den Vorschriften entspricht, können Geldstrafen zwischen 5.000 und 100.000 US-Dollar pro Monat verhängt werden. Wenn die Nichteinhaltung andauert, werden dem Händler möglicherweise die Zahlungsverarbeitungsdienste entzogen. [Auf der Suche nach einem Kreditkartenabwicklungsservice? Schauen Sie sich unsere Bewertungen und besten Tipps an.]

So bleiben Sie PCI-konform

Die PCI-Konformität ist nicht verhandelbar, wenn Sie Kredit- und Debitkarten akzeptieren. Die Vorbereitung auf ein PCI-Audit und die Sicherstellung, dass Ihr Unternehmen die Konformitätsstandards erfüllt, kann jedoch entmutigend sein. Jeff Vansickel, Senior Consultant bei der IT-Compliance-Beratungsfirma SystemExperts, gab einige Tipps, um sich auf eine PCI-Bewertung vorzubereiten und Ihre Standards jederzeit auf einem sicheren Niveau zu halten:

  1. Identifizieren Sie alle Geschäfts- und Kundendaten, einschließlich aller Karteninhaberdaten, deren Sensibilität und Kritikalität. Laut Vansickel ist es wahrscheinlich der schwierigste und wichtigste Teil eines PCI-Compliance-Programms, den Umfang der Bewertung richtig zu definieren. Ein zu enger Bereich kann die Daten von Karteninhabern gefährden, während ein zu weiter Bereich einem PCI-Compliance-Programm immense und unnötige Kosten und Aufwände hinzufügen kann.
  1. Verstehen Sie die Grenzen der Karteninhaberdatenumgebung und alle Daten, die in die Karteninhaberdatenumgebung hinein und aus ihr heraus fließen. Jedes System, das eine Verbindung zur Karteninhaberdatenumgebung herstellt, liegt im Bereich der Konformität und muss daher die PCI-Anforderungen erfüllen. Die Karteninhaberdatenumgebung umfasst alle Prozesse, Technologien und Personen, die Kundenkarteninhaberdaten oder Authentifizierungsdaten speichern, verarbeiten oder übertragen, sowie alle verbundenen Systemkomponenten und Virtualisierungskomponenten wie Server.
  1. Richten Sie Betriebskontrollen ein, um die Vertraulichkeit und Integrität von Karteninhaberdaten zu schützen. Karteninhaberdaten sollten überall dort geschützt werden, wo sie importiert, verarbeitet, gespeichert und übertragen werden. Es muss auch am Ende seiner Lebensdauer ordnungsgemäß entsorgt werden. "Backups müssen auch die Vertraulichkeit und Integrität der Karteninhaberdaten gewährleisten", sagte Vansickel. "Außerdem müssen alle Datenträger ordnungsgemäß entsorgt werden, um die kontinuierliche Vertraulichkeit der Daten zu gewährleisten. Achten Sie darauf, nicht nur die von firmeneigenen Computersystemen verwendeten Festplatten, sondern auch geleaste Systeme und den in modernen Kopiergeräten und Druckern enthaltenen Speicher einzubeziehen. "
  1. Haben Sie einen Notfallplan. Wenn ein Sicherheitsvorfall eintritt, ist es wichtig, einen Plan zu haben, um so schnell wie möglich zum sicheren Betrieb zurückzukehren. In diesem Plan sollten Rollen, Verantwortlichkeiten, Kommunikationsanforderungen und Kontaktstrategien für den Fall eines Kompromisses festgelegt werden, einschließlich der Benachrichtigung der Zahlungsmarken, des Rechtsbeistands und der Öffentlichkeitsarbeit. Dies stellt eine zeitnahe und effektive Behandlung aller gefährdeten Situationen sicher. "Idealerweise sollten Unternehmen über einen zertifizierten Forensiker verfügen, der bei Bedarf Beweise sammeln und als Sachverständiger aussagen kann", sagte Vansickel.
  1. Erläutern und Durchsetzen von Sicherheitsverfahren. Sie können niemals sicher sein, dass Mitarbeiter die besten Sicherheitsmethoden und -verhalten kennen, die Ihr Unternehmen gefährden können. Es liegt an Ihnen, sicherzustellen, dass alle Mitarbeiter des Unternehmens, von Mitarbeitern auf niedrigerem Niveau über IT-Spezialisten bis hin zum Management, über Sicherheitsverfahren und PCI-Compliance-Verfahren informiert sind.