Die digitale Sicherheit hat neue Regeln erhalten, und die Unternehmen, die Kartendaten verarbeiten, müssen sich anpassen. Mit der Einführung der Version 4.0 des PCI Data Security Standard (PCI DSS), festgelegt vom PCI Security Standards Council (PCI SSC), sind die Änderungen bedeutend und wirken sich direkt auf den Schutz der Kundendaten sowie auf die Speicherung, Verarbeitung und Übertragung von Zahlungsdaten aus. Aber, was ändert sich eigentlich wirklich?
Die wichtigste Veränderung ist die Notwendigkeit eines noch höheren Niveaus an digitaler Sicherheit. Die Unternehmen müssen in fortschrittliche Technologien investieren, wie robuste Verschlüsselung und multifaktorielle Authentifizierung. Diese Methode erfordert mindestens zwei Verifizierungsfaktoren, um die Identität des Benutzers zu bestätigen, bevor Zugriff auf Systeme, Anwendungen oder Transaktionen gewährt wird, was Angriffe erschwert, selbst wenn Kriminelle Zugang zu Passwörtern oder persönlichen Daten haben.
Zu den verwendeten Authentifizierungsfaktoren gehören:
- Etwas, das der Benutzer weißPasswörter, PINs oder Sicherheitsfragen-Antworten.
- Etwas, das der Benutzer besitztphysische Tokens, SMS mit Verifizierungscodes, Authenticator-Apps (wie Google Authenticator) oder digitale Zertifikate.
- Etwas, das der Benutzer istdigitale Biometrie, Gesichtserkennung, Spracherkennung oder Iris.
Diese Schutzschichten machen unbefugten Zugriff deutlich schwieriger und gewährleisten eine höhere Sicherheit für sensible Daten, erklärt er.
Kurz gesagt, ist es notwendig, den Schutz der Kundendaten zu verstärken, indem zusätzliche Maßnahmen zur Verhinderung unbefugter Zugriffe umgesetzt werden, erklärt Wagner Elias, CEO von Conviso, einem Entwickler von Anwendungssicherheitslösungen. „Es ist nicht mehr eine Frage des ‚Anpassens, wenn es notwendig ist‘, sondern des präventiven Handelns“, hebt er hervor.
Gemäß den neuen Vorschriften erfolgt die Umsetzung in zwei Phasen: Die erste, mit 13 neuen Anforderungen, hatte die Frist im März 2024. Die zweite Phase, die anspruchsvoller ist, umfasst 51 zusätzliche Anforderungen und sollte bis zum 31. März 2025 erfüllt sein. Das heißt, wer sich nicht vorbereitet, kann mit schweren Strafen konfrontiert werden.
Um die neuen Anforderungen zu erfüllen, gehören zu den wichtigsten Maßnahmen: die ImplementierungFirewallsund robuste Schutzsysteme; Verschlüsselung bei der Übertragung und Speicherung von Daten verwenden; kontinuierlich Zugriffe und verdächtige Aktivitäten überwachen und nachverfolgen; Prozesse und Systeme ständig testen, um Schwachstellen zu identifizieren; eine strenge Informationssicherheitspolitik erstellen und aufrechterhalten.
Wagner hebt hervor, dass dies in der Praxis bedeutet, dass jedes Unternehmen, das mit Kartenzahlungen arbeitet, seine gesamte digitale Sicherheitsstruktur überprüfen muss. Dazu gehört die Aktualisierung von Systemen, die Verstärkung interner Richtlinien und die Schulung von Teams, um Risiken zu minimieren. „Zum Beispiel muss ein E-Commerce-Unternehmen sicherstellen, dass die Kundendaten Ende-zu-Ende verschlüsselt sind und nur autorisierte Benutzer Zugriff auf sensible Informationen haben. Ein Einzelhandelsnetzwerk muss hingegen Mechanismen implementieren, um kontinuierlich mögliche Betrugsversuche und Datenlecks zu überwachen“, erklärt er.
Banken und Fintechs müssen auch ihre Authentifizierungsmechanismen stärken, indem sie den Einsatz von Technologien wie Biometrie und Multi-Faktor-Authentifizierung ausbauen. „Das Ziel ist es, die Transaktionen sicherer zu machen, ohne die Kundenerfahrung zu beeinträchtigen. Dies erfordert ein Gleichgewicht zwischen Schutz und Benutzerfreundlichkeit, etwas, das die Finanzbranche in den letzten Jahren bereits verbessert hat“, hebt hervor.
Aber warum ist dieser Wandel so wichtig? Es ist keine Übertreibung zu sagen, dass digitale Betrügereien immer raffinierter werden. Datenlecks können zu Millionenschäden und irreparablen Vertrauensverlust bei den Kunden führen.
Wagner Elias warnt: „Viele Unternehmen nehmen noch immer eine reaktive Haltung ein und kümmern sich erst um die Sicherheit, wenn ein Angriff stattgefunden hat. Dieses Verhalten ist besorgniserregend, da Sicherheitslücken erhebliche finanzielle Verluste und irreparable Schäden am Ruf der Organisation verursachen können, die durch präventive Maßnahmen vermieden werden könnten.“
Er hebt auch hervor, dass der große Unterschied darin besteht, Sicherheitspraktiken für Anwendungen (Application Security) von Anfang an in die Entwicklung der neuen Anwendung zu integrieren, um sicherzustellen, dass jede Phase des Softwareentwicklungszyklus bereits Schutzmaßnahmen enthält. Dies gewährleistet die Implementierung von Schutzmaßnahmen in allen Phasen des Software-Lebenszyklus und ist viel kostengünstiger als die Behebung von Schäden nach einem Vorfall.
Es ist wichtig zu beachten, dass dies ein Trend ist, der weltweit wächst. Der Markt für Anwendungssicherheit, der im Jahr 2024 11,62 Milliarden US-Dollar umfasst, soll bis 2029 auf 25,92 Milliarden US-Dollar anwachsen, so Mordor Intelligence.
Wagner erklärt, dass Lösungen wie DevOps es ermöglichen, jede Codezeile mit Schutzpraktiken zu entwickeln, sowie Dienste wie Penetrationstests und Schwachstellenminderung. „Kontinuierliche Sicherheits- und Testautomatisierungsanalysen ermöglichen es Unternehmen, die Vorschriften einzuhalten, ohne die Effizienz zu beeinträchtigen“, hebt hervor.
Darüber hinaus sind spezialisierte Beratungsunternehmen in diesem Prozess wichtig, um den Unternehmen bei der Anpassung an die neuen Anforderungen des PCI DSS 4.0 zu helfen. Zu den am häufigsten gesuchten Dienstleistungen gehören Penetration Testing, Red Team und Drittanbieter-Sicherheitsbewertungen, die dabei helfen, Schwachstellen zu erkennen und zu beheben, bevor sie von Kriminellen ausgenutzt werden können, erklärt er.
Mit immer raffinierteren digitalen Betrugsversuchen ist das Ignorieren der Datensicherheit keine Option mehr. „Unternehmen, die in präventive Maßnahmen investieren, gewährleisten den Schutz ihrer Kunden und stärken ihre Marktposition. Die Umsetzung der neuen Richtlinien ist vor allem ein wesentlicher Schritt, um ein sichereres und vertrauenswürdigeres Zahlungsumfeld zu schaffen“, schließt er.
