Sicherheit in der Kreditkartenindustrie
PCI-Compliance: Studie 2008 zum Payment Card Industry Data Security Standard (PCI DSS) in Deutschland, Österreich und der Schweiz
Fundierte Informationen über die Relevanz von PCI DSS sind bislang im deutschsprachigen Raum kaum verfügbar
(10.09.08) - Die PCI DSS-Studie usd.de AG adressiert ein weites Feld von Sicherheitsanforderungen technischer und organisatorischer Art. Um die Qualität der Ergebnisse sicherzustellen, wurden die teilnehmenden Ansprechpartner gebeten, nur solche Fragen zu beantworten, die sie konkret beantworten konnten. Hieraus resultiert bei einzelnen Fragen ein relativ hoher Anteil von Teilnehmern, die keine Antwort abgaben.
Um dem Diebstahl bzw. Missbrauch von Kreditkartendaten vorzubeugen, initiierten VISA und MasterCard früh eigene, international geltende Sicherheitsprogramme. Mit dem Ziel der Vereinheitlichung und der verbesserten Durchsetzung von IT Sicherheitsanforderungen in der Kreditkartenindustrie wurde 2005 der "Payment Card Industry Data Security Standard" (PCI DSS) definiert.
PCI DSS wird heute von allen namhaften Kreditkartenunternehmen als gemeinsamer Sicherheitsstandard anerkannt und eingefordert. Neben VISA und MasterCard sind dies insbesondere American Express, JCB und Discover Financial Services. PCI DSS gilt grundsätzlich für alle Unternehmen, die Kreditkartendaten verarbeiten, übertragen oder speichern.
Fundierte Informationen über die Relevanz von PCI DSS sind bislang im deutschsprachigen Raum kaum verfügbar. Welche Beachtung genießt PCI DSS? Glauben die Unternehmen, dass die Durchsetzung von PCI DSS die Sicherheit von Kreditkartendaten verbessert? Wie lange dauert der Zertifizierungsprozess? Was kostet die Zertifizierung bzw. die Beseitigung identifizierter Mängel? Welche Anforderungen werden an Auditoren gestellt und wie zufrieden sind die Unternehmen mit den erbrachten Leistungen? Diese und andere Fragen werden in der Studie adressiert.
Die Teilnehmer
Ansprechpartner aus 57 Unternehmen nahmen an der Studie teil. Die Unternehmen agieren im Kreditkartenmarkt als Acquirer, Merchants oder Payment Service Provider.
Über 90 Prozent dieser Unternehmen sind europaweit tätig, über die Hälfte – zumeist im Konzernverbund – weltweit.
Über 80 Prozent der teilnehmenden Unternehmen verarbeiten, übertragen oder speichern mehr als 1 Mio. Kreditkartentransaktionen pro Jahr; mehr als 60 Prozent der Teilnehmer nennen über 6 Mio. Transaktionen und ordnen sich damit der höchsten Kategorie von PCI DSS zu.
Ergebnisse
Die PCI DSS-Studie adressiert ein weites Feld von Sicherheitsanforderungen technischer und organisatorischer Art. Um die Qualität der Ergebnisse sicherzustellen, wurden die teilnehmenden Ansprechpartner gebeten, nur solche Fragen zu beantworten, die sie konkret beantworten konnten. Hieraus resultiert bei einzelnen Fragen ein relativ hoher Anteil von Teilnehmern, die keine Antwort abgaben.
PCI DSS für Teilnehmer verbindlich
Alle teilnehmenden Unternehmen verarbeiten, übertragen oder speichern Kreditkartendaten und haben damit aus Sicht der Kreditkartenorganisationen die Pflicht, die Anforderungen von PCI DSS zu erfüllen. Nahezu alle teilnehmenden Unternehmen arbeiten mit VISA (95 Prozent) und/oder MC (85 Prozent) zusammen. Mit Abstand folgen JCB, Maestro und Amex.
IT Sicherheit wird ernst genommen
In jedem der teilnehmenden Unternehmen ist ein dedizierter Mitarbeiter für das Thema "IT Sicherheit" verantwortlich. In über 80 Prozent der Unternehmen ist das eine Fulltime-Aufgabe. 76 Prozent der IT Sicherheitsverantwortlichen berichten direkt an den Vorstand, der Rest an die Managementebene darunter. Diese Zahlen beweisen den hohen Stellenwert des Themas in den teilnehmenden Unternehmen und unterstreichen die Führungsrolle der Kreditkartenindustrie in Sachen IT Sicherheit.
Bedeutung von PCI DSS
Nahezu alle befragten Unternehmen sind von der Notwendigkeit zum Schutz der Kreditkartendaten überzeugt und begreifen in diesem Zusammenhang PCI DSS überwiegend als wichtig bzw. sehr wichtig.
Keines der im Rahmen von PCI DSS definierten 12 Kontrollziele wurde von einem der Teilnehmer in seiner Bedeutung als gering geschätzt.
Einhaltung des Standards gefordert
Rund zwei Drittel der befragten Unternehmen fordern von Kunden, Partnern bzw. Service Providern bereits den Nachweis der PCI DSS Compliance und erhöhen so die Relevanz des Standards weiter.
Teilnehmende Unternehmen
>> überwiegend bereits einmal zertifiziert
>> Knapp 80 Prozent der teilnehmenden Unternehmen wurden bereits mindestens einmal nach PCI DSS zertifiziert und verfügen infolgedessen über eigene Erfahrungen mit dem Standard und seiner praktischen Anwendung.
>> Die bereits zertifizierten Unternehmen zeigen sich mit dem Zertifizierungsprozess zufrieden oder sehr zufrieden.
Der Standard ist nachweislich in der Branche angekommen und gewinnt zunehmend an Bedeutung.
Zertifizierungsdauer zwischen einem Monat und sechzehn Monaten
Hinsichtlich der Projektdauer zur Erreichung der PCI Compliance ergibt sich kein einheitliches Bild. Durchschnittlich benötigten die Unternehmen 7 Monate bis zur Erreichung der PCI Compliance, wobei die Antworten von einem Monat bis zu 16 Monaten reichten.
Zufriedenheit mit den Auditoren
Der Auditor bzw. QSA wurde den bereits zertifizierten Unternehmen überwiegend (62 Prozent) von ihrem Acquirer empfohlen. Einige wenige Unternehmen (8 Prozent) entschieden sich für die Durchführung einer professionellen Ausschreibung. Fast immer beriet der QSA seine Kunden auch hinsichtlich der Beseitigung von Schwachstellen und führte die vorgeschriebenen Netzwerkscans als ASV durch.
Die befragten Unternehmen zeigen sich mit der Bündelung der Aufgaben auf einen Vertragspartner überwiegend zufrieden. Auch mit der Flexibilität, Informationsbereitstellung, der Internationalität und dem Branchen-Knowhow der Zertifizierer zeigen sich die antwortenden Unternehmen zufrieden bzw. sehr zufrieden.
Die Bereitschaft zum Wechseln des Auditors ist mit knapp 28 Prozent folgerichtig eher gering. Die benannten Gründe für einen in der Vergangenheit durchgeführten Wechsel waren beispielsweise Unzufriedenheit mit der Person des Auditors oder die Tatsache, dass das bislang beauftragte Unternehmen seinen Geschäftsbereich QSA aufgegeben habe.
Deutschsprachige Auditoren bevorzugt
Die Audits bei den bereits zertifizierten Unternehmen wurden überwiegend (ca. 80 Prozent) in deutscher Sprache durchgeführt. Rund zwei Drittel der Unternehmen ist die Durchführung des Zertifizierungsprozesses in der Landessprache deutsch wichtig oder sehr wichtig, für die restlichen Unternehmen ist dieser Punkt nicht relevant.
Reale Kosten der Zertifizierung
Nur 38 Prozent der bereits zertifizierten Unternehmen machten Angaben zu den Kosten ihrer Zertifizierung. Es fällt den Unternehmen also ganz offensichtlich schwer, den Aufwand für die Erreichung der PCI Compliance zu quantifizieren oder sie wollen aus anderen Gründen keine Aussage treffen.
Die Auswertung der Antworten ergibt, eine Bandbreite zwischen 15.000 Euro und knapp 100.000 Euro für die Summe aus internem Aufwand, externen Beratungskosten und dem Honorar des Auditors.
Für die Beseitigung von im Rahmen der Zertifizierung erkannten Mängeln investierten über die Hälfte (56 Prozent) dieser Unternehmen über 100.000 Euro.
Kosten der Erstzertifizierung werden unterschätzt
Auffällig ist, dass sich über 90 Prozent der bisher noch nicht zertifizierten Unternehmen außer Stande sehen, den Aufwand für die Erreichung der PCI Compliance zu beziffern. Diese Unsicherheit betrifft sowohl die internen Kosten, den Bedarf an externer Beratung, die Kosten des Auditors sowie insbesondere den Aufwand für die Beseitigung eventueller Mängel. Die Unternehmen, die im Rahmen der Studie ihre Plandaten benannten, gehen alle von Kosten bis zu 30.000 Euro aus und liegen damit wesentlich unter den realen Kosten der bereits zertifizierten Unternehmen.
usd.de AG
Die usd.de AG ist einer der wenigen durch den PCI Security Standards Council akkreditierten Qualified Security Assessors (QSA) und Approved Scanning Vendor (ASV) mit Hauptsitz in Deutschland. Angeboten werden alle im Bereich PCI DSS relevanten Informations-, Beratungs- und Zertifizierungsleistungen. (usd.de: ra)
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>