Mehrheit der Unternehmen erfüllt nicht den PCI-Sicherheitsstandard

Sensible Kundendaten nicht sicher genug

02.10.2007
Von Nina Gut
So könnte ein Diagramm des Datenflusses aussehen: Welchen Weg nehmen die Kreditkarten-Daten, wo werden sie gespeichert?
So könnte ein Diagramm des Datenflusses aussehen: Welchen Weg nehmen die Kreditkarten-Daten, wo werden sie gespeichert?

Der Verisign-Bericht von 2007 lässt aber auch Fortschritte erkennen. Obwohl 53 Prozent der untersuchten Unternehmen mindestens einen PCI-Sicherheitsstandard nicht erfüllen konnten, ist dies immerhin eine deutliche Verbesserung gegenüber dem vergangenen Jahr. Damals mussten noch 73 Prozent Schwachstellen einräumen. Da sich die Datenschutzlandschaft jedoch ständig wandelt, konnten viele Unternehmen in diesem Jahr einige Anforderungen nicht einhalten, die sie im Jahr zuvor noch erfüllt hatten.

Sieben strategische Tipps zum PCI

Im Hinblick auf den bevorstehenden Termin für die PCI-Compliance gibt der Report auch sieben strategische Tipps für Kartenaussteller, Händler und Dienstleister. Der erste Tipp lautet: Weniger Daten speichern. Wer weniger Daten speichert, der reduziert nicht nur das Risiko, sondern auch die Bandbreite dessen, was unter PCI-Regeln und -Auditing fällt. Viele Firmen speichern Kartendaten einfach nur, weil sie es immer so gemacht haben, oder weil sie aus ihren Systemen nicht regelmäßig die Infos ausmisten, die sie nicht mehr brauchen. Andere häufen die Daten nur an, weil sie – oft fälschlicherweise - glauben, dass sie die Informationen fürs Auditing, für Business-Prozesse, für regulative oder rechtliche Zwecke brauchen. Oft werden zwei Dinge verwechselt: Die Notwendigkeit, den Ablauf der Kreditkartentransaktion zu speichern, wird mit der Notwendigkeit, die Nummer an sich zu speichern, in einen Topf geworfen.

Zweiter Tipp: Den Datenfluss verstehen. Viele Unternehmen haben keine Diagramme und keine Dokumentation, die zeigt, wie die Kreditkartendaten durch ihre Organisation fließen. Solange kein systemweites Audit aller Datenspeicher stattgefunden hat, das dann regelmäßig wiederholt wird, kann keiner bestimmen, wohin Daten gespeichert und übermittelt werden. Und somit weiß auch keiner, ob den PCI-Standards entsprochen wird oder nicht.

Weitere Tipps: Die Daten verschlüsseln. Verwundbarkeiten an Anwendungen und am Netzwerk angehen. Das Sicherheits-Bewusstsein und das Sicherheits-Training verbessern. Die Systeme auf Einbrüche und Unregelmäßigkeiten kontrollieren. Und nicht zu vergessen: Die Kreditkarten-Netzwerke aufteilen und den Zugang kontrollieren.

Der Report "More Lessons Learned – Practical Tips for Avoiding Payment Card Industry (PCI) Audit Failure" beruht auf 60 PCI-Audits bei 50 Großunternehmen.

Zur Startseite