PCI DSS Compliance Projektierung

Informationen bilden heute ein wichtiges Glied in der Wertschöpfungskette eines Unternehmens. Der ungewollte Verlust oder die unberechtigte Veränderung von Informationen können beträchtliche Schäden zur Folge haben - bis hin zur Insolvenz des Unternehmens.

Bereits seit 2007 ist für Kreditkarten-Retailer, Händler und Dienstleister der Payment Card Industry Data Security Standard (PCI DSS), entwickelt aus den Security-Programmen großer Kreditkarten-Unternehmen wie Visa, Mastercard und American Express, Pflicht und nicht bloße Kür.

Dabei ist der PCI DSS eine Zusammenstellung von technischen Anforderungen, Testmethoden und Best Practices. Er wurde mit dem Ziel zusammengestellt Organisationen und Unternehmen zu helfen, IT-Schwachstellen zu entdecken und zu schließen sowie das Risiko von Betrug zu reduzieren.

Das Hauptanliegen des PCI DSS besteht darin, durch Systemabsicherung das Vertrauen in das Zahlungssystem aufrecht zu erhalten, denn gemäß dem Data Security Standard der Payment Card Industry sind Kreditkartendaten ein besonders schützenswertes Gut. Dabei betrifft der Standard alle Unternehmen, Bereiche, Systeme und Personen, die Kreditkartendaten verarbeiten, speichern oder übertragen.

Optimieren Sie den Zertifizierungsprozess

Da viele Unternehmen nur wenig Erfahrung mit großen IT-Sicherheitsprojekten haben, dauert es Monate den Zertifizierungsprozess in einer Organisation vorzubereiten und in Gang zu setzen. PCI DSS Compliance zu erreichen ist ein wichtiges Ziel, doch während man heute noch compliant ist, bedeutet dies nicht, dass man morgen noch den Anforderungen des PCI DSS entspricht. Um eine längerfristige Einhaltung des PCI DSS zu gewährleisten, muss eine dauerhafte Strategie entwickelt und eingeführt werden. Wie bei allen IT- Sicherheitsthemen ist auch die Einhaltung des PCI DSS mehr eine Daueraufgabe als eine einmalige Angelegenheit.

Die Vorgehensweise im Compliance-Prozess umfasst eine Risikoanalyse, eine Bestandsaufnahme sowie eine Soll-Ermittlung. Aus allen diesen Faktoren werden Sicherheitsanforderungen abgeleitet und in einem Sicherheitskonzept umgesetzt. Der gesamte Sicherheitsprozess für Ihr Unternehmen ist in Abbildung 1 dargelegt.

Abbildung 1: Sicherheitsprozess für Unternehmen

Bedingt durch die wissensintensive Natur von Sicherheitsaudits stellt sich vielen Unternehmen das Problem, dass weder Human Resources noch das nötige Fachwissen in ausrechendem Maße zur Verfügung stehen.

Unser Support für Ihr Unternehmen

Wir beraten und unterstützen Sie umfassend bei der Bedarfserfassung und der Umsetzung von PCI DSS in Ihrem Unternehmen. Im Rahmen des PCI DSS Compliance-Projekts erfahren Sie, wo in der Praxis Fallstricke und Hindernisse lauern, wie Sie die langfristige Einhaltung des PCI DSS in Ihrem Unternehmen gewährleisten und dadurch effektive Sicherheitsprozesse zur Risikominimierung und zum Schutz ihrer Organisation einführen.

Lesen Sie auch den Fachartikel "Zertifizierung von Call Centern nach dem Datensicherheitsstandard der Payment Card Industry" von Howard Fuhs