Wann ist ein PCI-Audit erforderlich?

Wenn Sie sich in den letzten zehn Jahren nicht in einer Höhle versteckt oder auf einer abgelegenen Insel irgendwo in der Mitte des Ozeans gestrandet sind, sind Sie sich wahrscheinlich bewusst, dass die Verbreitung von Cybersicherheitsangriffen exponentiell zugenommen hat.

Die jüngste Verletzung sah HSBC Financial Organization als Ziel. Der Angriff führte zur Offenlegung personenbezogener Daten einer noch nicht genannten Anzahl von Konten. Es ist wahrscheinlich, dass solide Zahlen bekannt gegeben werden, sobald der Umfang des Angriffs vollständig verstanden ist.

Angriffe auf den Finanzsektor werden leider zur Normalität. Tatsächlich wies ein neuer von IBM gesponserter Bericht darauf hin, dass der Finanzdienstleistungssektor heute die am stärksten angegriffene industrielle Vertikale ist. Das liegt daran, dass Verstöße in dieser Marktvertikale finanziell lukrativ sind und Unternehmen im Jahr 2017 durchschnittlich rund 3,7 Millionen US-Dollar kosten.

Wenn Sie ein Unternehmen sind, das Kundenkartendaten verarbeitet, kennen Sie wahrscheinlich Compliance-Anforderungen, die die Sicherheit von Karteninhaberdaten gewährleisten sollen. Wenn Sie Ziel eines Verstoßes waren oder Ihre PCI-Compliance-Haltung längere Zeit nicht untersucht haben, müssen Sie sich möglicherweise einem PCI-Compliance-Audit unterziehen. Hier ist, was Sie wissen müssen.

Was ist ein PCI DSS Compliance Audit?

Ein PCI-DSS-Compliance-Audit bewertet, wie robust die Sicherheit Ihres Point-of-Sale-Systems ist. Das Audit konzentriert sich in erster Linie auf die Identifizierung von Systemschwachstellen und die Darstellung von Sicherheitsverfahren und Best Practices für Ihre Systeme. Das Audit wird auch Empfehlungen geben, wie verhindert werden kann, dass Daten kompromittiert werden.

PCI DSS wurde von den großen Kreditkartenunternehmen gegründet. Es wurde eine Reihe von Standards festgelegt, um nicht nur Kundendaten zu schützen, sondern auch einen Rahmen für Organisationen zu schaffen, die Kartendaten akzeptieren oder verarbeiten.

Was sind die Ebenen der Compliance und was sind einfache Möglichkeiten zu wissen, welche Ebene, wenn überhaupt, passen Sie in?

Glücklicherweise hat der PCI DSS Council es Händlern ziemlich leicht gemacht, herauszufinden, in welche Kategorie von Compliance sie passen. Es basiert im Allgemeinen auf der Anzahl der Transaktionen, die ein Händler verarbeitet.

Derzeit gibt es vier PCI-Konformitätsstufen:

Stufe 1: Händler verarbeiten über 6 Millionen Kartentransaktionen pro Jahr.

Level 2: Händler verarbeiten 1-6 Millionen Transaktionen pro Jahr.

Stufe 3: Händler, die 20.000-1 Million Transaktionen pro Jahr abwickeln.

Stufe 4: Händler, die weniger als 20.000 Transaktionen pro Jahr abwickeln.

In allen vier Stufen müssen sich Händler einem Fragebogen zur Selbsteinschätzung (SAQ), einem vierteljährlichen Netzwerkscan durch einen zugelassenen Scananbieter und einem Formular zur Konformitätsbescheinigung unterziehen. Stufe 1 erfordert alle oben genannten Punkte sowie einen Bericht über die Einhaltung durch einen Qualified Security Assessor (QSA).

Wer führt für Sie ein Compliance Audit durch?

Sie müssen einen Vertrag mit einem qualifizierten und zugelassenen PCI Security Standards Council Security Assessor (QSA) abschließen, um Ihr Audit durchzuführen. QSAs bewerten zunächst die Sicherheitsinfrastruktur – Verfahren, Richtlinien, Netzwerke und Systeme — und geben Ihnen dann eine Risikobewertung mit Vorschlägen zur Verbesserung Ihrer Datensicherheit.

Die QSA überprüft Ihre Risikobewertung mit Ihnen und priorisiert die Bereiche, die angegangen werden müssen. Diese Gliederung ist notwendig, um Ihre Datensicherheitsrichtlinien zu verbessern und Ihre Mitarbeiter durch Schulungen zum Sicherheitsbewusstsein anzuleiten.

Wie können Sie sich auf ein Audit vorbereiten?

Der einfachste Weg, sich auf ein Audit vorzubereiten, besteht darin, Ihre bestehenden Datensicherheitsrichtlinien und -praktiken zu bewerten, bevor das Audit stattfindet. Untersuchen Sie zunächst die Sicherheit von Dingen wie Ihrer Netzwerk-Firewall und Dateiüberwachungs-Integritätssystemen auf ungewöhnliche oder kritische Änderungen.

Wenn Sie sich nicht sicher sind, wie oder wo Sie auf dem Weg zur PCI-Konformität beginnen sollen, klicken Sie hier, um einige nützliche Anleitungen zu erhalten.

Beachten Sie, dass die Nichteinhaltung zu einer Geldstrafe von 5.000 bis 500.000 US-Dollar für die übernehmende Bank führen kann, die die Geldbußen mit hoher Wahrscheinlichkeit an den nicht konformen Händler weiterleitet. Wenn Sie bereits PCI-konform sind und eine Datenschutzverletzung erleiden, könnte die Kreditkartenakzeptanz von Ihrer Bank und nicht vom PCI Council ausgesetzt werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.