dglimages - stock.adobe.com

Die Beziehung zwischen GDPR/EU-DSGVO und PCI DSS

PCI DSS soll den Zahlungsverkehr sicherer machen. Kämpft ein Unternehmen bereits mit der Einhaltung dieser Richtlinien, könnte es auch mit der EU-DSGVO zu Problemen kommen.

Weltweit steigt die Anzahl von Cyberangriffen kontinuierlich an. Diese Entwicklung betrifft im großen Maße auch die Sicherheit von Zahlungssystemen sowie Zahlkarten. Es zeigt sich, dass Unternehmen dieses Thema oft auf die leichte Schulter nehmen und vor allem in Hinblick auf die konstante Einhaltung von Compliance Verbesserungsbedarf besteht – denn feststeht, dass der Payment Card Industry Data Security Standard (PCI DSS) dabei hilft, Missbrauch und Diebstahl von Karteninhaberinformationen zu schützen und somit Zahlungen sicherer zu machen.

Die aktuelle Ausgabe des Payment Security Report (2017 PSR) von Verizon für das Jahr 2017 zeigt, dass es eine eindeutige Verbindung zwischen der Einhaltung von Standards und der Fähigkeit, sich gegen Cyberangriffe zu wehren, gibt. Zudem zeigt der Report, das im Untersuchungszeitraum bei allen Datenmissbräuchen im Zusammenhang mit Zahlungskarten, weniger als zehn der zwölf wichtigsten vorgegebenen PCI-DSS-Anforderungen nicht eingehalten wurden und keines der untersuchten Unternehmen zum Zeitpunkt eines Vorfalls vollständig Compliance-konform war.

Die Auswirkungen solcher Datenmissbräuche sind weitreichend und können sich nicht nur finanziell negativ auswirken, sondern auch die Reputation der Marke und die Kundenloyalität schädigen.

Um dieser Problematik entgegenzuwirken, werden Auflagen für Unternehmen strikter und Sanktionen ausgebaut. So unterliegen Unternehmen, welche in der EU operieren, in Kürze der neuen General Data Protection Regulation beziehungsweise EU-Datenschutz-Grundverordnung (GDPR/EU-DSGVO).

Solche Regelungen scheinen notwendig, denn der besagte Report zeigt auch, dass sich zwar die PCI-DSS-Compliance weltweit insgesamt verbessert hat: 55,4 Prozent der befragten Unternehmen bestanden 2016 ihre Interimsbewertung, 2015 waren es nur 48,4 Prozent. Dennoch müssen Unternehmen beim PCI DSS nicht nur 100 Prozent Compliance erreichen, sondern diese auch halten. Zuletzt war die Hälfte der Unternehmen, welche die erste Validierung bestehen (44,6 Prozent), meist bereits nach einem Jahr nicht mehr konform – viele sogar schon früher.

Die einzelnen Branchen

In der Untersuchung des Reports schnitt, im Vergleich zu allen anderen untersuchten Schlüsselbereichen, die IT Service-Branche am besten ab. Global erreichten drei Fünftel (61,3 Prozent) der IT Service-Unternehmen eine vollständige Compliance, gefolgt von Finanzdienstleistungsunternehmen (59,1 Prozent – umfasst auch Versicherungen), Retail (50 Prozent) und dem Gastgewerbe (42,9 Prozent).

Die Compliance-Herausforderungen variieren je nach Branche, so liegen diese im Einzelhandel zum Beispiel im Bereich Sicherheitstests, verschlüsselte Datenübertragung und Authentifizierung, während für Hotels, Gaststätten und Reiseunternehmen die Stärkung der Sicherheit, Schutz von Daten bei der Übertragung sowie physische Sicherheit von besonderer Bedeutung sind.

Lücken in Kontrollmechanismen beachten

Ein Blick auf die PCI-Kontrollmechanismen, welche in Unternehmen vorhanden sein sollten (etwa Sicherheitschecks, Penetrationstests etc.), machen dem Report nach zufolge deutlich, dass es zunehmend größere Kontrolllücken gibt.

Deutlich gesagt: Zahlreiche grundlegenden Sicherungsvorkehrungen sind schlichtweg nicht vorhanden. 2015 fehlten bei Unternehmen, die bei der Interimsprüfung durchfielen, durchschnittlich 12,4 Prozent der Kontrollen; 2016 waren es sogar 13 Prozent.

Wie erreicht man nachhaltigen Datenschutz?

Viele Unternehmen betrachten PCI-DSS-Kontrollvorgaben nach wie vor isoliert und nicht als Teil des Großen und Ganzen – häufig fehlt ein Konzept für das Control-Lifecycle-Management. Dies ist meist auf einen Mangel an qualifizierten Fachkräften in der eigenen Organisation zurückzuführen. Oft wird ein Projekt gestartet, die Compliance erreicht und dann einfach nicht beibehalten, da Mitarbeiter mit dem nötigen Wissen das Unternehmen verlassen. Die Compliance sinkt und das Programm muss von neuem gestartet werden. Oder unqualifizierte Mitarbeiter werden damit beauftragt, die Compliance des PCI-Standards aufrechtzuerhalten. Diese haben dann aber oftmals nicht das Wissen, um dieses Ziel tatsächlich zu erreichen.

Sicherheitskontrollen kontinuierlich hoch zu halten, ist eine große Herausforderung. Unternehmen sind ständig im Wandel und so können bestehende Sicherheitskontrollen schnell an ihre Grenzen stoßen oder nicht mehr zweckmäßig sein.

Wie können Unternehmen Sicherheitskontrollen etablieren, diesen Herausforderungen standhalten? Folgende Punkte sind zu beachten:

  • Nachhaltigkeit und Belastbarkeit in den Fokus der Compliance-Bestrebungen stellen: Organisationen, die sich auf die langfristige Wirksamkeit ihrer Sicherheitskontrollen konzentrieren, haben einen wichtigen Vorteil gegenüber denen, die sich ausschließlich auf die Einhaltung von Vorschriften wie PCI DSS, Health Insurance Portability und Accountability Act von 1996 (HIPAA) konzentrieren.
  • Sicherheitskontrollen in alltägliche Verfahren integrieren: Wenn Kontrollen nicht ressourceneffizient und budgetfreundlich sind, sollten sie nicht fortgeführt werden.
  • Flexibel bleiben: Unternehmen ändern sich ständig, ebenso wie die Bedrohungen, denen sie gegenüberstehen. Unternehmen sollten in regelmäßigen Abständen die Wirksamkeit der Kontrollen kontrollieren, um schnell reagieren und Anforderungen ändern zu können.
  • Mitarbeiter vom ersten Tag an einbeziehen: Compliance sollte bereits bei der Einarbeitung der Mitarbeiter im Fokus stehen. Wichtig ist, dass jeder genau versteht, was von ihm erwartet wird.
  • Passwortrichtlinien überprüfen: Unternehmen sollten einen formalen Passwort-Prozess entwickeln, so dass Anmeldeinformationen organisationsübergreifend stark sind. Zudem sollte ein System installiert werden, das Passwörter regelmäßig überprüft.

Die wichtige Beziehung zwischen PCI DSS und GDPR Compliance

Wenn ein Unternehmen damit kämpft, PCI DSS einzuhalten, könnte dies auch ein Indikator dafür sein, dass es Schwierigkeiten haben könnte, die Compliance zu GDPR zu bewahren.

Dies liegt oft daran, dass PCI DSS als auch GDPR vorschreiben, wie Unternehmen ihre Kundendaten zu sichern haben, allerdings unterschiedlichen Ansätzen folgen. Das GDPR ist viel breiter angelegt als das PCI DSS. Es deckt weitaus mehr Arten von Daten ab und definiert gleichzeitig die Rechte des Einzelnen; beispielsweise das Löschungsrecht, das Einzelpersonen erlaubt, die Löschung ihrer persönlichen Daten zu verlangen. Wie genau Unternehmen diese Vorgaben einhalten sollen, legt es hingegen nicht dar.

Gabriel Leperlier, Verizon

„Wenn ein Unternehmen damit kämpft, PCI DSS einzuhalten, könnte dies auch ein Indikator dafür sein, dass es Schwierigkeiten haben könnte, die Compliance zu GDPR zu bewahren.“

Gabriel Leperlier, Verizon

Hier kann das PCI DSS als vorgeschriebener Standard helfen. Während dieser vordergründig zwar vor allem für Daten aus dem Zahlungsverkehr gilt, lassen sich dessen Grundsätze auch auf andere Datentypen übertragen. In den 13 Jahren, die dieser Standard mittlerweile besteht, konnte dieser in puncto Detailliertheit deutlich weiterentwickelt werden, so dass er nun tatsächlich fundierte Orientierung liefert – nicht nur hinsichtlich der Art der Sicherheitskontrollen, die ein Unternehmen implementiert haben sollte, sondern auch, wie diese sich pflegen lassen.

Unternehmen mit effektiven PCI-DSS-Compliance-Programmen stellen sicher, dass grundlegende Sicherheitsprinzipien auf den Schutz ihrer Zahlungskartendaten angewendet werden. Diese beinhalten:

  • Das Vorhalten von Daten nur solange, wie unbedingt notwendig und nicht länger
  • Einschränkung von Datenzugriffen abhängig von Notwendigkeit
  • Das Testen von Sicherheitssystemen hin auf mögliche Schwachstellen
  • Das Installieren und Kommunizieren von dedizierten Sicherheitsrichtlinien

Die detaillierte Anleitung, die der PCI-Sicherheitsrat zur Erfüllung dieser Anforderungen zur Verfügung stellt, kann Unternehmen dabei helfen, auch die Einhaltung von GDPR-Vorgaben in Bezug auf den Umgang mit Zahlungsverkehrsdaten zu gewährleisten. Auch könnte sie eine sinnvolle Richtung hinsichtlich der Entwicklung von Kontrollen und Prozessen für andere Formen von persönlich identifizierbaren Daten (PID) vorgeben.

Compliance versus Sicherheit

Eine PCI-Compliance-Validierung bedeutet nicht, dass Systeme „sicher” sind, sondern nur, dass es während des Beurteilungszeitraums – in der Regel ein oder zwei Wochen – keinen Nachweis für die Nichteinhaltung gab. Sicherheitssysteme werden hingegen oftmals jeden Tag überprüft. Die Einhaltung des PCI DSS ist also kein Projekt, keine einmalige Aktivität, sondern ein laufender Prozess. Ein Programm, das sich an die sich ändernden Bedürfnisse von Unternehmen und neuen Technologien innerhalb des Geschäftsumfeldes anpassen muss. Es ist zudem ein Programm, das zwar von oben aufgesetzt und gesteuert werden, jedoch von jedem Mitarbeiter verstanden und akzeptiert werden sollte.

Über den Autor:
Gabriel Leperlier ist Head of Continental Europe Security Assurance GRC/PCI bei Verizon.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Bei PCI DSS wird die Mehrfach-Authentifizierung Pflicht

Passwortrichtlinien auf den Prüfstand stellen

EU-DSGVO: Der Countdown läuft

Artikel wurde zuletzt im Dezember 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Data-Governance

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close