Kreditkartenindustrie ist nicht ausreichend auf Sicherheitsstandard PCI 4.0 vorbereitet

Bei PCI handelt es sich um ein allgemein anerkanntes Regelwerk der Kreditkartenorganisationen im Zahlungsverkehr, das die Abwicklung von Kreditkartentransaktionen regelt. Die neuen Sicherheitsstandards PCI 4.0 betreffen insbesondere die Bereiche Datenerkennung und -klassifizierung. Laut dem Anbieter für Sicherheitslösungen comforte seien viele Unternehmen aus der Kreditkartenindustrie und auch angeschlossene Händler allerdings nicht ausreichend für die verschärften Sicherheitsanforderungen durch die erweiterten Sicherheitsanforderungen PCI 4.0 gewappnet. 

Mit ihnen soll der Umgang mit Kreditkartendaten sicherer werden und mögliche Schäden für Kreditkartennutzer, Einzelhändler und Unternehmen bei Cyberattacken durch Kriminelle ausgeschlossen bzw. minimiert werden. Zu den neuen Maßnahmen gehören unter anderem die fortlaufende Datenerkennung und -klassifizierung nach Risiko, ein strengeres Berechtigungsmanagement, das den Zugang zu sensitiven Daten regelt, sowie die Bestandsaufnahme von Systemen für Kreditkartendaten.

Bereits ab März 2024 treten die ersten neuen Schutzprotokolle des Industriestandard PCI DSS V4.0 (PCI 4.0) in Kraft. Wer diese nicht einhält, gefährdet nicht nur Verbraucher und sich selbst bei Hackerangriffen, sondern muss auch mit durchaus empfindlichen Strafen rechnen. Im schwersten Fall kann dies auch ein Lizenzentzug nach sich ziehen.”

Michael Deissner, CEO bei comforte

Im Mittelpunkt der neuen PCI-Regelungen stehen unter anderem Anforderungen zur lückenlosen Bestandsaufnahme, an welchen Stellen sensitive Kreditkartendaten – wie beispielsweise Umsatz- und persönliche Kundendaten – übertragen, genutzt und temporär sowie dauernd gespeichert werden müssen. Diese Daten gelte es nach der Höhe des möglichen Schadensfalls durch Cyberattacken zu klassifizieren. Auf Basis dieser Klassifizierung müsse der Zugang aller Personen zu diesen Daten geregelt, überwacht und regelmäßig angepasst werden.

Allen Unternehmen, die mit Kreditkarten-Daten in Berührung kommen und diese verarbeiten, würden beginnend ab März 2024 die geforderten optimierten Sicherheitsprotokolle umgesetzt haben müssen.

PCI-Compliance Lösungen

comforte (Website) biete Lösungen an, die Unternehmen dabei unterstützen würden, PCI-Compliance zu erreichen. Mit SecurDPS würden durch eine formaterhaltende Verschlüsselung Kreditkartendaten für Unbefugte unbrauchbar. Für Unternehmen jedoch sei die Versendung, die Verarbeitung, Nutzung und Speicherung der Daten weiterhin möglich. Mit der Implementierung gehe auch eine PCI-konforme Klassifizierung und Bestandsaufnahme der Datenlagerung und derer Bewegungsprofile einher, sodass eine nachvollziehbare und jederzeit überprüf- und anpassungsbare Authentifizierung der legitimierten Nutzer möglich sei.ft