Suchen

PCI Security Standards Council veröffentlicht Informationsanhang Leitlinie zur Risikobewertung nach PCI DSS

| Redakteur: Stephan Augsten

Eine jährliche Risikobewertung gehört für jedes Unternehmen, das Kreditkartendaten verarbeitet, zum Pflichtprogramm. So will es der Payment Card Industry Data Security Standard. Was dabei zu beachten ist, erläutert das PCI Security Standards Council in einer neuen Risk Assessment Guideline.

Firma zum Thema

Das PCI Security Standards Council gibt Unternehmen einen Leitfaden zur Risikobewertung in die Hand.
Das PCI Security Standards Council gibt Unternehmen einen Leitfaden zur Risikobewertung in die Hand.
(Bild: Archiv)

Jedes Unternehmen muss eine eigene Methode zur Risikobeurteilung entwerfen, die zur spezifischen Geschäftsumgebung passt. Darauf weist das Payment Card Industry Security Standards Council (PCI SSC) im Report „Information Supplement: PCI DSS Risk Assessment Guideline“ (z.Dt.: „Informationsanhang: Leitlinie zur Risikobewertung nach PCI DSS“) ausdrücklich hin.

An dem Dokument haben über 60 Unternehmen mitgewirkt, die mit dem Payment Card Industry Data Security Standard (PCI DSS) zu tun haben – also Banken, Handelsunternehmen, Sicherheitsgutachter und -hersteller. Die sogenannte PCI Risk Assessment Special Interest Group hat das PDF-Dokument am 16. November 2012 veröffentlicht.

Der Leitfaden soll vermitteln, wie man Risiken für die Karteninhaberdaten-Umgebung identifiziert, bewertet, analysiert und dokumentiert. Basierend auf diesen Grundlagen könne ein Risk-Assessment-Team dann eine aufs Unternehmen angepasste Strategie entwerfen.

Wichtige Aspekte der Risikobewertung

Im Rahmen der Risikobewertung müsse das Unternehmen unter anderem die Datenbestände erfassen, deren Zusammenhänge erkennen und Gefahren sowie Schwachstellen identifizieren. Anschließend gilt es, Risikoprofile zu erstellen, indem die Risiken kategorisiert und unter Berücksichtigung bestehender Steuerungsmechanismen bewertet werden.

Abschließend muss das Unternehmen festlegen, ob und wie es auf bestimmte Gefahren reagiert. Hierbei werden die Risiken gegeneinander abgewägt und priorisiert, um mögliche Maßnahmen zur Beseitigung oder Abmilderung definieren zu können. Darüber hinaus gilt es, akzeptable Gefahren und Restrisiken zu identifizieren.

Natürlich gibt es auch Kreditkartendaten-verarbeitende Unternehmen, die Geschäftsprozesse ausgelagert haben, IT-Dienste in Anspruch nehmen oder mit Dritthändlern oder ähnlichen Firmen zusammenarbeiten. Die Auswirkungen solcher Geschäftsbeziehungen auf die Sicherheit der Daten muss in die Risikobeurteilung selbstredend mit einfließen.

Neben derartigen Aufgaben und Problemstellungen geht der Leitfaden auch auf das richtige Risiko-Reporting und kritische Erfolgsfaktoren ein. Interessierte Unternehmen erhalten die PCI DSS Risk Assessment Guideline (PDF, 2,2 MB) auf der Webseite des PCI Security Standards Council.

(ID:36912340)