PCI DSS
PCI DSS (Payment Card Industry Data Security Standard) ist in den letzten Jahren einer der wichtigsten Standards für alle Unternehmen entwickelt die sich elektronischer Zahlungssysteme bedienen.
Zielgruppe
Der Standard bezieht insbesondere Kartenaussteller, Halter von Zahlungssystemmarken, Kaufläute / Händler und sonstige Zahlungsempfänger ein. Es wird Art und Umfang der Tätigkeiten wird wie folgt unterschieden:
Händler Level
Händler ist jedes Unternehmen, dass Geldkarten – online wie offline – für die Zahlung von Waren oder Dienstleistungen akzeptiert.
Service Provider Level
Service Provider / Processor sind alle Unternehmen, welche nicht selbst Marke eines Zahlungsmittels sind und unmittelbar an der Speicherung, Übermittlung und Verarbeitung der Kartendaten beteiligt sind. Darunter fallen auch unternehmen, welche einen durch Ihre Dienstleistungen einen Einfluss haben können.
Die Häufigkeit sowie der Umfang der Überprüfungen ist angemessen und erfolgt in Abhängigkeit zur Zahl der jährlich durchgeführten Transaktionen.

Sinn und Zweck von PCI DSS
Gerade in Zeiten steigender Internetkriminalität sind immer wieder auch kleinste Unternehmen betroffen.
Um die Kundendaten effektiv zu schützen gilt der PCI DSS Standard als einer der weltweit führenden Standards, um der Internetkriminalität entgegenzuwirken sowie Kundendaten effektiv zu schützen. Besonders in Zeiten mit hohen Bußgeldverordnungen, bspw. aus der DSGVO, nimmt die Bedeutung des Standards immer weiter zu da auch personenbezogene Daten der Karteninhaber betroffen sind.
Daneben fordert der Gesetzgeber, unter Androhung von hohen Buß- und Ordnungsgeldern, sich strukturiert mit den Risiken der Internetkriminalität auseinanderzusetzen und diese zu bekämpfen. Zu den Vorschriften zählen u.a.:
und viele weitere.
Typische Risiken
Malware (Software die Systeme außer Kraft setzt oder beschädigt);
Pishing & Social Engineering (Versuche über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen) und
Skimming (Auslesen von Daten, die auf Bank- und Kreditkarten gespeichert sind).
Typische Folgen
Informationen werden auf dem Schwarzmarkt verkauft;
personenbezogene Daten werden für Onlineeinkäufe genutzt und
Identitäten werden gestohlen werden.
Die Kosten für Internetkriminalität liegt allein in den US bereits bei etwa 525 Millionen Dollar. Ziel des Standards ist es die Datensicherheit zu stärken, Risiken zu reduzieren und Kundendaten zu schützen.

Das Prinzip
Dem Standard entsprechend können Transaktionen in verschiedene Phasen unterteilt werden:

Gemäß PCI DSS Standard wird ein Unternehmen in 8 Stufen entsprechend ihres Verantwortungsbereiches auditiert und auf Schwachstellen hin untersucht. In die Betrachtung werden Bedrohungen für die Sicherheit und die Grundsätze der Best Practices mit einbezogen. Im PCI SSC wurden Leitlinien gegen Sicherheitsbedrohungen fixiert, welche Maßnahmen gegen Malware, Pishing und Skimming beschreiben sowie Handlungsempfehlungen für das Vorgehen bei einem Datenleck geben.
U.a. folgende Bereiche werden hier berücksichtigt:
- Verwaltung von Schwachstellen,
- Hardware,
- Überwachen und Überprüfen,
- Update Patches und Passwörter,
- Passwortsicherheit
- 3rd Party compliance,
- Downloads,
- Sicherheit von Website, Software und Anwendungen,
- Sicherheit des physischen Standortes,
- Sicherheit der Eingabegeräte und IT Infrastruktur,
- Incident Response Plan
- Meldungen an Betroffene,
- Reduktion von Datenexposition,
- Umgang mit Dritten Parteien und
- erhöhte Wachsamkeit
Was wir Bieten? – (kombinierte) kundenspezifische Audits
Wir bieten Ihnen die Möglichkeit ihre Systeme, gerne kombiniert mit Aspekten der DSGVO und ISO 27001, auf etwaige Lücken hin zu untersuchen. Unser externer offener Blick kann häufig Schwachstellen aufdecken, um etwaige Risiken zu minimieren.
Lassen Sie Ihre Systeme regelmäßig von einer objektiven Dritten Stelle prüfen, um Schwachstellen frühzeitig zu erkennen und es damit Angreifern möglichst schwer zu machen in Ihre Systeme einzudringen.
Auch wir können nur stichprobenartig prüfen und empfehlen deshalb im jährlichen Rhythmus eine Überprüfung durchführen zu lassen, zumal auch die bestehenden Systeme in der Regel unterjährig Änderungen unterworfen sind.
Sie haben Interesse an einer Schulung? Unsere Referenten bringen Sie und Ihr Team gerne auf den aktuellen Stand der Dinge. Alles Weitere finden Sie in unserem Akademie-Bereich.
Gerne sehen wir Ihrer Anfrage entgegen.
