Was ist der Datenschutzstandard der Kreditkartenindustrie?
Der PCI DSS (Payment Card Industry Data Security Standard) ist eine Reihe von Richtlinien und bewährten Methoden, die allen Unternehmen und anderen Stellen zur Verfügung gestellt werden, die Kreditkartendaten verarbeiten, übertragen oder speichern. Diese Richtlinien wurden vom PCI Security Standards Council (PCI SSC) entwickelt und sollen Datenlecks und daraus resultierenden Identitätsdiebstahl und Kreditkartenbetrug vorbeugen. Die Einhaltung des PCI-DSS umfasst drei fortlaufende Phasen: Bewertung der Geschäftsprozesse und Identifizierung potenzieller Risiken, Beseitigung dieser Risiken und Meldung von Compliance-Bemühungen an relevante Banken und andere Kreditkartenunternehmen.
Oberstes Gebot der Datensicherheit in der Kreditkartenbranche Die Einhaltung von Standards ist die Einrichtung und Wartung eines sicheren Computernetzwerks. Zwischen Karteninhaberdaten und externem Zugriff auf das Netzwerk muss eine robuste Firewall aufgebaut werden. Systemkennwörter sollten zusammen mit anderen Sicherheitsmaßnahmen an jedem potenziellen Punkt der Netzwerkanfälligkeit implementiert werden. Alle Karteninhaberdaten müssen sicher gespeichert und bei der Übertragung über öffentliche Netzwerke verschlüsselt werden. Zu den laufenden Maßnahmen gehören der Einsatz von Antivirensoftware und der eingeschränkte physische oder computergestützte Zugriff von Mitarbeitern auf geschäftliche Informationen.
Es stehen zahlreiche Tools und Services zur Verfügung, um Organisationen beim Umgang mit dem PCI-DSS zu unterstützen. Während das PCI SSC die Standards für die PCI-Konformität festlegt, haben alle großen Kreditkartenmarken ihre eigenen Standards für die Durchsetzung und Konformität dieser Standards sowie für die Validierung von Kreditkarten festgelegt. Jedes dieser Unternehmen bietet Online- und andere Anleitungen für Unternehmen an, die ihre Karten akzeptieren. Das PCI SSC betreibt auch ein Programm, mit dem qualifizierte Sicherheitsassessoren zugelassen werden, die die Einhaltung des Datensicherheitsstandards der Zahlungskartenbranche überprüfen. Für Unternehmen, die ihre Compliance selbst bewerten, bietet das PCI SSC Validierungswerkzeuge, sogenannte Self-Assessment-Fragebögen, in verschiedenen Formen, die jeweils auf bestimmte Geschäftsumgebungen zugeschnitten sind.
Eine wichtige Voraussetzung für die Einhaltung des Datensicherheitsstandards für die Kreditkartenindustrie ist, dass nur Kreditkartendaten gespeichert werden, die für die Anforderungen des Unternehmens von wesentlicher Bedeutung sind. Gespeicherte Daten sollten zeitlich begrenzt sein, und Transaktionsauthentifizierungsdaten sollten niemals gespeichert werden. Alle Kontonummern und andere sensible Daten, die in öffentlichen Netzen übertragen werden, müssen teilweise maskiert werden.
Andere laufende PCI-DSS-Maßnahmen umfassen die Erstellung und Wartung eines Schwachstellenverwaltungsprogramms, mit dem sichere Anwendungen und Programme erstellt werden. Routineüberwachung und Netzwerktests zur Erkennung von Schwachstellen sind ebenfalls erforderlich. Jede Organisation muss auch eine schriftliche Sicherheitsrichtlinie pflegen und an alle Mitarbeiter verteilen.