Wie viel kostet PCI-Compliance?
Die erste Frage, die sich ein Unternehmen zur PCI-Compliance stellen wird, lautet: „Was kostet es?“ (Die zweite Frage lautet normalerweise: „Was passiert, wenn wir uns nicht an die Vorschriften halten?“, aber wir können später auf diese Frage zurückkommen.)
Die Kostenfrage ist eine gute Frage, die man sich im Vorfeld stellen sollte, aber wie Sie vielleicht bereits herausgefunden haben, ist es sehr schwierig, eine klare (und zuverlässige!) Antwort zu bekommen.
Tatsächlich erschien kürzlich im Secure Computing Magazine ein Artikel, der auf Untersuchungen eines Anbieters und einer unabhängigen Forschungsorganisation basiert. Die Prämisse des Artikels war, dass die „durchschnittlichen“ Kosten für die Einhaltung der Vorschriften in der Regel 4 Mio. £ teurer waren als für die Nichteinhaltung, wobei die durchschnittlichen Kosten für die Erreichung der Einhaltung 2 Mio. £ betrugen, während die Kosten für die Nichteinhaltung 6 Mio. £ betrugen.
Sie könnten vorschlagen, dass dies für die Produktanbieter auf dem Markt eine großartige Nachricht ist und dass die meisten ein begründetes Interesse daran haben werden, dass die Dinge komplizierter und damit teurer erscheinen, als sie sind. Hinzu kommt die Frage, ob ein Qualified Security Assessor oder QSA eingesetzt werden muss. Ein QSA wird vom PCI Security Standards Council geschult und akkreditiert. Daher verfügt er über hervorragende Kenntnisse, die jedoch ihren Preis haben.
Umgekehrt gibt es auf der Website des PCI Security Standards Council (und auch von Anbietern) zahlreiche kostenlose Ratschläge, sodass Sie sich informieren und die Kontrolle über das PCI-Compliance-Programm Ihres Unternehmens erlangen können, bevor Sie die Dienste eines QSA in Anspruch nehmen.
Welche Kosten entstehen bei Nichteinhaltung der PCI?
Natürlich hat die Frage „Wie viel kostet PCI Compliance?“ noch eine weitere Dimension. Sie könnten stattdessen fragen: „Was passiert, wenn wir nicht PCI-konform werden?“
Ein Ansatz besteht darin, zu beurteilen, wie viel Ihre Marke und Ihr Ruf wert sind. Wenn Ihr Unternehmen aufgrund eines Verstoßes aus den falschen Gründen in die Schlagzeilen gerät – und das wird jetzt die Mainstream-Presse sein, nicht nur die IT- oder Einzelhandelspresse –, dann werden Kunden es sich zweimal überlegen, bevor sie Ihnen Zahlungskartendaten übermitteln.
Es geht also nicht nur um die Bußgelder, die Kosten und den Aufwand einer forensischen Untersuchung Ihrer Sicherheitsmaßnahmen oder sogar um das Risiko erhöhter Transaktionsgebühren und eines anspruchsvolleren Prüfungsdrucks. Mittlerweile gibt es eine wachsende Zahl von US-Bundesstaaten, die Gesetze einführen, beispielsweise in Nevada, wo im SB 227 Amendment ausdrücklich eine Anforderung zur Einhaltung des PCI-DSS festgelegt wird. Ebenso verhängt das Information Commissioners Office im Vereinigten Königreich eine Geldstrafe gegen jede Organisation, die nachweislich gegen das britische Datenschutzgesetz verstößt, das Organisationen dazu verpflichtet, personenbezogene Daten von Kunden zu schützen.
Die Quintessenz ist, dass der Verlust persönlicher Kundendaten in Ihrem Unternehmen genau die falsche Art von Werbung zur Folge hat. Ein Kunde kann eine Kreditkarte problemlos stornieren und eine neue Nummer erhalten, aber wenn Sie seine Adresse und sein Geburtsdatum verlieren, ist eine Wiederherstellung nicht möglich und er wird Ihnen dafür nicht danken!
Welche Vorteile bietet die PCI-Compliance?
Wo liegt der Vorteil? Im Hinblick auf eine PCI-Protokollverwaltungslösung bietet diese nicht nur ein erweitertes Sicherheitswarnsystem, sondern auch eines, das Sie vor drohenden Hardwareproblemen warnen kann. Wie viel lohnt es sich, im Voraus zu wissen, dass die Festplatte ausgetauscht werden muss, bevor sie am Samstag vor Weihnachten tatsächlich ausfällt?
Das PCI DSS bietet außerdem eine gut durchdachte und umfassende Standard-Sicherheitsrichtlinie mit einer vorgefertigten, ausgereiften Branchen- und Wissensbasis, auf die man zurückgreifen kann und die auch für die Verwaltung personenbezogener Daten genutzt werden kann. Andere Branchen versuchen, ISO27K einzuführen, aber dieses hat einfach nicht die Abstammung oder Reife des PCI DSS.
Eduardo Perez ist jetzt Vorsitzender des PCI-Sicherheitsrates. Perez wurde im Secure Computing Magazine vorgestellt und machte deutlich, dass er die „abwartende“ Denkweise vieler Händler zerstreuen wollte, indem er sagte, dass es trotz allem, was Sie weiterhin lesen werden, einfach keine Wundermittel oder gar Allheilmittel für das PCI DSS gibt. Die Botschaft war klar: Vergessen Sie den Kauf einer Standardlösung für PCI DSS.
Händler werden darauf hingewiesen, dass sie an der Erreichung der PCI-Compliance arbeiten müssen. Soweit Sie einige Aspekte automatisieren und Produkte für andere Anforderungen wie Ereignisprotokollverwaltung und Dateiintegritätsüberwachung kaufen können, werden Sie immer gezwungen sein, alle Dimensionen bewährter Verfahren im Sicherheitsmanagement zu übernehmen. Dies bedeutet, dass jegliche Selbstzufriedenheit hinsichtlich der Einhaltung von Vorschriften oder Abstrichen beseitigt werden muss – das PCI DSS sollte ein allgegenwärtiger Faktor in allen Funktionen und Abteilungen jeder Organisation sein, die Daten von Zahlungskarteninhabern verwendet.
Erwarten Sie, dass der PCI-Sicherheitsrat Tokenisierung und P2P-Verschlüsselung befürwortet, erwarten Sie jedoch keine Lockerung anderer Maßnahmen – sie wollen mehr Schutzebenen, mit mehr Doppelkontrollen, Sicherheitsnetzen und dem guten alten gesunden Menschenverstand. Beispielsweise wird immer eine Software zur Überwachung der Dateiintegrität erforderlich sein, um sicherzustellen, dass Verschlüsselungsanwendungen nicht kompromittiert wurden, sowie eine Protokollverwaltungssoftware, um Zugriffe oder Änderungen an Systemen zu verfolgen.
Einige Ratschläge von unseren Kunden, QSA-Kollegen und uns
- Lassen Sie sich nicht von Anbietern und Lieferanten oder sogar von Ihrem QSA vorschreiben, was Sie tun und kaufen sollen – informieren Sie sich. Es gibt viele kostenlose Ratschläge, nicht zuletzt vom PCI Security Council selbst.
- Gehen Sie nicht davon aus, dass Sie jede Menge Geld für Produkte und den Austausch von allem, was Sie haben, ausgeben müssen – organisieren Sie Ihr Netzwerk neu, um den Umfang zu reduzieren, recyceln Sie – verwenden Sie Ihre ältere Firewall, um Ihr Netzwerk zu partitionieren und den Umfang zu reduzieren, nutzen Sie Ihre bestehenden Prozesse und Verfahren, aber formalisieren und dokumentieren Sie sie einfach und reduzieren Sie die Verwendung von Kartendaten, wo möglich, und reduzieren Sie die Zahl derjenigen, die Zugriff auf Daten haben
- Suchen Sie nach schnellen Erfolgen – zeitgemäße Protokollverwaltung und intelligente Audit-Trail-Systeme können schnell implementiert werden und sogar die Überwachung der Dateiintegrität, die in der Vergangenheit immer als teuer und komplex galt, ist jetzt erschwinglich und automatisiert
- Treffen Sie Ihre eigenen Entscheidungen über die Risiken und das Potenzial eines Diebstahls und bestätigen Sie diese dann mit QSA. Bitten Sie nicht um Rat, es sei denn, dies ist unbedingt erforderlich