Die Sicherheit von Kartenzahlungen ist ein Thema, das die großen Kreditkartenmarken (American Express, Discover, JCB, MasterCard und Visa) unglaublich ernst nehmen. Daher zielt die Anforderung 12 des Payment Card Industry Data Security Standard (PCI DSS) darauf ab, sicherzustellen, dass Händler und Dienstleister, die Kreditkartenzahlungen akzeptieren, den kulturellen Wandel in ihren Unternehmen durchsetzen, um sicherzustellen, dass die Sicherheit ihrer Systeme und Prozesse angemessen berücksichtigt wird.
Der für PCI DSS zuständige Payment Card Industry Security Standards Council (PCI SSC) legt mehr Gewicht auf die Prozesse zur Unterstützung der Sicherheit, indem er die Prozesse der Politik und Risikobewertung eines Unternehmens verbessert. Konkret will der Councel mehr Gewicht darauf legen, dass die Einhaltung des PCI DSS das ganze Jahr über gewährleistet ist. Der PCI DSS soll einheitlich verwaltet und gemessen werden, wie Troy Leach, CTO der PCI SSC, erklärt: "Die Frage, die der neue Standard den Händlern helfen wird, lautet: "Haben wir die Kultur, die Daten unserer Kunden jeden Tag und jede Stunde, in der wir Geschäfte machen, zu schützen?"
Verschärfung der Richtlinienverwaltung
Typischerweise ist sich der CEO oder CFO der Gesamtverantwortung der Richtlinien für die PCI-Konformität bewusst, die vertraglichen Anforderungen zu erfüllen. Um sie gemeinsam zu bewältigen, ist eine regelmäßige Kommunikation und Schulung der Mitarbeiter, die für den Kartenzahlungsverkehr verantwortlich sind, von zentraler Bedeutung.
Nachweis robuster Richtlinien und Verfahren
Ein effektiver Ansatz für das Richtlinienmanagement, um sicherzustellen, dass alle erforderlichen Verbesserungen im gesamten Unternehmen wirksam kommuniziert werden, ist eine transparente Kommunikation - an die richtigen Personen, zur richtigen Zeit und auf die richtige Weise.
In einer Zeit, in der Cyber-Angriffe immer häufiger auftreten, geht es nicht mehr nur darum, das Richtige für Unternehmen zu tun, sondern auch, wie man es tut. Daher ist eine Dokumentation der Richtlinie erforderlich:
- Verfügbarkeit gewährleisten
- Auf dem neuesten Stand abgelegt sein
- Klare Kommunikation durchführen
- Für Compliance-Berichte identifizierbar
Die Übereinstimmung mit jeder Richtlinie muss ebenfalls verfolgt werden, damit das Unternehmen die Einhaltung der Vorschriften und die Unternehmensführung nachweisen kann.
Kontinuierlicher Fokus
Bei der Erfüllung der immer detaillierteren Anforderungen der aktuellen Version des PCI DSS erkennen immer mehr Unternehmen, dass ein "Tick in the Box"-Ansatz nicht mehr akzeptabel ist. Vielmehr müssen sie jetzt beweisen, dass die Einhaltung neuer Richtlinien unternehmensweit vollständig verstanden und kontinuierlich umgesetzt wird.
Die Notwendigkeit, diese verantwortungsbewusstere Haltung zur Einhaltung von Richtlinien zu verdeutlichen, lässt sich am besten durch eine Kombination aus automatisierter Richtlinienverwaltung und kontinuierlicher Weiterbildung der Mitarbeiter umsetzen.
Obwohl der erste Treiber für Veränderungen darin bestehen kann, ein Unternehmen vor Geldbußen - oder noch schlimmer - vor Nichteinhaltung zu schützen, wird zunehmend erkannt, dass die daraus resultierenden Prozesse dem Unternehmen und seinen Mitarbeitern sowie den Kunden zugutekommen.
Effektiv umgesetzt, gewinnt jeder.
Sie haben Fragen oder Anmerkungen? Dann nutzen Sie gern unser Chat-Fenster oder das Kontaktformular.
