PCI DSS (Payment Card Industry Data Security Standard) ist in den letzten Jahren einer der wichtigsten Standards für alle Unternehmen entwickelt die sich elektronischer Zahlungssysteme bedienen.

Zielgruppe

Der Standard bezieht insbesondere Kartenaussteller, Halter von Zahlungssystemmarken, Kaufläute / Händler und sonstige Zahlungsempfänger ein. Es wird Art und Umfang der Tätigkeiten wird wie folgt unterschieden:

Händler Level

Händler ist jedes Unternehmen, dass Geldkarten – online wie offline – für die Zahlung von Waren oder Dienstleistungen akzeptiert.

Service Provider Level

Service Provider / Processor sind alle Unternehmen, welche nicht selbst Marke eines Zahlungsmittels sind und unmittelbar an der Speicherung, Übermittlung und Verarbeitung der Kartendaten beteiligt sind. Darunter fallen auch unternehmen, welche einen durch Ihre Dienstleistungen einen Einfluss haben können.

Die Häufigkeit sowie der Umfang der Überprüfungen ist angemessen und erfolgt in Abhängigkeit zur Zahl der jährlich durchgeführten Transaktionen.

Sinn und Zweck von PCI DSS

Gerade in Zeiten steigender Internetkriminalität sind immer wieder auch kleinste Unternehmen betroffen.

Um die Kundendaten effektiv zu schützen gilt der PCI DSS Standard als einer der weltweit führenden Standards, um der Internetkriminalität entgegenzuwirken sowie Kundendaten effektiv zu schützen. Besonders in Zeiten mit hohen Bußgeldverordnungen, bspw. aus der DSGVO, nimmt die Bedeutung des Standards immer weiter zu da auch personenbezogene Daten der Karteninhaber betroffen sind.

Daneben fordert der Gesetzgeber, unter Androhung von hohen Buß- und Ordnungsgeldern, sich strukturiert mit den Risiken der Internetkriminalität auseinanderzusetzen und diese zu bekämpfen. Zu den Vorschriften zählen u.a.:

und viele weitere.

Typische Risiken

Malware (Software die Systeme außer Kraft setzt oder beschädigt);

Pishing & Social Engineering (Versuche über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen) und

Skimming (Auslesen von Daten, die auf Bank- und Kreditkarten gespeichert sind).

Typische Folgen

Informationen werden auf dem Schwarzmarkt verkauft;

personenbezogene Daten werden für Onlineeinkäufe genutzt und

Identitäten werden gestohlen werden.

Die Kosten für Internetkriminalität liegt allein in den US bereits bei etwa 525 Millionen Dollar. Ziel des Standards ist es die Datensicherheit zu stärken, Risiken zu reduzieren und Kundendaten zu schützen.

Das Prinzip

Dem Standard entsprechend können Transaktionen in verschiedene Phasen unterteilt werden:

Gemäß PCI DSS Standard wird ein Unternehmen in 8 Stufen entsprechend ihres Verantwortungsbereiches auditiert und auf Schwachstellen hin untersucht. In die Betrachtung  werden Bedrohungen für die Sicherheit und die Grundsätze der Best Practices mit einbezogen. Im PCI SSC wurden Leitlinien gegen Sicherheitsbedrohungen fixiert, welche  Maßnahmen gegen Malware, Pishing und Skimming beschreiben sowie Handlungsempfehlungen für das Vorgehen bei einem Datenleck geben.

U.a. folgende Bereiche werden hier berücksichtigt:

  • Verwaltung von Schwachstellen,
  • Hardware,
  • Überwachen und Überprüfen,
  • Update Patches und Passwörter,
  • Passwortsicherheit
  • 3rd Party compliance,
  • Downloads,
  • Sicherheit von Website, Software und Anwendungen,
  • Sicherheit des physischen Standortes,
  • Sicherheit der Eingabegeräte und IT Infrastruktur,
  • Incident Response Plan
  • Meldungen an Betroffene,
  • Reduktion von Datenexposition,
  • Umgang mit Dritten Parteien und
  • erhöhte Wachsamkeit

Was wir Bieten? – (kombinierte) kundenspezifische Audits

Wir bieten Ihnen die Möglichkeit ihre Systeme, gerne kombiniert mit Aspekten der DSGVO und ISO 27001, auf etwaige Lücken hin zu untersuchen. Unser externer offener Blick kann häufig Schwachstellen aufdecken, um etwaige Risiken zu minimieren.

Lassen Sie Ihre Systeme regelmäßig von einer objektiven Dritten Stelle prüfen, um Schwachstellen frühzeitig zu erkennen und es damit Angreifern möglichst schwer zu machen in Ihre Systeme einzudringen.

Auch wir können nur stichprobenartig prüfen und empfehlen deshalb im jährlichen Rhythmus eine Überprüfung durchführen zu lassen, zumal auch die bestehenden Systeme in der Regel unterjährig Änderungen unterworfen sind.

Sie haben Interesse an einer Schulung? Unsere Referenten bringen Sie und Ihr Team gerne auf den aktuellen Stand der Dinge. Alles Weitere finden Sie in unserem Akademie-Bereich.

Gerne sehen wir Ihrer Anfrage entgegen.