PCI-Konformität
Die PCI-Konformität (Payment Card Industry) bezieht sich auf die technischen und betrieblichen Standards, die Unternehmen einhalten müssen, um sicherzustellen, dass die von den Karteninhabern bereitgestellten Kreditkartendaten geschützt sind. Die PCI-Konformität wird vom PCI Standards Council durchgesetzt, und alle Unternehmen, die Kreditkartendaten elektronisch speichern, verarbeiten oder übertragen, müssen die Konformitätsrichtlinien einhalten.
BREAKING DOWN PCI-Konformität
Gemäß den PCI-Compliance-Standards (Payment Card Industry) müssen Händler und andere Unternehmen Kreditkarteninformationen auf sichere Weise verarbeiten, um die Wahrscheinlichkeit des Diebstahls vertraulicher Finanzdaten durch Karteninhaber zu verringern. Wenn Händler mit Kreditkarteninformationen nicht ordnungsgemäß umgehen, können die Karteninformationen gehackt und für betrügerische Einkäufe verwendet werden. Darüber hinaus können vertrauliche Informationen über den Karteninhaber bei Identitätsbetrug verwendet werden.
PCI-konform zu sein, bedeutet, dass die Richtlinien von Unternehmen, die Kreditkarten ausstellen, konsequent eingehalten werden. Die Richtlinien enthalten eine Reihe von Schritten, die von Kreditkartenverarbeitern kontinuierlich ausgeführt werden müssen. Unternehmen werden zunächst gebeten, ihre IT-Infrastruktur, Geschäftsprozesse und Kreditkartenabwicklungsverfahren zu bewerten, um potenzielle Bedrohungen zu identifizieren, die die Kreditkartendaten gefährden können. Die Unternehmen werden gebeten, Sicherheitslücken zu schließen und die Speicherung vertraulicher Karteninhaberdaten wie Sozialversicherungs- und Führerscheinnummern nach Möglichkeit zu vermeiden. Unternehmen müssen Compliance-Berichte für die Kartenmarken bereitstellen, mit denen sie zusammenarbeiten, z. B. American Express und VISA.
Alle Unternehmen, die Kreditkarteninformationen verarbeiten, müssen die PCI-Richtlinien einhalten, unabhängig von ihrer Größe oder der Anzahl der von ihnen verarbeiteten Kreditkartentransaktionen. Alle Unternehmen werden basierend auf der Anzahl der Transaktionen, die in einem bestimmten Zeitraum verarbeitet werden, in Händlerebenen unterteilt. Die PCI-Konformität wird vom Payment Card Industry Security Standards Council geregelt, einer 2006 gegründeten Organisation zur Verwaltung der Sicherheit von Kreditkarten. Die Anforderungen, die als PCI DSS (Payment Card Industry Data Security Standards) bekannt sind, werden von den wichtigsten Kreditkartenunternehmen verwaltet, darunter unter anderem VISA, American Express, Discover und MasterCard.
PCI-Konformität und Datenverletzungen
Viele der größten Datenverletzungen in der Geschichte wurden möglicherweise vermieden, wenn die betroffenen Händler oder Finanzinstitute PCI-konform waren. Im Folgenden finden Sie einige wichtige Erkenntnisse aus dem Verizon-Bericht zur Zahlungssicherheit 2017, einer eingehenden Studie zur PCI-DSS-Konformität:
- Einzelhandelsunternehmen haben in allen Schlüsselbranchen die geringste Nachhaltigkeit in Bezug auf die PCI-Konformität nachgewiesen.
- Die IT-Dienstleistungsbranche erzielte die höchste vollständige Compliance aller untersuchten Schlüsselbranchengruppen.
- 77 Prozent der Unternehmen, die nach einem Datenverstoß beurteilt wurden, erfüllten nicht die PCI-Anforderung Nr. 1: Installation und Wartung einer Firewall-Konfiguration.
- Die Studie zeigt eine "nachweisbare" Korrelation zwischen Unternehmen, die hinsichtlich der PCI-Standards auf dem neuesten Stand sind, und Unternehmen, die sich erfolgreich gegen Cyber-Bedrohungen verteidigt haben.
- Die Zahl der Unternehmen, die zu 100 Prozent PCI-konform sind, wächst von Jahr zu Jahr erheblich.