PCI DSS: Verizon 2018 Payment Security Report veröffentlicht

Die Einhaltung des PCI DSS zeigt einen Abwärtstrend / Bericht unterstreicht die Notwendigkeit einer kontinuierlichen Compliance-Pflege und -Bewertung / Verizon nennt neun Faktoren zur Kontrolle der Compliance- Effektivität und Nachhaltigkeit 

[datensicherheit.de, 25.09.2018] Nachdem Verizon in den letzten sechs Jahren (2010 – 2016) Verbesserungen bei der Einhaltung des Payment Card Industry Data Security Standard (PCI DSS) dokumentiert hat, zeigt der Verizon 2018 Payment Security Report (PSR) nun einen Abwärtstrend, bei den Unternehmen, die Compliance-Bewertungen vollständig einhalten.

PCI DSS zum Schutz von Zahlungssystemen vor Datenverletzungen

Der Payment Card Industry Data Security Standard unterstützt Unternehmen, die Kartenzahlungsmöglichkeiten anbieten, ihre Zahlungssysteme vor Datenverletzungen und dem Diebstahl von Karteninhaberdaten zu schützen. Im Rahmen der Reihe „Verizon Data Breach Investigations Report“ konnte nachgewiesen werden, dass PCI DSS-Compliance zum Schutz sowohl vor Datenverletzungen als auch vor Diebstahl von Karteninhaberdaten beiträgt.

Bild: Verizon

Verizon 2018 Payment Security Report

Daten aus dem Jahr 2017, die von den Verizon PCI DSS Qualified Security Assessors (QSAs) erhoben wurden, zeigen, dass die PCI-Compliance bei global tätigen Unternehmen abnimmt: Nur 52,4 Prozent konnten 2017 eine vollständige Compliance aufrechterhalten, 2016 waren es noch 55,4 Prozent. Dabei gab es deutliche regionale Unterschiede: Mit 77,8 Prozent ist bei Unternehmen in der Asien-Pazifikregion vollständige Compliance eher wahrscheinlich als in Europa (46,4 Prozent) oder Nord- und Südamerika (39,7 Prozent). Die Unterschiede sind auf das Timing geografischer Compliance-Rollout-Strategien, kulturelle Wertschätzung von Auszeichnungen und Anerkennungen sowie auf die Ausgereiftheit von IT-Systemen zurückzuführen.

Nach Geschäftsfeldern gegliedert, stehen IT-Services weiterhin an erster Stelle, wenn es um Compliance geht, wobei über drei Viertel der Unternehmen (77,8 Prozent) den Vollstatus erreichen. Einzelhandel (56,3 Prozent) und Finanzdienstleistungen (47,9 Prozent) lagen deutlich vor dem Hotel- und Gaststättengewerbe (38,5 Prozent), das die geringste Compliance-Nachhaltigkeit aufwies. Da Unternehmen oft PCI DSS Compliance-Projekte starten, um die Sicherheitsanforderungen von Datenschutzbestimmungen wie der Europäischen Datenschutzverordnung (DSGVO) zu erfüllen, ist diese Lücke zwischen den verschiedenen Geschäftsbereichen, die täglich mit elektronischen Zahlungen zu tun haben, erheblich.

„Die PCI-Compliance-Standards werden in globalen Unternehmen zunehmend weniger beachtet“, so Rodolphe Simonetti, Global Managing Director, Security Consulting bei Verizon. „Verbraucher und Anbieter gleichermaßen gehen vertrauensvoll davon aus, dass die Unternehmen ihre Zahlungsdaten schützen, also müssen wir jetzt handeln, damit dieser Zustand behoben wird. Wir fordern die Unternehmen auf, ihre Messmethoden im Hinblick auf die Wirksamkeit der PCI-Kontrolle zu überprüfen und sich auf das Management der Nachhaltigkeit ihres Datenschutzes zu konzentrieren.“

Effektivitäts- und Nachhaltigkeitskontrolle unerlässlich

Simonetti fährt fort: „Verizon setzt sich seit 2003 für die Sicherheit von Karteninhaberdaten ein; wir arbeiten eng mit der PCI-Industrie zusammen, um PCI DSS-Compliance voranzubringen. Ausgehend von unserer Expertise und unseren praktischen Erfahrungen, haben wir neun Faktoren zusammengestellt, die Unternehmen helfen, ihr Compliance-Niveau beizubehalten. Unser Ziel ist es, Unternehmen eine klare Struktur und Methodik an die Hand zu geben; in erster Linie soll damit den Compliance-Verantwortlichen geholfen und diese dazu befähigt werden, einen Dialog mit dem jeweiligen Führungspersonal in Gang zu bringen, um die Zusammenhänge verständlicher zu machen. Wirkungsvolle Compliance-Prozesse müssen von oben angestoßen werden. Häufig werden jedoch Fortschritte oder Herausforderungen nicht klar an die Führungsebene kommuniziert oder von den leitenden Managern nicht verstanden.“

Die neun von Verizon ermittelten Faktoren zur Kontrolle von Wirksamkeit und Nachhaltigkeit folgen den zwölf Anforderungen des PCI DSS-Standards:

1. Kontrollumgebung: Nachhaltigkeit und Wirksamkeit der zwölf Kern-Anforderungen sind von einer funktionierenden Kontrollumgebung abhängig.
2. Kontrollaufbau: Ein ordnungsgemäßer Kontrollbetrieb zur Erfüllung der DSS-Sicherheitskontrollziele benötigt einen durchdachten Kontrollaufbau.
3. Kontrollrisiko: Ohne kontinuierliche Wartung und Pflege (Sicherheitstests, Risikomanagement usw.) können Kontrollen mit der Zeit an Wirksamkeit verlieren und schließlich ausfallen. Um das Ausfallen von Kontrollen zu minimieren, ist ein integriertes Management des Kontrollrisikos erforderlich.
4. Kontrollrobustheit: Kontrollen finden in einem dynamischen Geschäfts- sowie sich permanent ändernden Bedrohungsumfeld statt. Sie müssen robust sein, um unerwünschten Veränderungen standzuhalten, damit sie funktionsfähig bleiben und gemäß ihren Spezifikationen arbeiten (Konfigurierungsstandards, Zugangskontrolle, System-Hardening usw.).
5. Widerstandsfähigkeit von Kontrollen: Sicherheitskontrollen können immer wieder versagen, auch wenn man zur Erhöhung der Robustheit zusätzliche Kontroll-Layer hinzufügt. Daher ist im Sinne von Wirksamkeit und Nachhaltigkeit Widerstandsfähigkeit der Kontrollen durch proaktives Erkennen und rasche Wiederherstellung nach einem Ausfall unverzichtbar.
6. Lifecycle-Management von Kontrollen: Um all das zu erreichen, muss man Sicherheitskontrollen in jedem Stadium ihres Lebenszyklus von ihrer Einrichtung bis zur Außerbetriebnahme überwachen und aktiv managen.
7. Performance-Management: Die Wirksamkeit von Kontrollen lässt sich verbessern, wenn man Performance-Standards zur Messung der tatsächlichen Performance des Kontrollumfeldes definiert und kommuniziert. Und man trägt damit zu prognostizierbaren Ergebnissen der Datenschutz- und Compliance-Aktivitäten bei. Dadurch ist die frühzeitige Identifizierung und Behebung von Performance-Abweichungen möglich.
8. Reifegradmessung: Eine Kontrollumgebung sollte niemals stagnieren – sie muss sich kontinuierlich verbessern. Dazu benötigen Unternehmen eine Roadmap, einen Zielwert für die Prozess- und Kompetenzreife, um den Grad der Formvorschriften und die Optimierung von Prozessen zu verfolgen und so zu zeigen, wie nah die Entwicklungsprozesse am Ende sind und sich kontinuierlich verbessern können.
9. Selbstbeurteilung: Zur Erfüllung all dessen sind entsprechende Inhouse-Kapazitäten gefordert: Ressourcen (Personal, Prozesse, Technologie), Fähigkeiten (unterstützende Prozesse), Kompetenzen (Fertigkeiten, Wissen, Erfahrung) sowie Engagement (der Wille, Compliance-Anforderungen durchgängig einzuhalten) – kurz gesagt: Selbstbeurteilungsvermögen.

„Gemeinsame Datennutzung und branchenübergreifende Zusammenarbeit ist von entscheidender Bedeutung, um nachzuvollziehen, wie sich die Bedrohungslandschaft entwickelt und um die weltweite Zahlungssicherheit voranzutreiben. Wie der Report zeigt, sind Unternehmen nach wie vor gefordert, in sich rasch ändernden Umfeldern ein hohes Maß an Sicherheit zu gewährleisten und zu zeigen, dass sie dauerhaft compliant sind“, so Troy Leach, Chief Technology Officer des PCI Security Standards Council. „Unternehmen sollten den Ergebnissen des Berichts hohe Aufmerksamkeit schenken und Informationen nutzen, um die Sicherheit weiterhin zu gewährleisten. Compliance sollte niemals als das Endziel für Sicherheit angesehen werden, sondern eher als Maßstab für den anhaltenden Erfolg eines Unternehmens beim Schutz von Daten.“

Als Orientierung für Unternehmen hat Verizon zudem im Rahmen des Berichtes eine umfassende Timeline entwickelt, in der Termine für spezifische Compliance-Maßnahmen aufgeführt sind.

Über den Verizon Payment Security Report 2018

Ziel des PSR 2018 ist es nach Angaben von Verizon nicht, die Leser von der Notwendigkeit der PCI-Konformität zu überzeugen, sondern den Wert der Performance-Messung und der Kontrolleffektivität zu unterstreichen. Der diesjährige Bericht enthält die Ergebnisse von PCI-Assessments, die von Verizons Team von PCI Qualified Security Assessors für Fortune 500 und große multinationale Unternehmen in mehr als 30 Ländern durchgeführt wurden. Ähnlich wie bei der Verizon Berichtsreihe „Data Breach Investigations Report“ basiert der PSR 2018 auf der Arbeit an realen Fällen mit dem Schwerpunkt auf Finanzdienstleistungen (58 Prozent), IT-Services (15 Prozent), dem Hotel- und Gaststättengewerbe (13 Prozent) sowie dem Einzelhandel (11 Prozent). Zu den erfassten Regionen gehören Nord- und Südamerika (48 Prozent), die Asien-Pazifikregion (30 Prozent) und Europa (23 Prozent).

Weitere Informationen zum Thema:

Verizon
Verizon 2018 Payment Security Report

datensicherheit.de, 11.09.2018
Verizon 2018 Data Breach Digest: Einblicke in die Realität von Datenverletzungen

datensicherheit.de, 11.07.2018
Datenschutzverletzung: Insbesondere versteckte Kosten bereiten Schwierigkeiten

datensicherheit.de, 30.04.2016
verizon: Vor allem menschliche Schwächen locken Cyber-Kriminelle an

datensicherheit.de, 29.06.2018
Schwachstelle bei Ticketmaster muss ernstgenommen werden

datensicherheit.de, 19.06.2018
Ausnutzen von Schwachstellen: Cyber-Kriminelle haben durchschnittlich sieben Tage Zeit