PCI DSS: Wie der neue Standard die Zahlungssicherheit optimiert

Verizon Business hat jetzt den „Payment Security Report 2023“ anlässlich der  Einführung des Payment Card Industry Data Security Standard (PCI DSS) Version 4.0 veröffentlicht. Die Aktualisierung des gegenwärtigen PCI DSS-Standards ist die größte Änderung seit 2004. Diese Neuerungen werden sich auf alle Organisationen auswirken, die Daten von Karteninhabern speichern, verarbeiten oder übertragen, vom E-Commerce bis zum öffentlichen Sektor. Die Einhaltung von PCI DSS v4.0 wird bis zum 31. März 2024 dringend empfohlen, da die Version 3.2.1 dann auslaufen wird. Der Standard enthält zahlreiche Aktualisierungen und 64 neue Vorgaben.

Der neue Payment Security Report 2023 bietet Unternehmen, die sich mit diesem neuen Standard auseinandersetzen, die nötigen Werkzeuge, um kritische Bereiche des Sicherheitsmanagements zu berücksichtigen. Und so nicht nur die Frist einzuhalten, sondern auch den langfristigen Erfolg ihres Unternehmens zu sichern. Dazu gehört die Rolle der PCI-DSS-Sicherheitsintegration in eine umfassendere Unternehmensführung, Risikomanagement und Compliance-Initiativen sowie die für ein modernes Programmdesign erforderlichen Tools.

Absicherung von digitalen Zahlungen

Kris Philipsen, Managing Director of Cybersecurity Consulting bei Verizon, erläutert: „Compliance wird oft als zusätzliche Komplexität zu der ohnehin schon schwierigen Aufgabe gesehen, digitale Zahlungen angesichts der sich ständig entwickelnden Fähigkeiten von Bedrohungsakteuren zu sichern. Glücklicherweise gibt es äußerst effektive Methoden, um die Einhaltung der Sicherheitsvorschriften für den Zahlungsverkehr zu erreichen, die der Verizon Payment Security Report erläutert. Sie tragen nicht nur dazu bei, die Ergebnisse von PCI DSS v4.0 in hohem Maße vorhersehbar zu machen. Sie ermöglichen es Unternehmen auch, entscheidende Leistungsverbesserungen bei der Gestaltung von Sicherheitsprogrammen zu erzielen.“

Der Report von Verizon Business  hilft den Verantwortlichen in Unternehmen bei der Entwicklung und Verwaltung eines Programms zur Einhaltung der PCI-Sicherheit und bietet dabei flexible Modelle, die von Unternehmen eingesetzt werden können. Der Bericht zeigt auch wichtige Managementmethoden zur Identifizierung und Überwindung der wichtigsten Hindernisse auf. Und bietet einen Leitfaden zur Klärung der Ursachen für eine unzureichende Performance des Sicherheitsprogramms.

Resource Hub für PCI DSS eingerichtet

„Im März 2024 wird PCI DSS v3.2.1 auslaufen. Der PCI Security Standards Council ist bemüht, Unternehmen dabei zu helfen, die neueste Version des PCI DSS zu verstehen. Zu diesem Zweck hat der Rat einen PCI DSS v4.0 Resource Hub eingerichtet. Dieser enthält nützliche Informationen zum besseren Verständnis des neuen Standards. Wenn Unternehmen verstehen, was PCI DSS v4.0 für sie bedeutet, können sie die notwendigen Schritte ergreifen, um eine reibungslose und effiziente Umstellung zu erreichen“, erklärt Lance Johnson, Executive Director von PCI SSC. Hier die fünf wichtigsten Erkenntnisse aus dem Report, die Unternehmen unbedingt kennen sollten:

1. Mit der Weiterentwicklung der PCI DSS-Anforderungen sollten auch Sicherheitsprogramme angepasst werden.
2. Der Erfolg von Datensicherheit und Compliance wird durch Design erreicht – nicht durch Zufall.
3. Moderne Managementmethoden vereinfachen die Komplexität der Programmverwaltung und helfen Organisationen, mit weniger Aufwand mehr zu erreichen.
4. Organisationen sollten Sicherheitsprogramme so gestalten, dass sie sich auf das Wesentliche konzentrieren und die dringendsten Hindernisse überwinden.
5. Ein integrierter Program Management Plan lässt sich auf neue Prozesse anwenden, was auch bestehende Prozesse erheblich verbessert.

Zur Methodik der Studie: Mit dem Verizon „PCI Compliance Report 2010“, jetzt Payment Security Report genannt, veröffentlichte Verizon die branchenweit erste Analyse über den weltweiten Stand der Umsetzung von PCI DSS. Der Bericht basiert auf globalen Daten, die qualifizierte Sicherheitsgutachter (QSAs) von Verizon und anderen externe Teilnehmer gesammelt haben. Außerdem umfasst der Report zusätzliche Vergleiche zwischen verschiedenen geografischen Regionen (Amerika, EMEA und APAC). Seit seiner Gründung hat der Payment Security Report die Höhen und Tiefen der Compliance verfolgt. Und gleichzeitig den Finger am Puls der sich verändernden Sicherheitslandschaft im Zahlungsverkehr gehalten. (sg)

Lesen Sie auch: Online-Payment: Einzelhandel muss auf mehr Kanäle setzen