Ab dem 30. September 2007 müssen alle Unternehmen, die mit Karteninhaberdaten (unabhängig von der Größe) umgehen, die strengen Sicherheitsmaßnahmen der führenden Kreditkartenunternehmen vollständig einhalten. Kreditkartendiebstahl ist seit 2006 die häufigste Form des Identitätsdiebstahls (26 %). Mit über 1,3 Milliarden im Umlauf befindlichen Kreditkarten (Stand 2004) und über 33 Milliarden Dollar Guthaben auf diesen Karten finden Unternehmen ihre Netzwerke und Kredite Kartensysteme, die von Dieben angegriffen werden.
Um Karteninhaberdaten vor Diebstahl oder Betrug zu schützen, haben American Express, Visa, MasterCard und Discover sogenannte PCI DSS (Payment Card Industry Data Security Standards) entwickelt. Diese Standards umfassen 12 Schritte, die erforderlich sind, um konform zu werden, oder es drohen Bußgelder von bis zu bis zu 500.000 US-Dollar zuzüglich Rechtskosten und sogar der Verlust der Fähigkeit, Kreditkarten zu akzeptieren.
Diese zwölf Schritte sind:
1. Installieren und warten Sie eine Firewall, um Karteninhaberdaten zu schützen
2. Verwenden Sie keine vom Hersteller bereitgestellten Standardwerte für Kennwörter oder andere Sicherheitsparameter
3. Schützen Sie gespeicherte Karteninhaberdaten
4. Verschlüsseln Sie Karteninhaberdaten über öffentliche Netzwerke (z. B. das Internet)
5. Verwenden und aktualisieren Sie regelmäßig Antivirensoftware
6. Entwickeln und warten Sie sichere Systeme und Anwendungen
7. Weisen Sie jedem Computerbenutzer eine eindeutige ID zu
8. Beschränken Sie den Datenzugriff auf Karteninhaberdaten auf eine Need-to-know-Basis
9. Beschränken Sie den physischen Zugriff auf Karteninhaberdaten
10. Verfolgen und überwachen Sie alle Zugriffe auf Netzwerkdaten
11. Testen Sie regelmäßig Sicherheitssysteme und -prozesse
12. Pflegen Sie eine Richtlinie zur Informationssicherheit für Mitarbeiter und Auftragnehmer
Einhaltung von PCI DSS, kann in 3 Hauptstufen unterteilt werden,
Sammeln und Speichern: Sicheres Sammeln und manipulationssichere Speicherung aller Protokolldaten, damit sie für Analysen zur Verfügung stehen.
Berichterstattung: In der Lage sein, die Einhaltung vor Ort nachzuweisen, wenn sie geprüft wird, und den Nachweis zu erbringen, dass Kontrollen zum Schutz der Daten vorhanden sind.
Überwachung und Benachrichtigung: Setzen Sie Systeme wie automatische Benachrichtigungen ein, um Administratoren dabei zu helfen, den Zugriff und die Nutzung von Daten ständig zu überwachen. Administratoren werden sofort vor Problemen gewarnt und können diese schnell beheben. Diese Systeme sollten sich auch auf die Protokolldaten selbst erstrecken – es muss nachgewiesen werden, dass Protokolldaten gesammelt und gespeichert werden.
Unternehmen, die Kreditkarteninformationen akzeptieren, verarbeiten oder darüber verfügen, werden für PCI-DSS-Zwecke in zwei Gruppen eingeteilt. Die erste Gruppe ist als Händler definiert, die andere Dienstleister. Händler sind im Allgemeinen Einzelhandels-, Hochschul-, Gesundheits-, Reise-, Energie- und Finanzunternehmen. Der PCI DSS ordnet solche Geschäfte einer von vier verschiedenen Ebenen mit jeweils eigenem Compliance-Prozess zu.
Stufe 1: Bei einem Händler wurden Daten oder mehr als 6 Millionen Transaktionen pro Jahr kompromittiert. Händler der Stufe 1 müssen jährliche Sicherheitsaudits vor Ort durchführen und Netzwerke vierteljährlich scannen.
Stufe 2: Händler mit zwischen 1 und 6 Millionen Transaktionen pro Jahr. Händler der Stufe 2 müssen jährliche Selbsteinschätzungen und vierteljährliche Netzwerkscans durchführen.
Stufe 3: Händler mit zwischen 20.000 und 1 Million Transaktionen pro Jahr. Händler der Stufe 3 müssen jährliche Selbsteinschätzungen und vierteljährliche Netzwerkscans durchführen.
Stufe 4: Alle anderen Händler. Händler der Stufe 4 müssen jährliche Selbsteinschätzungen und vierteljährliche Netzwerkscans durchführen.
Dienstleister sind Unternehmen, die sich im Allgemeinen im Zahlungsgateway befinden, E-Commerce-Sites hosten, Kreditauskunfteien und Papiervernichtungsunternehmen. Sie fallen in eine von drei verschiedenen Ebenen.
Stufe 1: Alle Prozessoren und Zahlungs-Gateways müssen jährliche PCI-DSS-Sicherheitsbewertungen und vierteljährliche Netzwerkscans durchführen.
Level 2: Jeder Dienstanbieter, der nicht Level 1 ist und mehr als 1 Million Transaktionen verarbeitet, muss jährliche PCI DSS-Sicherheitsbewertungen und vierteljährliche Netzwerkscans durchführen.
Level 3: Jeder Dienstanbieter, der nicht Level 1 ist und weniger als 1 Million Transaktionen verarbeitet, muss eine jährliche Selbstbewertung und vierteljährliche Netzwerkscans durchführen.
Welche Folgen hat die Nichteinhaltung?
Kartenunternehmen können ihren Mitgliedsinstituten Geldbußen auferlegen, wenn festgestellt wird, dass Händler den PCI DSS nicht einhalten. Acquiring-Banken wiederum können Händler vertraglich verpflichten, sie von solchen Bußgeldern freizustellen und zu erstatten. Bußgelder können bis zu 500.000 US-Dollar pro Vorfall betragen, wenn Daten kompromittiert werden und Händler sich als nicht konform erweisen. Im schlimmsten Fall könnten Händler auch riskieren, die Kreditkartentransaktionen der Kunden nicht mehr verarbeiten zu können.
Unternehmen, deren Karteninhaberdaten kompromittiert wurden, sind verpflichtet, die Justizbehörden zu benachrichtigen, und es wird erwartet, dass sie potenziell Betroffenen kostenlose Kreditschutzdienste anbieten.
Neben den Bußgeldern können weitere Konsequenzen folgen. Der Verlust von Karteninhaberdaten, ob versehentlich oder durch Diebstahl, kann ebenfalls dazu führen, dass Karteninhaber rechtliche Schritte einleiten. Ein solcher Schritt wird zu einer schlechten Publicity führen, was wiederum zu Geschäftsverlusten führen kann.
[ad_2]Source by Bruce Naylor
