PCI-Konformität
Was ist PCI-Compliance?
PCI-Compliance (Payment Card Industry) wird von Kreditkartenunternehmen vorgeschrieben,. um die Sicherheit von Kreditkartentransaktionen in der Zahlungsbranche zu gewährleisten. Die Compliance der Zahlungskartenindustrie bezieht sich auf die technischen und betrieblichen Standards, die Unternehmen befolgen, um Kreditkartendaten zu sichern und zu schützen, die von Karteninhabern bereitgestellt und durch Kartenverarbeitungstransaktionen übertragen werden. PCI-Compliance-Standards werden vom PCI Security Standards Council entwickelt und verwaltet.
PCI-Compliance verstehen
Die Federal Trade Commission (FTC) ist für die Aufsicht über die Kreditkartenverarbeitung verantwortlich, da sie unter die Notwendigkeit des Verbraucherschutzes und der Aufsicht fällt. Es gibt zwar nicht unbedingt ein regulatorisches Mandat für die PCI-Compliance, es wird jedoch durch Präzedenzfälle als verbindlich angesehen.
Im Allgemeinen ist die PCI-Compliance eine Kernkomponente des Sicherheitsprotokolls jedes Kreditkartenunternehmens. Es wird im Allgemeinen von Kreditkartenunternehmen vorgeschrieben und in Kreditkarten-Netzwerkvereinbarungen besprochen.
Das PCI Standards Council ist verantwortlich für die Entwicklung der Standards für die PCI-Compliance. Diese Standards gelten für die Verarbeitung durch Händler und wurden auch erweitert, um Anforderungen für verschlüsselte Internettransaktionen zu skizzieren. Andere wichtige Einrichtungen, die ebenfalls mit der Festlegung von Standards in der Kreditkartenbranche verbunden sind, sind The Card Association Network und das National Automated Clearing House (NACHA).
Anforderungen für die PCI-Konformität
PCI-Compliance-Standards verlangen von Händlern und anderen Unternehmen, dass sie Kreditkarteninformationen auf sichere Weise handhaben, um die Wahrscheinlichkeit zu verringern, dass sensible Finanzkontoinformationen von Karteninhabern gestohlen werden. Wenn Händler Kreditkarteninformationen nicht gemäß den PCI-Standards handhaben, könnten die Karteninformationen gehackt und für eine Vielzahl betrügerischer Aktionen verwendet werden. Darüber hinaus könnten sensible Informationen über den Karteninhaber für Identitätsbetrug verwendet werden.
PCI-konform zu sein bedeutet, sich konsequent an eine Reihe von Richtlinien zu halten, die vom PCI Standards Council festgelegt wurden. Die PCI-Compliance wird vom PCI Standards Council geregelt, einer Organisation, die 2006 gegründet wurde, um die Sicherheit von Kreditkarten zu verwalten.
Die vom Council entwickelten Anforderungen sind als Payment Card Industry Data Security Standards (PCI DSS) bekannt. PCI DSS hat 12 Schlüsselanforderungen, 78 Basisanforderungen und über 400 Testverfahren. Die Richtlinien gelten auch als Best Practices für die Sicherheit. Zu den 12 Hauptanforderungen gehören:
Implementieren Sie Firewalls zum Schutz der Daten
Geeigneter Passwortschutz
Schützen Sie Karteninhaberdaten
Verschlüsselung der übermittelten Karteninhaberdaten
Verwenden Sie Antivirensoftware
Software aktualisieren und Sicherheitssysteme warten
Beschränken Sie den Zugriff auf Karteninhaberdaten
Eindeutige IDs, die denen zugewiesen werden, die Zugriff auf Daten haben
Beschränken Sie den physischen Zugriff auf Daten
Erstellen und überwachen Sie Zugriffsprotokolle
Testen Sie Sicherheitssysteme regelmäßig
Erstellen Sie eine Richtlinie, die dokumentiert ist und befolgt werden kann
Die neueste Version von PCI DSS wurde im Mai 2018 veröffentlicht und wird als Version 3.2.1 bezeichnet. Insgesamt skizzieren die sechs Ziele und 12 Anforderungen eine Reihe von Schritten, die Kreditkartenverarbeiter kontinuierlich befolgen müssen. Unternehmen werden zunächst gebeten, ihre Netzwerke und Systeme zu bewerten, die die IT-Infrastruktur, Geschäftsprozesse und Verfahren zur Kreditkartenabwicklung umfassen.
Vorteile der PCI-Konformität
Die ständige Pflege und Bewertung von Sicherheitslücken ist auch sehr wichtig, um den Diebstahl sensibler Karteninhaberinformationen wie Sozialversicherungs- und Führerscheinnummern nach Möglichkeit zu vermeiden.
Unternehmen sind verpflichtet, im Rahmen ihrer Kartenverarbeitungsvereinbarungen regelmäßig Compliance-Berichte bereitzustellen. Überwachung, Bewertungen und Audits der Datensicherheitsstandards der Zahlungskartenindustrie sind alle ein wichtiger Teil der Sicherheitsabteilung eines Unternehmens.
Alle Unternehmen, die Kreditkarteninformationen verarbeiten, sind verpflichtet, die PCI-Compliance gemäß ihren Kartenverarbeitungsvereinbarungen aufrechtzuerhalten. PCI-Compliance ist der Industriestandard, und Geschäfte ohne PCI-Compliance können zu erheblichen Bußgeldern für Vertragsverletzungen und Fahrlässigkeit führen. Ohne PCI-Compliance sind Unternehmen außerdem sehr anfällig für Diebstahl, Betrug und Datenschutzverletzungen.
95%
Der Prozentsatz der Cybersicherheitsverletzungen,. die durch menschliches Versagen verursacht werden.
Zu den Vorteilen der Compliance gehören das verringerte Risiko von Datenschutzverletzungen, der Schutz von Karteninhaberdaten und die Vermeidung von Identitätsdiebstahl. Es ist eine bewährte Praxis für Unternehmen, sich an die Vorschriften zu halten, da dies Bußgelder im Zusammenhang mit Datenschutzverletzungen reduziert, den Ruf eines Unternehmens fördert,. Kunden glücklich macht und sicher ist, dass sie mit einem verantwortungsbewussten Unternehmen Geschäfte machen, was zu Markentreue führt.
In der ersten Hälfte des Jahres 2020 wurden 36 Milliarden Datensätze durch Datenschutzverletzungen offengelegt. 86 Prozent der Verstöße waren finanziell motiviert, und da der globale Informationssicherheitsmarkt im Jahr 2020 voraussichtlich 170 Milliarden US-Dollar erreichen wird, ist das finanzielle Risiko sogar noch höher. Der Schutz von Karteninhaberdaten ist nicht nur gut fürs Geschäft, sondern auch richtig, um sicherzustellen, dass Menschen nicht negativ geschädigt werden oder finanzielle Verluste erleiden.
PCI-Compliance und Datenschutzverletzungen
Die PCI-Compliance trägt dazu bei, betrügerische Aktivitäten zu vermeiden und Datenschutzverletzungen zu mindern. Verizon stellt in seinem „Verizon Payment Security Report“ eine jährliche Bewertung der Zahlungssicherheit bereit. Der Bericht 2019 widmet PCI DSS einen ganzen Abschnitt mit dem Titel „Der Stand der PCI-DSS-Compliance, 2019: Und 12 Schlüsselanforderungen“. Einige PCI-DSS-Highlights aus dem „Verizon 2019 Payment Security Report“ umfassen Folgendes:
36,7 % der Unternehmen unterhielten 2018 aktiv PCI-DSS-Programme.
Die Region Asien-Pazifik übertraf Amerika, Europa, den Nahen Osten und Afrika.
Aus Branchensicht hinkt das Gastgewerbe anderen Sektoren etwas hinterher.
Häufig gestellte Fragen zur PCI-Konformität
Was bedeutet PCI-konform?
PCI-konform bedeutet, dass jedes Unternehmen oder jede Organisation, die die privaten Daten von Karteninhabern akzeptiert, überträgt oder speichert, die verschiedenen Sicherheitsmaßnahmen einhält, die vom PCI Security Standard Council beschrieben werden, um sicherzustellen, dass die Daten sicher und privat bleiben.
Ist PCI-Compliance gesetzlich vorgeschrieben?
Es gibt kein behördliches Mandat, das PCI-Compliance erfordert, aber es wird durch Präzedenzfälle als zwingend angesehen.
Wie werde ich PCI-konform?
Um PCI-konform zu werden, müssen Sie zunächst bestimmen, welchen Fragebogen zur Selbsteinschätzung Sie befolgen müssen, um konform zu werden. Sobald Sie den Fragebogen ausgefüllt haben, müssen Sie einen bestandenen Schwachstellen-Scan mit einem von PCI SSC zugelassenen Scanning-Anbieter ausfüllen und nachweisen. Das Scannen gilt nur für einige Händler. Anschließend müssen Sie die Konformitätsbescheinigung ausfüllen. Der letzte Schritt besteht darin, alle oben genannten Informationen zu übermitteln.
Wer muss PCI-konform sein?
Jedes Unternehmen oder jede Organisation, die die privaten Daten von Karteninhabern akzeptiert, übermittelt oder speichert.
Das Endergebnis
PCI-Compliance bezieht sich auf die vom PCI Security Standards Council festgelegten technischen und betrieblichen Standards, die Unternehmen implementieren und aufrechterhalten müssen. Das Ziel der PCI-Konformität ist der Schutz von Karteninhaberdaten und gilt für alle Organisationen, die diese Daten akzeptieren, übertragen oder speichern. Die PCI-Konformität ist eine gute Geschäftspraxis, da sie die Sicherheit von Verbraucherdaten an erste Stelle stellt und auch einem Unternehmen durch einen positiven Markenruf zugute kommt.
Höhepunkte
Unternehmen, die die Payment Card Industry Data Security Standards (PCI DSS) befolgen und erreichen, gelten als PCI-konform.
Die PCI-Konformität reduziert Datenschutzverletzungen, schützt die Daten von Karteninhabern, vermeidet Bußgelder und verbessert den Ruf der Marke.
PCI DSS hat 12 Hauptanforderungen, 78 Basisanforderungen und 400 Testverfahren, um sicherzustellen, dass Organisationen PCI-konform sind.
Das PCI Security Standards Council ist für die Entwicklung des PCI DSS verantwortlich.
Die PCI-Compliance ist nicht gesetzlich vorgeschrieben, wird aber durch Präzedenzfälle als zwingend erachtet.