Kaum ein Big Player blieb in den vergangenen Jahren verschont: Apple, Google, ebay und Amazon ließen durchblicken, dass ihre Payment Card Industry Data Security Standards (PCI-DSS) teils erhebliche Lücken aufwiesen. Was die Tech-Riesen aus ihren Datenpannen gelernt haben und was sie heute von Ihrem Business unterscheidet? Ein großes Sonderkommando an IT-Spezialisten.

Rückblick

Im vergangenen Jahr sind im Mastercard-Bonusprogramm “Priceless Specials” Listen mit 90.000 Datensätzen in Umlauf gelangt. Mastercard verwies darauf, dass ein Dienstleister, der das Bonusprogramm betrieb, “einen Sicherheitsvorfall erlitten” habe. Es habe dabei keine Verbindung zum Zahlungsnetzwerk von Mastercard gegeben. Dabei gingen über 10.000 Datensätze verloren. Diese enthielten den vollständigen Namen der Teilnehmer, ihre E-Mail-Adressen, Handynummern und Postanschriften und wie sich später herausstellte: auch Kreditkartendaten.

Auch Airlines und Hotels wurden sensibler Kundendaten beraubt: Hackerangriffe verursachten der Airline easyJet eine hohe Geldstrafe. Konkurrent British Airways wehrt sich noch immer gegen ein Bußgeld von umgerechnet gut 200 Millionen Euro nach dem Diebstahl von Hunderttausenden Kreditkarten-Daten im Jahr 2018, welches die zuständige Behörde ICO verhängt hatte.

Der Hotelkette Marriott sind Daten von bis zu einer halben Milliarde Gästen der Tochtermarke Starwood gestohlen worden. Im Fall von 327 Millionen Hotelgästen ging es um Informationen wie Namen, E-Mail-Adressen, Anschriften, Passnummern, Geburtsdatum sowie den Aufenthaltszeitraum, teilte das Unternehmen mit. Die Hacker konnten bei einigen Gästen auch verschlüsselte Kreditkartendaten erbeuten.

Kreditkartendaten unterliegen standardisierter Compliance

In unserem Beitrag zur Payment Card Industry Standardisierung haben wir bereits auf das Thema der Datensicherheit aufmerksam gemacht. Besonders unangenehm wird es, wenn auch die Payment-Anbieter unseres Vertrauens in Verruf geraten und mit Datenskandalen behaftet sind. Mastercard, Visa und Paypal mussten sich eingestehen, der Verantwortung für Datensicherheit Ihrer Partner und Kunden inadäquat nachgegangen zu sein. Umso erfreulicher ist es, auf Seiten der Konsumenten die Entwicklung einer Standardisierung zu beobachten. Bleiben Datenskandale, insbesondere die der sensiblen Kreditkartendaten in Zukunft aus? Mit Sicherheit nicht, doch der Blick für mögliche Schwachstellen wird geschärft.

Auch KMU müssen der PCI Standardisierung entsprechen

Was Freude und Zuversicht unter den Konsumenten auslöst, ist das Leid des Kleinunternehmers. Dieser muss sich durch den mit rund 170 Seiten gefüllten PCI-DSS Katalog quälen und die individuelle Passung für sein Unternehmen ausarbeiten. Eine zunehmende Abhängigkeit von Zahlungsdiensten ist zu verzeichnen. Im Zuge der Digitalisierung steigen immer mehr Unternehmen ins Payment-Geschäft. Doch viele wissen nichts von ihrer Pflicht, daher unser Hinweis: Sobald Sie mit Kartenzahlungen und Transaktionen arbeiten, unterliegen Sie strengen Anforderungen an Datensicherheit und Datenschutz bei der Verarbeitung von Kreditkartendaten. Sie sind dazu verpflichtet diese nahtlos zu erfüllen.

Grafik: Ein Auszug der ausführlichen PCI DSS-Anforderungen aus dem PCI Data Security Standard

Komplexe PCI-DSS Anforderungen verstehen

Die PCI-DSS Sicherheitsanforderungen gelten für alle Systemkomponenten, die sich in der Karteninhaberdatenumgebung (Cardholder Data Environment (CDE)) befinden oder daran angeschlossen sind.

Die CDE besteht aus Personen, Prozessen und Technologien, die Karteninhaberdaten oder vertrauliche Authentifizierungsdaten speichern, verarbeiten oder weitergeben. Zu den Systemkomponenten zählen unter anderem:

  • Server-Typen, wie zum Beispiel Web-, Anwendungs-, Datenbank-, Authentifizierungs-, Mail-, Proxy-, NTP- und DNS-Server.
  • Anwendungen wie z. B. alle erworbenen und benutzerdefinierten Anwendungen, darunter auch interne und externe (z. B. Internet-)
  • Alle anderen in der CDE befindlichen oder damit verbundenen Komponenten oder Geräte. Die Parteien geben dabei klar an, welche Services und Systemkomponenten zum Umfang der PCI-DSS-Untersuchung des Dienstanbieters gehören.

Außerdem ist zu klären, welche konkreten PCI-DSS-Anforderungen der Dienstanbieter erfüllt, welche Anforderungen dagegen im Verantwortungsbereich bei Ihnen als Kunde des Dienstanbieters liegen und von diesen in eigenen PCI-DSS Prüfungen zu berücksichtigen sind. Die Notwendigkeit einer Regulierung ist offensichtlich. Es gibt den PCI-DSS, aber viele Institutionen haben Mühe, die Anforderungen an die Einhaltung des PCI-DSS mit dem Streben nach Innovation in Einklang zu bringen.

Die mVISE AG ist Ihr professioneller Partner in allen Themen rund um die PCI Compliance, Zertifizierung und Informations-Sicherheit. Machen Sie sich ein Bild von unserer Audit-Erfahrung und melden Sie sich kostenlos zu unserem Expertentalk „5 fatale Fehler bei der PCI-DSS Zertifizierung“, am 27. August 2020 um 15 Uhr, an.

Kategorien

Kaum ein Big Player blieb in den vergangenen Jahren verschont: Apple, Google, ebay und Amazon ließen durchblicken, dass ihre Payment Card Industry Data Security Standards (PCI-DSS) teils erhebliche Lücken aufwiesen. Was die Tech-Riesen aus ihren Datenpannen gelernt haben und was sie heute von Ihrem Business unterscheidet? Ein großes Sonderkommando an IT-Spezialisten.

Rückblick

Im vergangenen Jahr sind im Mastercard-Bonusprogramm “Priceless Specials” Listen mit 90.000 Datensätzen in Umlauf gelangt. Mastercard verwies darauf, dass ein Dienstleister, der das Bonusprogramm betrieb, “einen Sicherheitsvorfall erlitten” habe. Es habe dabei keine Verbindung zum Zahlungsnetzwerk von Mastercard gegeben. Dabei gingen über 10.000 Datensätze verloren. Diese enthielten den vollständigen Namen der Teilnehmer, ihre E-Mail-Adressen, Handynummern und Postanschriften und wie sich später herausstellte: auch Kreditkartendaten.

Auch Airlines und Hotels wurden sensibler Kundendaten beraubt: Hackerangriffe verursachten der Airline easyJet eine hohe Geldstrafe. Konkurrent British Airways wehrt sich noch immer gegen ein Bußgeld von umgerechnet gut 200 Millionen Euro nach dem Diebstahl von Hunderttausenden Kreditkarten-Daten im Jahr 2018, welches die zuständige Behörde ICO verhängt hatte.

Der Hotelkette Marriott sind Daten von bis zu einer halben Milliarde Gästen der Tochtermarke Starwood gestohlen worden. Im Fall von 327 Millionen Hotelgästen ging es um Informationen wie Namen, E-Mail-Adressen, Anschriften, Passnummern, Geburtsdatum sowie den Aufenthaltszeitraum, teilte das Unternehmen mit. Die Hacker konnten bei einigen Gästen auch verschlüsselte Kreditkartendaten erbeuten.

Kreditkartendaten unterliegen standardisierter Compliance

In unserem Beitrag zur Payment Card Industry Standardisierung haben wir bereits auf das Thema der Datensicherheit aufmerksam gemacht. Besonders unangenehm wird es, wenn auch die Payment-Anbieter unseres Vertrauens in Verruf geraten und mit Datenskandalen behaftet sind. Mastercard, Visa und Paypal mussten sich eingestehen, der Verantwortung für Datensicherheit Ihrer Partner und Kunden inadäquat nachgegangen zu sein. Umso erfreulicher ist es, auf Seiten der Konsumenten die Entwicklung einer Standardisierung zu beobachten. Bleiben Datenskandale, insbesondere die der sensiblen Kreditkartendaten in Zukunft aus? Mit Sicherheit nicht, doch der Blick für mögliche Schwachstellen wird geschärft.

Auch KMU müssen der PCI Standardisierung entsprechen

Was Freude und Zuversicht unter den Konsumenten auslöst, ist das Leid des Kleinunternehmers. Dieser muss sich durch den mit rund 170 Seiten gefüllten PCI-DSS Katalog quälen und die individuelle Passung für sein Unternehmen ausarbeiten. Eine zunehmende Abhängigkeit von Zahlungsdiensten ist zu verzeichnen. Im Zuge der Digitalisierung steigen immer mehr Unternehmen ins Payment-Geschäft. Doch viele wissen nichts von ihrer Pflicht, daher unser Hinweis: Sobald Sie mit Kartenzahlungen und Transaktionen arbeiten, unterliegen Sie strengen Anforderungen an Datensicherheit und Datenschutz bei der Verarbeitung von Kreditkartendaten. Sie sind dazu verpflichtet diese nahtlos zu erfüllen.

Grafik: Ein Auszug der ausführlichen PCI DSS-Anforderungen aus dem PCI Data Security Standard

Komplexe PCI-DSS Anforderungen verstehen

Die PCI-DSS Sicherheitsanforderungen gelten für alle Systemkomponenten, die sich in der Karteninhaberdatenumgebung (Cardholder Data Environment (CDE)) befinden oder daran angeschlossen sind.

Die CDE besteht aus Personen, Prozessen und Technologien, die Karteninhaberdaten oder vertrauliche Authentifizierungsdaten speichern, verarbeiten oder weitergeben. Zu den Systemkomponenten zählen unter anderem:

  • Server-Typen, wie zum Beispiel Web-, Anwendungs-, Datenbank-, Authentifizierungs-, Mail-, Proxy-, NTP- und DNS-Server.
  • Anwendungen wie z. B. alle erworbenen und benutzerdefinierten Anwendungen, darunter auch interne und externe (z. B. Internet-)
  • Alle anderen in der CDE befindlichen oder damit verbundenen Komponenten oder Geräte. Die Parteien geben dabei klar an, welche Services und Systemkomponenten zum Umfang der PCI-DSS-Untersuchung des Dienstanbieters gehören.

Außerdem ist zu klären, welche konkreten PCI-DSS-Anforderungen der Dienstanbieter erfüllt, welche Anforderungen dagegen im Verantwortungsbereich bei Ihnen als Kunde des Dienstanbieters liegen und von diesen in eigenen PCI-DSS Prüfungen zu berücksichtigen sind. Die Notwendigkeit einer Regulierung ist offensichtlich. Es gibt den PCI-DSS, aber viele Institutionen haben Mühe, die Anforderungen an die Einhaltung des PCI-DSS mit dem Streben nach Innovation in Einklang zu bringen.

Die mVISE AG ist Ihr professioneller Partner in allen Themen rund um die PCI Compliance, Zertifizierung und Informations-Sicherheit. Machen Sie sich ein Bild von unserer Audit-Erfahrung und melden Sie sich kostenlos zu unserem Expertentalk „5 fatale Fehler bei der PCI-DSS Zertifizierung“, am 27. August 2020 um 15 Uhr, an.

Haben Sie Fragen?

Schicken Sie uns einfach eine E-Mail oder rufen Sie uns an.

Ihr Ansprechpartner
Dr. Kevin J. Mobbs,
Head of Marketing & Inside Sales

Telefon
0211 78 17 80-0

Email
service@mvise.de

Haben Sie Fragen?

Schicken Sie uns einfach eine E-Mail oder rufen Sie uns an.

Ihr Ansprechpartner
Dr. Kevin J. Mobbs,
Head of Marketing & Inside Sales

Telefon
0211 78 17 80-0

Email
service@mvise.de

Haben Sie Fragen?
Sie erreichen uns:
Mo - Fr von 9 bis 17 Uhr

service@mvise.de

Düsseldorf (Zentrale)
mVISE AG
Wahlerstraße 2
40472 Düsseldorf

+49 (0)211 781780-0

Frankfurt am Main
mVISE AG
Insterburger Straße 5
60487 Frankfurt am Main

+49 (0)69 707997-52

Hamburg
mVISE AG
Am Sandtorkai 37
20457 Hamburg

+49 (0)211 781780-0

München
mVISE AG
Wilhelm-Wagenfeld-Straße 26
80807 München

+49 (0)89 21 54 39 48-0

Bonn
elastic.io
Rabinstrasse 4
53111 Bonn

+49 (0)228 534442-21

Datenschutz       Impressum
mVISE AG 2020

SALESPHERE

Die Sales Enablement Platform stellt dem Vertriebs-Team den richtigen Content, zur richtigen Zeit, am richtigen Ort bereit – auch offline.

ELASTIC.IO

Unsere Integrationsplattform-as-a-Service. Die „Mehrfachsteckdose” in der Cloud. Schnell, erweiterbar, elastisch.

RIVERSAND

Omnichannel Management leicht gemacht – mit der Product Information Management Lösung von Riversand.

BUILD IT

Abgestimmt auf Ihr Geschäftsmodell bieten unsere Managed Services zuverlässige Unterstützung in den Bereichen IT-Modernisierung, Cloud Computing und IT-Security.

INTEGRATE & ANALYZE IT

Wir heben den Gehalt Ihrer Daten auf eine neue Stufe und zeigen Ihnen, wie Sie durch Datenintegration und Datenvisualisierung die richtigen Entscheidungen für die Zukunft treffen.

COMMERCIALIZE IT

Wir mobilisieren Ihre Daten und vernetzen diese unternehmensweit, damit Sie für alle Geschäftseinheiten die richtigen Entscheidungen treffen können.

BROSCHÜREN

Erfahren Sie mehr über unsere Produkte.

WHITEPAPER

Unsere Erkenntnisse aus verschiedensten Bereichen im Detail.

FALLSTUDIEN / CASE STUDIES

Lassen Sie sich von unseren Arbeiten überzeugen.

WEBINARE

Unser digitales Klassenzimmer.

MISSION UND VISION

Erfahren Sie mehr über uns und wie wir die digitale Revolution vorantreiben wollen.

KARRIERE

Lust auf neue spannende Herausforderungen? Jetzt Teil unseres Teams werden.

MANAGEMENT

Der Blick hinter die Kulissen: Lernen Sie unseren Vorstand und unseren Aufsichtsrat kennen.

STANDORTE

Unsere fünf Standorte in Düsseldorf, Frankfurt, Hamburg, München und Bonn in der Übersicht.

NEWS UND EVENTS

Die aktuellen Veröffentlichungen und Veranstaltungen nach Themengebieten kategorisiert zur Übersicht.

DAS UNTERNEHMEN

Unternehmensdaten, Unternehmenspräsentation und Börsenportrait.

INVESTOR NEWS

Die letzten Meldungen im Überblick.

BERICHTE UND RESEARCH

Geschäftsberichte und Research-Berichte.

DIRECTORS DEALING

Aktiengeschäfte gemäß § 15a WpHG.

ANSPRECHPARTNER

Investor Relations und Stakeholder Management.

FINANZKALENDER

Konferenzen, Events, Hauptversammlungen und Veröffentlichungen.

DIE AKTIE

Gesamtzahl, Grundkapital und mehr.

WANDELANLEIHEN

Informationen zur Ausgabe einer Wandelanleihe.

CORPORATE GOVERNANCE

Code of Conduct und Satzung.