Die Sicherheit von Karteninhaber-Informationen betrifft jeden

Der Payment Card Industry – Data Security Standard (PCI-DSS) wurde entwickelt, um die Sicherheit von Karteninhaberdaten zu verbessern und die umfassende Akzeptanz einheitlicher Datensicherheitsmaßnahmen auf der ganzen Welt zu vereinfachen. Egal welcher Gruppe  Sie angehören: Die Sicherheit von sensiblen Daten bei Finanztransaktionen betrifft Sie als Anbieter der Paymentbranche, Händler oder Konsument. Dazu liefert der PCI-DSS grundlegende technische und betriebliche Anforderungen zum Schutz von Kontodaten. Der PCI-DSS gilt für alle Einrichtungen, die an der Verarbeitung von Zahlungskarten beteiligt sind – einschließlich Vertragsunternehmen, EDV-Dienstleistern, abrechnenden Stellen, Kartenemittenten und Dienstleistern. Er gilt außerdem für alle anderen Einrichtungen, die Karteninhaberdaten, sowie vertrauliche Authentifizierungsdaten speichern, verarbeiten oder übertragen.

Die erste Version des PCI-DSS wurde ursprünglich im Jahr 2004 veröffentlicht. Seither wurde sie mehrfach überarbeitet und ihre letzte Iteration, der PCI-DSS v3.2.1, wurde vom PCI SCC am 17. Mai 2018 veröffentlicht. In 12  umfangreichen Anforderungen werden darin Erläuterungen zum Prüfverfahren gegeben, ferner steht auch ein Leitfaden zur Verfügung.

Eine der Mindestanforderungen im PCI-DSS stellt den Schutz von Kontodaten in den Fokus – er kann um zusätzliche Kontrollen und Verfahren erweitert werden, um mögliche Risiken zu minimieren und den lokal, regional oder branchenweit geltenden Gesetzen und Regelungen zu entsprechen. Zudem können die gesetzlichen oder regulatorischen Anforderungen konkrete Schutzmaßnahmen für persönliche Daten oder andere Datenelemente (z. B. den Namen des Karteninhabers) fordern. Wichtig: Der PCI-DSS ersetzt keine lokalen oder regionalen Gesetze, behördliche Regulierungen oder andere gesetzliche Bestimmungen. Insbesondere die PAN (Primary Account Number, primäre Kontonummer) ist der ausschlaggebende Faktor in Bezug auf die Karteninhaberdaten. Wenn der Name des Inhabers, der Servicecode und/oder das Ablaufdatum zusammen mit der PAN gespeichert, verarbeitet oder weitergegeben werden oder anderweitig innerhalb der Karteninhaberdaten-Umgebung vorhanden sind, müssen diese Daten gemäß den PCI-DSS-Anforderungen geschützt werden.

Das Risiko verstehen

  • 475% – So hoch war der Anstieg an schädlichen Meldungen im Zusammenhang mit dem Coronavirus seit März 2020
  • 41% der kleinen Unternehmen, die eine Datenverletzung erlitten haben, zahlten mehr als 50.000 Dollar für die Schadensbehebung
  • 29% der befragten Verbraucher sagten, sie würden nie wieder ein Kleinunternehmen nutzen, das eine Datenverletzung erlitten hat

Insbesondere jetzt – in einer Zeit geprägt von dynamischem Wandel, vorschnellen Maßnahmen und Unsicherheit – stehen Cyberkriminalität und Datenklau hoch im Kurs. Im Jahr 2018 entstanden Schäden durch Cyberkriminalität in Deutschland von ungefähr 61,4 Millionen Euro – Tendenz durch die andauernde Krise steigend: Langfristig betrachtet sorgt ein solides PCI-Management also ebenso für ein gestärktes Kundenvertrauen.

Ein Auszug der PCI-Anforderungen: Schutz gespeicherter Karteninhaberdaten

Schutzmethoden wie Verschlüsselung, Abkürzung, Maskierung und Hashing sind kritische Bestandteile des Schutzes von Karteninhaberdaten. Wenn ein Eindringling andere Sicherheitskontrollen umgeht und Zugriff auf verschlüsselte Daten ohne die entsprechenden kryptographischen Schlüssel erlangt, sind die Daten nicht lesbar und für diese Person unbrauchbar. Andere effektive Methoden zum Schutz gespeicherter Daten sollten als Möglichkeit zur Risikoabschwächung ebenfalls in Betracht gezogen werden. Zu den Methoden zur Risikominimierung gehört es beispielsweise, Karteninhaberdaten nur zu speichern, wenn dies unbedingt erforderlich ist, Karteninhaberdaten abzukürzen, wenn die vollständige PAN nicht benötigt wird und die unverschlüsselte PAN nicht mittels Messaging-Technologien für Endanwender wie etwa E-Mails oder Instant Messaging zu senden.

In einer formalen Datenaufbewahrungsrichtlinie wird festgelegt, welche Daten aufbewahrt werden müssen und wo sich diese Daten befinden, damit diese sicher vernichtet oder gelöscht werden können, sobald sie nicht mehr erforderlich sind. Die einzigen Karteninhaberdaten, die auch nach der Autorisierung gespeichert werden können, sind die primäre Kontonummer in unleserlicher Form, das Ablaufdatum, der Name des Karteninhabers und der Servicecode. Es muss bekannt sein, wo die Karteninhaberdaten gespeichert werden, damit sie ordnungsgemäß aufbewahrt bzw. nach dem Ende der Nutzung gelöscht werden können.

Um angemessene Aufbewahrungsanforderungen zu definieren, muss sich ein Unternehmen zunächst über seine eigenen Betriebsbedürfnisse und gesetzlichen oder behördlichen Pflichten im Klaren sein, die für seine Branche beziehungsweise den jeweiligen Datentyp gelten. PCI DSS-Compliance sollte zu den wichtigsten durchgängigen Projekten in jedem Unternehmen gehören, welches die privaten Kreditkartendaten seiner Kunden erfasst und speichert. Nach dem 2018 Verizon Payment Security Report erfüllen nur 52,5 % aller Organisationen diese Compliance-Kriterien vollständig – dies ist ein kritisches Ergebnis, denken Sie an die 61,4 Millionen Euro Schadenssumme!

In unserem online Expertentalk am Donnerstag, den 27. August 2020, 15:00 – 16:00 Uhr, diskutieren wir erfolgskritische Faktoren, die bei der Durchführung eines PCI-DSS Compliance Projektes auftreten können. Gemeinsam mit sachkundigen Experten führt Sie Thomas Benz durch den Dschungel der PCI-DSS-Anforderungen – kostenlos und unverbindlich.

Kategorien

Die Sicherheit von Karteninhaber-Informationen betrifft jeden

Der Payment Card Industry – Data Security Standard (PCI-DSS) wurde entwickelt, um die Sicherheit von Karteninhaberdaten zu verbessern und die umfassende Akzeptanz einheitlicher Datensicherheitsmaßnahmen auf der ganzen Welt zu vereinfachen. Egal welcher Gruppe  Sie angehören: Die Sicherheit von sensiblen Daten bei Finanztransaktionen betrifft Sie als Anbieter der Paymentbranche, Händler oder Konsument. Dazu liefert der PCI-DSS grundlegende technische und betriebliche Anforderungen zum Schutz von Kontodaten. Der PCI-DSS gilt für alle Einrichtungen, die an der Verarbeitung von Zahlungskarten beteiligt sind – einschließlich Vertragsunternehmen, EDV-Dienstleistern, abrechnenden Stellen, Kartenemittenten und Dienstleistern. Er gilt außerdem für alle anderen Einrichtungen, die Karteninhaberdaten, sowie vertrauliche Authentifizierungsdaten speichern, verarbeiten oder übertragen.

Die erste Version des PCI-DSS wurde ursprünglich im Jahr 2004 veröffentlicht. Seither wurde sie mehrfach überarbeitet und ihre letzte Iteration, der PCI-DSS v3.2.1, wurde vom PCI SCC am 17. Mai 2018 veröffentlicht. In 12  umfangreichen Anforderungen werden darin Erläuterungen zum Prüfverfahren gegeben, ferner steht auch ein Leitfaden zur Verfügung.

Eine der Mindestanforderungen im PCI-DSS stellt den Schutz von Kontodaten in den Fokus – er kann um zusätzliche Kontrollen und Verfahren erweitert werden, um mögliche Risiken zu minimieren und den lokal, regional oder branchenweit geltenden Gesetzen und Regelungen zu entsprechen. Zudem können die gesetzlichen oder regulatorischen Anforderungen konkrete Schutzmaßnahmen für persönliche Daten oder andere Datenelemente (z. B. den Namen des Karteninhabers) fordern. Wichtig: Der PCI-DSS ersetzt keine lokalen oder regionalen Gesetze, behördliche Regulierungen oder andere gesetzliche Bestimmungen. Insbesondere die PAN (Primary Account Number, primäre Kontonummer) ist der ausschlaggebende Faktor in Bezug auf die Karteninhaberdaten. Wenn der Name des Inhabers, der Servicecode und/oder das Ablaufdatum zusammen mit der PAN gespeichert, verarbeitet oder weitergegeben werden oder anderweitig innerhalb der Karteninhaberdaten-Umgebung vorhanden sind, müssen diese Daten gemäß den PCI-DSS-Anforderungen geschützt werden.

Das Risiko verstehen

  • 475% – So hoch war der Anstieg an schädlichen Meldungen im Zusammenhang mit dem Coronavirus seit März 2020
  • 41% der kleinen Unternehmen, die eine Datenverletzung erlitten haben, zahlten mehr als 50.000 Dollar für die Schadensbehebung
  • 29% der befragten Verbraucher sagten, sie würden nie wieder ein Kleinunternehmen nutzen, das eine Datenverletzung erlitten hat

Insbesondere jetzt – in einer Zeit geprägt von dynamischem Wandel, vorschnellen Maßnahmen und Unsicherheit – stehen Cyberkriminalität und Datenklau hoch im Kurs. Im Jahr 2018 entstanden Schäden durch Cyberkriminalität in Deutschland von ungefähr 61,4 Millionen Euro – Tendenz durch die andauernde Krise steigend: Langfristig betrachtet sorgt ein solides PCI-Management also ebenso für ein gestärktes Kundenvertrauen.

Ein Auszug der PCI-Anforderungen: Schutz gespeicherter Karteninhaberdaten

Schutzmethoden wie Verschlüsselung, Abkürzung, Maskierung und Hashing sind kritische Bestandteile des Schutzes von Karteninhaberdaten. Wenn ein Eindringling andere Sicherheitskontrollen umgeht und Zugriff auf verschlüsselte Daten ohne die entsprechenden kryptographischen Schlüssel erlangt, sind die Daten nicht lesbar und für diese Person unbrauchbar. Andere effektive Methoden zum Schutz gespeicherter Daten sollten als Möglichkeit zur Risikoabschwächung ebenfalls in Betracht gezogen werden. Zu den Methoden zur Risikominimierung gehört es beispielsweise, Karteninhaberdaten nur zu speichern, wenn dies unbedingt erforderlich ist, Karteninhaberdaten abzukürzen, wenn die vollständige PAN nicht benötigt wird und die unverschlüsselte PAN nicht mittels Messaging-Technologien für Endanwender wie etwa E-Mails oder Instant Messaging zu senden.

In einer formalen Datenaufbewahrungsrichtlinie wird festgelegt, welche Daten aufbewahrt werden müssen und wo sich diese Daten befinden, damit diese sicher vernichtet oder gelöscht werden können, sobald sie nicht mehr erforderlich sind. Die einzigen Karteninhaberdaten, die auch nach der Autorisierung gespeichert werden können, sind die primäre Kontonummer in unleserlicher Form, das Ablaufdatum, der Name des Karteninhabers und der Servicecode. Es muss bekannt sein, wo die Karteninhaberdaten gespeichert werden, damit sie ordnungsgemäß aufbewahrt bzw. nach dem Ende der Nutzung gelöscht werden können.

Um angemessene Aufbewahrungsanforderungen zu definieren, muss sich ein Unternehmen zunächst über seine eigenen Betriebsbedürfnisse und gesetzlichen oder behördlichen Pflichten im Klaren sein, die für seine Branche beziehungsweise den jeweiligen Datentyp gelten. PCI DSS-Compliance sollte zu den wichtigsten durchgängigen Projekten in jedem Unternehmen gehören, welches die privaten Kreditkartendaten seiner Kunden erfasst und speichert. Nach dem 2018 Verizon Payment Security Report erfüllen nur 52,5 % aller Organisationen diese Compliance-Kriterien vollständig – dies ist ein kritisches Ergebnis, denken Sie an die 61,4 Millionen Euro Schadenssumme!

In unserem online Expertentalk am Donnerstag, den 27. August 2020, 15:00 – 16:00 Uhr, diskutieren wir erfolgskritische Faktoren, die bei der Durchführung eines PCI-DSS Compliance Projektes auftreten können. Gemeinsam mit sachkundigen Experten führt Sie Thomas Benz durch den Dschungel der PCI-DSS-Anforderungen – kostenlos und unverbindlich.

Haben Sie Fragen?

Schicken Sie uns einfach eine E-Mail oder rufen Sie uns an.

Ihr Ansprechpartner
Dr. Kevin J. Mobbs,
Head of Marketing & Inside Sales

Telefon
0211 78 17 80-0

Email
service@mvise.de

Haben Sie Fragen?

Schicken Sie uns einfach eine E-Mail oder rufen Sie uns an.

Ihr Ansprechpartner
Dr. Kevin J. Mobbs,
Head of Marketing & Inside Sales

Telefon
0211 78 17 80-0

Email
service@mvise.de

Haben Sie Fragen?
Sie erreichen uns:
Mo - Fr von 9 bis 17 Uhr

service@mvise.de

Düsseldorf (Zentrale)
mVISE AG
Wahlerstraße 2
40472 Düsseldorf

+49 (0)211 781780-0

Frankfurt am Main
mVISE AG
Insterburger Straße 5
60487 Frankfurt am Main

+49 (0)69 707997-52

Hamburg
mVISE AG
Am Sandtorkai 37
20457 Hamburg

+49 (0)211 781780-0

München
mVISE AG
Wilhelm-Wagenfeld-Straße 26
80807 München

+49 (0)89 21 54 39 48-0

Bonn
elastic.io
Rabinstrasse 4
53111 Bonn

+49 (0)228 534442-21

Datenschutz       Impressum
mVISE AG 2020

SALESPHERE

Die Sales Enablement Platform stellt dem Vertriebs-Team den richtigen Content, zur richtigen Zeit, am richtigen Ort bereit – auch offline.

ELASTIC.IO

Unsere Integrationsplattform-as-a-Service. Die „Mehrfachsteckdose” in der Cloud. Schnell, erweiterbar, elastisch.

RIVERSAND

Omnichannel Management leicht gemacht – mit der Product Information Management Lösung von Riversand.

BUILD IT

Abgestimmt auf Ihr Geschäftsmodell bieten unsere Managed Services zuverlässige Unterstützung in den Bereichen IT-Modernisierung, Cloud Computing und IT-Security.

INTEGRATE & ANALYZE IT

Wir heben den Gehalt Ihrer Daten auf eine neue Stufe und zeigen Ihnen, wie Sie durch Datenintegration und Datenvisualisierung die richtigen Entscheidungen für die Zukunft treffen.

COMMERCIALIZE IT

Wir mobilisieren Ihre Daten und vernetzen diese unternehmensweit, damit Sie für alle Geschäftseinheiten die richtigen Entscheidungen treffen können.

BROSCHÜREN

Erfahren Sie mehr über unsere Produkte.

WHITEPAPER

Unsere Erkenntnisse aus verschiedensten Bereichen im Detail.

FALLSTUDIEN / CASE STUDIES

Lassen Sie sich von unseren Arbeiten überzeugen.

WEBINARE

Unser digitales Klassenzimmer.

MISSION UND VISION

Erfahren Sie mehr über uns und wie wir die digitale Revolution vorantreiben wollen.

KARRIERE

Lust auf neue spannende Herausforderungen? Jetzt Teil unseres Teams werden.

MANAGEMENT

Der Blick hinter die Kulissen: Lernen Sie unseren Vorstand und unseren Aufsichtsrat kennen.

STANDORTE

Unsere fünf Standorte in Düsseldorf, Frankfurt, Hamburg, München und Bonn in der Übersicht.

NEWS UND EVENTS

Die aktuellen Veröffentlichungen und Veranstaltungen nach Themengebieten kategorisiert zur Übersicht.

DAS UNTERNEHMEN

Unternehmensdaten, Unternehmenspräsentation und Börsenportrait.

INVESTOR NEWS

Die letzten Meldungen im Überblick.

BERICHTE UND RESEARCH

Geschäftsberichte und Research-Berichte.

DIRECTORS DEALING

Aktiengeschäfte gemäß § 15a WpHG.

ANSPRECHPARTNER

Investor Relations und Stakeholder Management.

FINANZKALENDER

Konferenzen, Events, Hauptversammlungen und Veröffentlichungen.

DIE AKTIE

Gesamtzahl, Grundkapital und mehr.

WANDELANLEIHEN

Informationen zur Ausgabe einer Wandelanleihe.

CORPORATE GOVERNANCE

Code of Conduct und Satzung.