PCI DSS – Payment Security Report: Einhaltung der Richtlinien für Zahlungssicherheit rückläufig
Nachdem Verizon in den letzten sechs Jahren (2010 – 2016) Verbesserungen bei der Einhaltung des Payment Card Industry Data Security Standard (PCI DSS) dokumentiert hat, zeigt der “2018 Payment Security Report” (Verizon) nun einen Abwärtstrend bei den Unternehmen, die Compliance-Bewertungen nicht vollständig einhalten.
Der Payment Card Industry Data Security Standard (PCI DSS) unterstützt Unternehmen, die Kartenzahlungsmöglichkeiten anbieten, ihre Zahlungssysteme vor Datenverletzungen und dem Diebstahl von Karteninhaberdaten zu schützen. Im Rahmen der Reihe „Verizon Data Breach Investigations Report“ konnte nachgewiesen werden, dass PCI DSS-Compliance zum Schutz sowohl vor Datenverletzungen als auch vor Diebstahl von Karteninhaberdaten beiträgt.Daten aus dem Jahr 2017, die von den Verizon PCI DSS Qualified Security Assessors (QSAs) erhoben wurden, zeigen, dass die PCI-Compliance bei global tätigen Unternehmen abnimmt: Nur 52,4 Prozent konnten 2017 eine vollständige Compliance aufrechterhalten, 2016 waren es noch 55,4 Prozent. Dabei gab es deutliche regionale Unterschiede: Mit 77,8 Prozent ist bei Unternehmen in der Asien-Pazifikregion vollständige Compliance eher wahrscheinlich als in Europa (46,4 Prozent) oder Nord- und Südamerika (39,7 Prozent). Die Unterschiede sind auf das Timing geografischer Compliance-Rollout-Strategien, kulturelle Wertschätzung von Auszeichnungen und Anerkennungen sowie auf die Ausgereiftheit von IT-Systemen zurückzuführen.
Nach Geschäftsfeldern gegliedert, stehen IT-Services weiterhin an erster Stelle, wenn es um Compliance geht, wobei über drei Viertel der Unternehmen (77,8 Prozent) den Vollstatus erreichen. Einzelhandel (56,3 Prozent) und Finanzdienstleistungen (47,9 Prozent) lagen deutlich vor dem Hotel- und Gaststättengewerbe (38,5 Prozent), das die geringste Compliance-Nachhaltigkeit aufwies. Da Unternehmen oft PCI DSS Compliance-Projekte starten, um die Sicherheitsanforderungen von Datenschutzbestimmungen wie der Europäischen Datenschutzverordnung (DSGVO) zu erfüllen, ist diese Lücke zwischen den verschiedenen Geschäftsbereichen, die täglich mit elektronischen Zahlungen zu tun haben, erheblich.
Die PCI-Compliance-Standards werden in globalen Unternehmen zunehmend weniger beachtet. Verbraucher und Anbieter gleichermaßen gehen vertrauensvoll davon aus, dass die Unternehmen ihre Zahlungsdaten schützen, also müssen wir jetzt handeln, damit dieser Zustand behoben wird. Wir fordern die Unternehmen auf, ihre Messmethoden im Hinblick auf die Wirksamkeit der PCI-Kontrolle zu überprüfen und sich auf das Management der Nachhaltigkeit ihres Datenschutzes zu konzentrieren.“
Rodolphe Simonetti, Global Managing Director, Security Consulting Verizon
PCI DSS-Standards kontrollieren
Die neun von Verizon ermittelten Faktoren zur Kontrolle von Wirksamkeit und Nachhaltigkeit folgen den zwölf Anforderungen des PCI DSS-Standards:
1. Faktor 1: Kontrollumgebung: Nachhaltigkeit und Wirksamkeit der zwölf Kern-Anforderungen sind von einer funktionierenden Kontrollumgebung abhängig. 2. Faktor 2: Kontrollaufbau: Ein ordnungsgemäßer Kontrollbetrieb zur Erfüllung der DSS-Sicherheitskontrollziele benötigt einen durchdachten Kontrollaufbau. 3. Faktor 3: Kontrollrisiko: Ohne kontinuierliche Wartung und Pflege (Sicherheitstests, Risikomanagement usw.) können Kontrollen mit der Zeit an Wirksamkeit verlieren und schließlich ausfallen. Um das Ausfallen von Kontrollen zu minimieren, ist ein integriertes Management des Kontrollrisikos erforderlich. 4. Faktor 4: Kontrollrobustheit: Kontrollen finden in einem dynamischen Geschäfts- sowie sich permanent ändernden Bedrohungsumfeld statt. Sie müssen robust sein, um unerwünschten Veränderungen standzuhalten, damit sie funktionsfähig bleiben und gemäß ihren Spezifikationen arbeiten (Konfigurierungsstandards, Zugangskontrolle, System-Hardening usw.). 5. Faktor 5: Widerstandsfähigkeit von Kontrollen: Sicherheitskontrollen können immer wieder versagen, auch wenn man zur Erhöhung der Robustheit zusätzliche Kontroll-Layer hinzufügt. Daher ist im Sinne von Wirksamkeit und Nachhaltigkeit Widerstandsfähigkeit der Kontrollen durch proaktives Erkennen und rasche Wiederherstellung nach einem Ausfall unverzichtbar. 6. Faktor 6: Lifecycle-Management von Kontrollen: Um all das zu erreichen, muss man Sicherheitskontrollen in jedem Stadium ihres Lebenszyklus von ihrer Einrichtung bis zur Außerbetriebnahme überwachen und aktiv managen. 7. Faktor 7: Performance-Management: Die Wirksamkeit von Kontrollen lässt sich verbessern, wenn man Performance-Standards zur Messung der tatsächlichen Performance des Kontrollumfeldes definiert und kommuniziert. Und man trägt damit zu prognostizierbaren Ergebnissen der Datenschutz- und Compliance-Aktivitäten bei. Dadurch ist die frühzeitige Identifizierung und Behebung von Performance-Abweichungen möglich. 8. Faktor 8: Reifegradmessung: Eine Kontrollumgebung sollte niemals stagnieren – sie muss sich kontinuierlich verbessern. Dazu benötigen Unternehmen eine Roadmap, einen Zielwert für die Prozess- und Kompetenzreife, um den Grad der Formvorschriften und die Optimierung von Prozessen zu verfolgen und so zu zeigen, wie nah die Entwicklungsprozesse am Ende sind und sich kontinuierlich verbessern können. 9. Faktor 9: Selbstbeurteilung: Zur Erfüllung all dessen sind entsprechende Inhouse-Kapazitäten gefordert: Ressourcen (Personal, Prozesse, Technologie), Fähigkeiten (unterstützende Prozesse), Kompetenzen (Fertigkeiten, Wissen, Erfahrung) sowie Engagement (der Wille, Compliance-Anforderungen durchgängig einzuhalten) – kurz gesagt: Selbstbeurteilungsvermögen.Gemeinsame Datennutzung und branchenübergreifende Zusammenarbeit ist von entscheidender Bedeutung, um nachzuvollziehen, wie sich die Bedrohungslandschaft entwickelt und um die weltweite Zahlungssicherheit voranzutreiben. Wie der Report zeigt, sind Unternehmen nach wie vor gefordert, in sich rasch ändernden Umfeldern ein hohes Maß an Sicherheit zu gewährleisten und zu zeigen, dass sie dauerhaft compliant sind. Unternehmen sollten den Ergebnissen des Berichts hohe Aufmerksamkeit schenken und Informationen nutzen, um die Sicherheit weiterhin zu gewährleisten. Compliance sollte niemals als das Endziel für Sicherheit angesehen werden, sondern eher als Maßstab für den anhaltenden Erfolg eines Unternehmens beim Schutz von Daten.”
Troy Leach, Chief Technology Officer des PCI Security Standards Council
Über den Report
Ziel des PSR 2018 ist es nicht, die Leser von der Notwendigkeit der PCI-Konformität zu überzeugen, sondern den Wert der Performance-Messung und der Kontrolleffektivität zu unterstreichen. Der diesjährige Bericht enthält die Ergebnisse von PCI-Assessments, die von Verizons Team von PCI Qualified Security Assessors für Fortune 500 und große multinationale Unternehmen in mehr als 30 Ländern durchgeführt wurden. Ähnlich wie bei der Verizon Berichtsreihe „Data Breach Investigations Report“ basiert der PSR 2018 auf der Arbeit an realen Fällen mit dem Schwerpunkt auf Finanzdienstleistungen (58 Prozent), IT-Services (15 Prozent), dem Hotel- und Gaststättengewerbe (13 Prozent) sowie dem Einzelhandel (11 Prozent). Zu den erfassten Regionen gehören Nord- und Südamerika (48 Prozent), die Asien-Pazifikregion (30 Prozent) und Europa (23 Prozent).
Den Verizon Payment Security Report 2018 können Sie hier direkt als PDF ohne Adressangabe herunterladen.aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/78239
Schreiben Sie einen Kommentar