Finanzunternehmen wie, Kreditkarten- und Transaktionsverarbeitungsunternehmen arbeiten, wie ihr Name schon sagt, täglich mit sensiblen Daten von Kreditkarteninhabern und unterliegen daher strengen Anforderungen an die Datensicherheit. Dazu gehört vor allem der Payment Card Industry Data Security Standard (PCI DSS), der von Finanzinstituten auf der ganzen Welt als allgemeiner Standard übernommen wurde, um Zahlungssysteme vor Verstößen, Betrug und Diebstahl von Karteninhaberdaten zu schützen.
Anforderungen an die Datenkonformität
PCI DSS ist ein internationaler, geschützter Informationssicherheitsstandard, der vom PCI Security Standards Council für Organisationen entwickelt wurde, die Karteninhaberdaten für die größten Kartensysteme der Welt verarbeiten: American Express, Discover, JCB, MasterCard und Visa. Alle Unternehmen, die Kartenzahlungen per Telefon, persönlich oder online annehmen möchten, müssen PCI DSS-konform sein.
Unternehmen, die die PCI DSS-Anforderungen nicht erfüllen, müssen mit Geldstrafen von bis zu 100.000 US-Dollar/Monat und erhöhten Transaktionsgebühren rechnen. Außerdem können die Verträge zu ihrer Bank dauerhaft gekündigt werden, und sie können auf die MATCH-Liste (Merchant Alert to Control High-Risk) gesetzt werden, was bedeutet, dass sie nie wieder Kartenzahlungen verarbeiten dürfen.
Die Einhaltung von PCI DSS ist daher für Kreditkarten- und Transaktionsverarbeitungsunternehmen von größter Bedeutung, aber es ist nicht der einzige Standard, den sie einhalten müssen. Zusammen mit den Daten der Karteninhaber sammeln sie auch große Mengen an personenbezogenen Daten, darunter Namen, Adressen und Telefonnummern, die durch Datenschutzgesetze wie die Allgemeine Datenschutzverordnung der EU (DSGVO) und den California Consumer Privacy Act (CCPA) geschützt sind.
Daher ist die Datensicherheit für Kreditkarten- und Transaktionsverarbeitungsunternehmen nicht nur ein vorübergehendes Anliegen, sondern ein wesentlicher Aspekt ihres Geschäfts. Laut dem Bericht von IBM und dem Ponemon Institute über die Kosten von Datenschutzverletzungen im Jahr 2021 weist der Finanzsektor, zu dem Kreditkarten- und Transaktionsverarbeitungsunternehmen gehören, die zweithöchsten Kosten für Datenschutzverletzungen aller Branchen auf: 5,72 Millionen US-Dollar pro Datenschutzverletzung, wobei Geschäftseinbußen den größten Kostenfaktor darstellen. Wie also können Kreditkarten- und Transaktionsverarbeitungsunternehmen ihre Daten besser schützen und solche Verluste vermeiden? Schauen wir genauer hin.
Interne Bedrohungen angehen
Cybersicherheit wird oft mit der Notwendigkeit gleichgesetzt, Unternehmensnetzwerke vor externen Bedrohungen zu schützen. Der Schutz von Daten und Systemen vor Cyberangriffen ist zwar ein wichtiger Bestandteil jeder Cybersicherheitsbemühung, doch sollten Kreditkarten- und Transaktionsverarbeitungsunternehmen den zweitwichtigsten Faktor nicht vernachlässigen, der zu Datenschutzverletzungen beiträgt: die Mitarbeiter selbst. Ob durch Nachlässigkeit oder böswillige Absicht, Insider sind eine der Hauptursachen für Datenlecks.
Kreditkarten- und Transaktionsverarbeitungsunternehmen können Data Loss Prevention (DLP)-Lösungen einsetzen, um Daten vor internen Bedrohungen zu schützen, ohne die Produktivität der Mitarbeiter zu beeinträchtigen. Mit vordefinierten Profilen für Daten, die durch Gesetze und Standards wie PCI DSS und DSGVO geschützt sind, aber auch mit benutzerdefinierten Definitionen können DLP-Lösungen sensible Daten identifizieren, überwachen und kontrollieren.
Mithilfe von kontextbezogenem Scannen und Inhaltsinspektion können sie Karteninhaberinformationen, personenbezogene Daten und jede andere Art von Daten, die in Hunderten von Dateitypen als sensibel definiert sind, identifizieren, überwachen und ihre Übertragung blockieren oder einschränken. DLP-Lösungen mit einem hohen Grad an Granularität, wie z.B. Endpoint Protector, ermöglichen die Anwendung von DLP-Richtlinien auf bestimmte Abteilungen, Gruppen, Einzelpersonen oder Computer, je nachdem, in welchem Umfang sie Zugriff auf sensible Daten haben.
Beschränkung des Zugriffs auf sensible Daten
Unternehmen, die den PCI DSS einhalten müssen, müssen den Zugang zu sensiblen Daten auf einer Need-to-know-Basis beschränken. Das bedeutet, dass nur autorisierte Mitarbeiter Zugang zu sensiblen Daten haben sollten, und selbst nur dann, wenn sie für die Ausführung von Aufgaben benötigt werden.
DLP-Scans zur Erkennung von Inhalten können Kreditkarten- und Transaktionsverarbeitungsunternehmen dabei helfen, diese Anforderung zu erfüllen. Mit Hilfe von DLP-Tools können Unternehmen ihr gesamtes Firmennetzwerk nach sensiblen Daten durchsuchen, die lokal auf den Computern ihrer Mitarbeiter gespeichert sind, und diese löschen oder verschlüsseln, wenn sie an nicht autorisierten Orten gefunden werden.
Blockieren oder begrenzen Sie die Verwendung von Wechseldatenträgern
Wechseldatenträger sind ein weiterer gängiger Punkt für den Datenabfluss. Bei Kreditkarten- und Transaktionsverarbeitungsunternehmen, die große Mengen sensibler Daten sammeln, verarbeiten und archivieren, kann die Verwendung von Wechseldatenträgern durch Mitarbeiter ein sehr hohes Sicherheitsrisiko darstellen.
Unternehmen können DLP-Lösungen einsetzen, um die Nutzung von USB- und Peripherieanschlüssen sowie Bluetooth-Verbindungen zu blockieren oder auf zugelassene Geräte zu beschränken. Auf diese Weise können Unternehmen das Sicherheitsniveau von Geräten kontrollieren, die an Arbeitscomputer angeschlossen sind, aber auch leicht feststellen, welcher Mitarbeiter zu welchem Zeitpunkt ein Wechseldatenträger verwendet hat. Auf diese Weise können Unternehmen alle potenziellen Versuche eines Datendiebstahls durch böswillige Insider erkennen.