PCI-Konformität ist die strikte Einhaltung der Richtlinien des PCI DSS (Payment Card Industry Data Security Standard), die für alle Unternehmen erforderlich sind, die Kreditkartenzahlungen akzeptieren. Der Rat für Sicherheitsstandards der Zahlungskartenindustrie ist das Gremium, das Unternehmen für diese Einhaltung verantwortlich macht. Der PCI-Rat bietet verschiedene Schulungen und Kurse für Unternehmen sowie einfache Tests an, mit denen sie den Grad ihrer Einhaltung testen können.
PCI bietet auch Zugriff auf Prüfer (häufig Sicherheitsorganisationen von Drittanbietern), die Unternehmen auf PCI-Konformität überprüfen. Der PCI Security Standards Council stellt außerdem sicher, dass qualifizierte Sicherheitsprüfer regelmäßig zertifiziert und genehmigt werden, damit sie selbst einem hohen Compliance-Standard unterliegen.
PCI bietet auch Standards für PTS-Geräte (PIN Transaction Security), bei denen es sich um die Hardware handelt, auf der Kartentransaktionen stattfinden. Auf der PCI Security Standards-Website finden Sie eine Liste der von PCI zugelassenen PTS-Geräte, für die auch Sicherheitsrichtlinien gelten. Diese Geräte dürfen nicht abgelaufen sein, wenn ein Unternehmen sie verwenden möchte.
Zwölf Anforderungen an die PCI-Konformität
Der Security Standards Council hat zwölf Standards festgelegt, denen jedes Unternehmen, das Karten akzeptiert, folgen muss:
- Implementierung von Firewalls im Unternehmensnetzwerk
- Üben Sie die besten Gewohnheiten für gute Passwörter, nicht nur für das Minimum oder die Standardpasswörter
- Verschlüsselung von Kreditkarteninformationen und Verschlüsselungsschlüsseln
- Verschlüsseln von Daten in Bewegung (während sie öffentliche Netzwerke überqueren)
- Verwendung aktueller Antivirenlösungen
- Sicherung des gesamten Netzwerks einschließlich Software / Anwendungen
- Mitarbeiter dürfen nur dann auf Karteninformationen zugreifen, wenn dies unbedingt erforderlich ist
- Geben Sie jedem Mitarbeiter seinen eigenen Computer- / Systemzugriffscode, Benutzernamen und / oder sein eigenes Passwort
- Beschränken des Zugriffs auf Hardware oder andere Geräte, in denen Kartendaten gespeichert sind
- Überwachung des Systemzugriffs, einschließlich Aufzeichnungen darüber, wann immer ein Mitarbeiter auf Karteninformationen zugreift
- Testen Sie Sicherheitsprotokolle häufig
- Bereitstellung einer Sicherheitsrichtlinie nicht nur für Mitarbeiter, sondern auch für Dritte und Dokumentation der Speicherung, Übertragung und des Zugriffs von Kartendaten. Ein weiterer wichtiger Hinweis zu diesen Dokumenten und Protokollen: Andere gesetzliche Standards wie die DSGVO und die CCPA verlangen wahrscheinlich auch, dass Organisationen die Verwendung und Übertragung sensibler Daten dokumentieren. Daher ist es doppelt wichtig, detaillierte Aufzeichnungen zu führen.
Mögliche Folgen einer PCI-Nichteinhaltung
Die Nichteinhaltung dieser strengen Anforderungen erhöht das Risiko einer Datenverletzung. Es erhöht auch die Wahrscheinlichkeit, den Ruf und das Vertrauen der Kunden zu verlieren. Das Verschlüsseln und Einschränken des Zugriffs auf Daten bietet andererseits mehr Sicherheit für ein Unternehmen. Die strikte Einhaltung der PCI-Standards bedeutet zwar nicht, dass ein Unternehmen gegen Angriffe und Verstöße immun ist, bedeutet jedoch, dass die Geldstrafen und rechtliche Schritte wahrscheinlich verringert werden.
Cyberkriminalität, einschließlich Diebstahl von Kreditkartendaten, wird für Kriminelle immer einfacher zu begehen. Die Einhaltung der PCI-Standards ist die beste Vorgehensweise für Unternehmen, die legal arbeiten und einen zufriedenen Kundenstamm haben möchten.