Was ist PCI? Die Bedeutung der PCI-Compliance verstehen

PCI DSS steht für Payment Card Industry Data Security Standard. Wenn Ihr Unternehmen Kreditkarteninformationen verarbeitet, speichert oder überträgt, ist die PCI DSS-Konformität für Sie von entscheidender Bedeutung.

Der PCI DSS stellt sicher, dass Karteninhaberinformationen sicher verwendet, gespeichert und übertragen werden. Das Befolgen der Regeln ist eine Best Practice der Branche. Sie beweisen Ihren Kunden, dass Ihr Unternehmen vertrauenswürdig ist.

Wenn Sie jedoch nicht PCI-konform sind, drohen Ihnen möglicherweise auch hohe Geldstrafen, die Ihr Unternehmen schädigen können.

Was ist PCI-Compliance? 

Richtlinien starten den PCI-Compliance-Prozess. Sie müssen wissen, was von Ihrem Unternehmen erwartet wird, und Sie müssen die Prozesse entsprechend aufbauen. Dann beginnt die Dokumentation. Sie müssen nachweisen, dass Sie alles in Ihrer Macht Stehende tun, um die Daten der Karteninhaber zu schützen. 

Die PCI-Konformität beginnt mit der PCI-IT. Der Payment Card Industry Council wurde 2006 von Vertretern folgender Branchen gegründet:

• Amerikanischer Express
• Erkennung
• JCB Deutschland
• MasterCard (Englisch)
• Visum

Die Verantwortung für den Rat ist auf alle Unternehmen gleichermaßen verteilt und alle verlangen von ihren Geschäftspartnern die Einhaltung des PCI DSS.

PCI hat den Data Security Standard (DSS) zusammen mit den unterstützenden Materialien erstellt, wie z. B.:

• Spezifikations-Framework
• Werkzeugsatz
• Messanleitungen
• Unterstützende Materialien

Jedes Unternehmen, das Karteninhaberdaten akzeptiert, speichert oder überträgt, muss PCI DSS-konform sein. Auch sehr kleine Unternehmen und solche, die mit Auftragsverarbeitern arbeiten, müssen sich daran halten. 

Wenn Sie die Vorschriften nicht einhalten, kann Ihnen eine Geldstrafe von bis zu 500.000 US-Dollar pro Sicherheitsverletzung drohen. Darüber hinaus müssen Sie jede Person benachrichtigen, die möglicherweise von einem Angriff betroffen war, und diese Benachrichtigungen können kostspielig sein.

Verbraucher können Sie auch unabhängig verklagen. Und es drohen Ihnen möglicherweise auch Geldstrafen vom Staat.

Sind Sie PCI-konform?

Machen Sie keine Annahmen über die Sicherheit der von Ihnen erfassten Karteninhaberdaten. Erfahren Sie mehr über die Richtlinien und gehen Sie Ihre Prozesse durch, um die Einhaltung der Vorschriften zu gewährleisten.

Der PCI DSS Standard startet mit sechs Zielen. Jedes Unternehmen sollte:

1. Bauen Sie ein sicheres Netzwerk auf und pflegen Sie es.
2. Schützen Sie die Daten des Karteninhabers.
3. Pflegen Sie ein Schwachstellenmanagementprogramm.
4. Implementieren Sie starke Maßnahmen zur Zugriffskontrolle.
5. Überwachen und testen Sie Netzwerke regelmäßig.
6. Pflegen Sie eine Sicherheitsrichtlinie.

Wie können Sie diese Ziele erreichen? Die PCI DSS-Anforderungen legen die Schritte fest.

1. Beginnen Sie mit der Firewall. Installieren und warten Sie eine Firewall und konfigurieren Sie Ihre IT so gut wie möglich, um Eindringlinge fernzuhalten. 
2. Passwörter stärken. Verwenden Sie keine Passwörter, die mit Ihrem Gerät geliefert werden, und suchen Sie nach Möglichkeiten, um sicherzustellen, dass Sie die bewährten Passwortpraktiken befolgen.
3. Bei der Lagerung schützen. Wenn Sie Karteninhaberdaten speichern, stellen Sie sicher, dass Ihre IT mit Sicherheit ausgestattet ist.
4. Protect übertragen. Wenn Sie Daten über Netzwerke verschieben, stellen Sie sicher, dass die IT-Abteilung verschlüsselt ist.
5. Stoppen Sie die Angriffe. Installieren Sie Antivirenprogramme und halten Sie sie auf dem neuesten Stand.
6. Anziehen. Schaffen Sie sichere Systeme und pflegen Sie diese.
7. Beschränken Sie den elektronischen Zugang. Erlauben Sie nicht jedem, die Daten des Karteninhabers zu berühren. Stellen Sie sicher, dass nur diejenigen, die über die IT Bescheid wissen müssen, auch die IT sehen können.
8. tracken. Geben Sie jeder Person, die Zugriff auf Ihren Firmencomputer hat, eine eindeutige ID.
9. Beschränken Sie den physischen Zugriff. Erlauben Sie nicht jedem, Ausdrucke von Karteninhaberdaten zu berühren.
10. Prüfen. Richten Sie einen regelmäßigen Testplan ein und halten Sie sich daran.
11. Kodifizieren. Erstellen Sie ein Dokument, in dem Ihre Richtlinie zur Sicherheit von Mitarbeitern und Auftragnehmern dargelegt ist.

Erläuterung der PCI-Compliance-Stufen 

Jedes Unternehmen, das Karteninhaberdaten sammelt, egal wie klein, muss die PCI DSS-Konformität erreichen. Größere Unternehmen müssen jedoch mehr Schritte unternehmen, um zu beweisen, dass sie die Regeln kennen und verstehen.

Ziehen Sie das Visum in Betracht. Dieses Unternehmen (das größte große Zahlungsnetzwerk weltweit) erstellt vier Compliance-Stufen.

Diese vier Ebenen sind:

• Stufe 1. Wenn Sie jährlich mehr als 6 Millionen Visa-Transaktionen abwickeln, gehören Sie zu dieser Gruppe.
• Stufe 2. Wenn Sie jährlich 1 bis 6 Millionen Visa-Transaktionen abwickeln, gehören Sie zu dieser Gruppe.
• Stufe 3. Wenn Sie jährlich 20.000 bis 1 Million Visa-Transaktionen verarbeiten, gehören Sie zu dieser Gruppe.
• Stufe 4. Wenn Sie weniger als 20.000 Visa-E-Commerce-Transaktionen pro Jahr und bis zu 1 Million Visa-Transaktionen verarbeiten, gehören Sie zu dieser Gruppe.

Die Regeln ändern sich nicht von Gruppe zu Gruppe. Aber die Risiken, denen Sie bei größeren Transaktionszahlen ausgesetzt sind, schon. Infolgedessen verlangt Visa von größeren Unternehmen mehr Unterlagen, um die Einhaltung der Vorschriften nachzuweisen.

Wenn Sie ein kleines Unternehmen der Stufe 4 sind, müssen Sie möglicherweise nur einen Fragebogen ausfüllen. Wenn Sie jedoch ein Unternehmen der Stufe 1 sind, müssen Sie zwei Buchhaltungsformulare ausfüllen.

PCI DSS-Regeln und -Tricks

Die Regeln mögen einfach erscheinen. Aber für Unternehmen ist es leicht, verwirrt zu werden, was sie mit den gesammelten Daten tun sollen und was nicht. Es kann hilfreich sein, einige Best Practices zu verstehen.

Zur Einhaltung des PCI DSS sollten Sie:

• Bleiben Sie auf dem Laufenden. Verfolgen Sie die PCI genau und informieren Sie sich über neue Versionen. Wenn sich die Branche verändert und neue Risiken entstehen, können sich auch die Regeln, die Sie befolgen müssen, ändern.
• Führen Sie eine Risiko-Bewertung durch. Evaluieren Sie Ihre Umgebung regelmäßig. Wenn Sie einen Problembereich entdecken, minimieren Sie die Risiken so schnell wie möglich.
• Halten Sie regelmäßig Schulungen ab. Mitarbeiter, die unbeaufsichtigt bleiben, können Problemumgehungen erstellen (z. B. das Speichern von Karteninhaberdaten in Tabellenkalkulationen auf dem Server), die die Compliance gefährden. Rechnen Sie mit einer Umschulung Ihrer Mitarbeiter.

Für die PCI DSS-Konformität sollten Sie Folgendes nicht tun:

• Nehmen Sie Partnerschaften auf die leichte Schulter. Suchen Sie nicht nach dem besten Angebot für POS-Hardware und -Software. Stellen Sie sicher, dass jedes Unternehmen, mit dem Sie zusammenarbeiten, auch PCI DSS-konform ist und die Risiken ernst nimmt.
• Netzwerke zusammenführen. Die Daten der Karteninhaber sollten für Hacker, die in die offenen Server Ihres Unternehmens eindringen, nicht zugänglich sein. Segmentieren Sie so viel wie möglich, um die Sicherheit Ihrer Daten zu gewährleisten.
• Vergiss es. Compliance ist ein sich ständig veränderndes Ziel. Behalten Sie Ihre Sicherheit jederzeit im Blick.

Wenn Sie auf der Suche nach einem Partner sind, der Sie bei der Sicherstellung der PCI DSS-Compliance unterstützt, sollten Sie Okta in Betracht ziehen. Laden Sie unser Whitepaper herunter , um herauszufinden, wie wir Sie auf Ihrem Weg zur Compliance unterstützen können.

Referenzen

Über uns. PCI-Sicherheitsstandardrat.

PCI-DSS: Strafen für die Sicherheit. UC Santa Cruz.

Aufrechterhaltung der Zahlungssicherheit. PCI-Sicherheitsstandardrat.

Kreditkartenunternehmen: Die 15 größten Emittenten des Jahres 2021. CardRates.com.

PCI-Konformität trägt dazu bei, Ihre Daten und die Ihrer Kunden zu schützen. Visum.