PCI-Compliance mangelhaft


Eine Umfrage zeigt, dass Unternehmen weiterhin damit ringen, Daten von Kundenkreditkarten zu schützen
55 Prozent schützen weder Sozialversicherungs-, Führerscheinnummern noch Bankkontendetails

(01.10.09) - Imperva und das Ponemon Institute gaben die Ergebnisse einer Umfrage von mehr als 500 U.S. und multinationale IT-Sicherheitspraktiker bekannt, welche aufzeigen, dass trotz des Datensicherheitsstandards (Data Security Standard - DSS) der Kreditkartenbranche (Payment Card Industry - PCI) Unternehmen noch immer mit der Datensicherheit ringen, was dazu führt, dass Konsumenten dem Risiko des Datendiebstahls weiterhin ausgesetzt werden.

Tatsächlich geben 71 Prozent der befragten Unternehmen zu, Datensicherheit nicht als oberste strategische Initiative zu befolgen, und 55 Prozent geben zu, nur die Kreditkarteninformation abzusichern und nicht die sensiblen Informationen wie z.B., Sozialversicherungs-, Führerscheinnummer und Bankkontendetails. Die Umfrage ergab jedoch auch, dass Unternehmen, die einen strategischen Ansatz zur PCI-Einhaltung einnehmen, weniger Datenmissbrauchsfälle erfahren. Basierend auf diesen Ergebnissen bietet Imperva spezifische Empfehlungen für Konsumenten, Unternehmen und dem PCI-DSS-Beirat zur Sicherheitsverbesserung persönlicher Daten der Konsumenten.

Der PCI-DSS-Standard wurde in Kraft gesetzt, um alle mit Kreditkarteninformationen arbeitenden Unternehmen, Sicherheitsrichtlinien zu geben, um damit Konsumenten besser zu schützen. Seit der Einführung im Juni 2005 sind die Anzahl der Datenmissbräuche und der Umfang des Kreditkartenbetrugs stetig gestiegen.

Gemäß der Umfrage von mehr als 500 U.S.- und multinationalen IT-Sicherheitspraktikern bei Unternehmen mit einem durchschnittlichen Jahresumsatz von 5,6 Milliarden US-Dollar sind:

>> 71 Prozent der Befragten behandeln PCI nicht als eine strategische Initiative, aber 79 Prozent haben eine Datensicherheitsverfehlung mit dem Verlust oder Diebstahl von Kreditkarteninformationen erfahren.
>> 55 Prozent der Umfrageteilnehmer fokussieren nur auf die Absicherung der Kreditkarteninformationen und versuchen nicht sensible Informationen wie z.B. Sozialversicherungs-, Führerscheinnummer Bankkontendetails und andere personenbezogene und familiäre Daten zu schützen
>> 60 Prozent der Teilnehmer sind der Meinung, dass sie nicht ausreichende Ressourcen hätten, um den PCI einzuhalten und den notwendigen Sicherheitsgrad für die Kartenhalter herbeizuführen.

"Niemand betreibt ein Unternehmen, um 'compliant' zu sein. Aber der Silberstreifen dieser Umfrage ist: Wenn man Konsumenten schützt, wie im PCI-DSS-Standard gefordert, dann besteht eine unglaublich große Gelegenheit, die Sicherheitslage insgesamt zu verbessern" ,sagte Shlomo Kramer, CEO von Imperva.

"Sicherheitsabteilungen setzen die PCI-Einhaltung als Hebel ein, um mehr Budget zu erhalten, aber diese Ressourcen ergeben nicht immer eine größere Sicherheit für sensible Kundendaten" sagte Larry Ponemon, Vorsitzender und Gründer des Ponemon Institutes, LLC. "Die Ergebnisse unserer Umfrage deuten darauf hin, dass während einige Unternehmen herausgefunden haben, wie sie den PCI-Standard in ein übergreifendes Sicherheitsmandat umwandeln können – viele haben dieses jedoch noch nicht realisiert."

Kleinere Unternehmen ringen am meisten
Die Umfrage zeigte, dass nur 28 Prozent der kleineren Unternehmen (mit 501-1000 Mitarbeitern) PCI einhalten, im Gegensatz zu 70 Prozent bei den größeren Unternehmen (mit 75.000 oder mehr Mitarbeitern).

"Unternehmen verwenden im Durchschnitt 35 Prozent des IT-Sicherheitsbudgets für die Einhaltung des PCIs. Dadurch sind die Kosten eine signifikante Hürde, insbesondere für kleine Unternehmen", erklärte Amichai Shulman, CTO von Imperva. "Aus diesem Grund empfiehlt Imperva dem PCI-DSS-Beirat die Anforderungen für größere und kleinere Unternehmen anzupassen, um die unterschiedlichen Umgebungen und Sicherheitsbedürfnisse zu berücksichtigen."

"Die PCI-Sicherheitsstandards und die Kreditkartenmarken müssen den PCI-DSS aktualisieren, so dass es auf Risiken basiert, die der Systemkonfiguration des einhaltenden Unternehmens entsprechen. Der ‘Einheitsansatz’ des derzeitigen Standards bürdet vielen Unternehmen unrealistische Anforderungen auf. Selbst wenn diese Unternehmen einfache Netzwerke oder Sicherheitstechnologien eingeführt haben, die im PCI-Standard nicht enthalten sind, aber den selben oder einen besseren Schutzgrad bieten," sagte Avivah Litan, Vice President und Distinguished Analyst bei Gartner Research in dem Bericht vom Mai 2009, "Moving Beyond PCI at Visa’s Global Security Summit.” (Über PCI hinaus beim globalen Sicherheitsgipfel von VISA).

Unternehmen die einen strategischen Ansatz für die PCI-Einhaltung wählen, erfahren weniger Datenmissbrauchsfälle
Der PCI-DSS-Standard hat das Potenzial für eine starke Auswirkung auf konzernweite IT-Sicherheitsinitiativen. Die Umfrage zeigt, dass 27 Prozent der Unternehmen glauben, dass die Einhaltung des PCI-DSS einen positiven Einfluss auf die Sicherheitslage der Organisation hat. Diese haben einen strategischen Ansatz zur Einhaltung eingenommen. In der Tat, Unternehmen, die PCI vollständig einhalten, erfahren weniger Missbrauchsfälle als die Unternehmen, die nicht "Compliant" sind. Jedoch die Mehrheit der Teilnehmer (73 Prozent) hat die PCI-Einhaltung durch einen einfachen Checklisten-Ansatz erreicht.

Die Empfehlungen von Imperva an Konsumenten, Unternehmen und den PCI-DSS-Beirat
Um mit dem Abgabetermin am 31. Oktober für Empfehlungen zur Änderung des PCI-DSS-Standards übereinzustimmen, bietet Imperva Empfehlungen an Konsumenten, Unternehmen und dem PCI-DSS-Beirat.

Für den PCI-DSS-Beirat:
>> Ein "PCI compliant"-Logo für Konsumenten einzuführen. Derzeit können Unternehmen ihre Sicherheitsaufwendungen an Konsumenten nicht artikulieren und Konsumenten sind sich des Einhaltungsstatus der Einzelhändler mit dem sie Geschäfte machen nicht bewusst. Folglich können Unternehmen ihre Investition in der PCI-Einhaltung nicht einsetzen, um wirtschaftliche Vorteile zu erzielen.
>> Die Einhaltungsanforderungen für kleinere und größere Unternehmen anzupassen. Kleinere Unternehmen benötigen einen angepassten Standard, welcher unterschiedliche Umgebungen und Sicherheitsbedürfnisse berücksichtigt.

Empfehlungen für die Konsumenten
Ausschau nach PCI einhaltenden Unternehmen zu halten — generell haben Unternehmen, die den PCI einhalten weniger Datenmissbrauchsfälle. Obwohl die PCI-Einhaltung perfekte Sicherheit nicht garantieren kann.
Empfehlungen für Unternehmen
>> Verwenden Sie PCI, um einen breitgefächertes, effektiveres Sicherheitsprogramm einzuführen.
>> Verwenden Sie PCI, um IT-Sicherheit dem Top-Management näher zu bringen und sie darin zu involvieren. PCI ermöglicht einen Geschäftsplan, welches eng mit der Informationssicherheit verbunden ist.
>> Benennen Sie einen eindeutigen Verantwortlichen, der sowohl PCI als auch Sicherheit vorantreibt, der bevollmächtigt ist eine Mehrzahl von Support-Teams anzuweisen. Ohne einen eindeutigen Verantwortlichen werden Sicherheit und Einhaltung leiden.
(Imperva: ra)

Imperva: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>

Meldungen: Studien

  • Gefährliche Lücken in der Finanzbildung

    Die Finanzwelt ist für viele Deutsche wie ein Minenfeld, das man besser meidet. Eine repräsentative Bevölkerungsumfrage des Bankenverbands zeigt, dass sich ein Großteil der Befragten nicht ausreichend mit ihren Finanzen beschäftigt und wichtige Begriffe nicht versteht.

  • Motivation und Bindung der Beschäftigten

    Startups in Deutschland beteiligen ihre Mitarbeiterinnen und Mitarbeiter verstärkt am Unternehmen. Aktuell geben 44 Prozent an, Beschäftigte am Startup zu beteiligen, vor einem Jahr waren es noch 38 Prozent. Weitere 42 Prozent können sich eine Mitarbeiterbeteiligung in der Zukunft vorstellen. Nur 6 Prozent der Startups setzen nicht auf Mitarbeiterbeteiligung und schließen das auch für die Zukunft aus.

  • Angriffe auf deutsche Wirtschaft nehmen zu

    Deutsche Unternehmen rücken verstärkt in den Fokus von Angreifern aus dem In- und Ausland. In den vergangenen zwölf Monaten waren 81 Prozent aller Unternehmen vom Diebstahl von Daten und IT-Geräten sowie von digitaler und analoger Industriespionage oder Sabotage betroffen.

  • Lobby- und Transparenzregeln

    Anlässlich der Veröffentlichung des Lobbyrankings 2024 wirft Transparency International Deutschland e.V. einen vergleichenden Blick auf die Regeln für eine integre und transparente Politik in den Bundesländern und im Bund.

  • KI-Skepsis vorherrschend

    Nur 3 Prozent der Unternehmen im DACH-Raum beschreiben sich als fortgeschritten bei der Einführung generativer KI (GenAI). Das zeigt eine aktuelle Lünendonk-Studie. Trotz hohem Potenzial und zahlreichen Anwendungsfeldern ist die Skepsis gegenüber der neuen Technologie bei Anwendern wie Entscheidern hoch. Unsicherheit und die Angst vor Schatten-KI hemmen die Einführung. Gleichzeitig erhofft sich jedes zweite Unternehmen durch GenAI Hilfe bei der digitalen Transformation.

Datenqualität und Compliance im Finanzsektor Datenschutz für gespeicherte Informationen

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen