Seit der Corona-Pandemie (COVID-19) haben Unternehmen auf der ganzen Welt, die ihre Geschäftstätigkeit aufrechterhalten und die neuen staatlichen Vorschriften über die Bewegungsfreiheit von Personen einhalten wollten, in großem Umfang Remote-Arbeitsplätze eingeführt. Während dies für bestimmte Arbeitsplätze und Sektoren keine großen Probleme darstellte, bestand für andere die Gefahr der Verletzung von Datenschutzbestimmungen und Compliance Vorgaben.
Der Payment Card Industry Data Security Standard (PCI DSS) wurde lange Zeit als Hindernis für die Remote-Arbeit angesehen, da die Einhaltung der Vorschriften in einer nicht überwachten Umgebung wie dem Zuhause eines Mitarbeiters nur schwer zu erreichen ist. PCI DSS besteht aus 12 Sicherheitsanforderungen, die Unternehmen dabei helfen, ihre Zahlungssysteme vor Verstößen, Betrug und Diebstahl von Karteninhaberdaten zu schützen. Unter anderem müssen sie strenge Zugangskontrollmaßnahmen einführen, Karteninhaberdaten schützen und eine Datensicherheitspolitik unterhalten.
PCI DSS ist zwar rechtlich nicht bindend, wurde aber weltweit als allgemeiner Standard von Finanzinstituten, vor allem Banken, übernommen und ist für alle Unternehmen vorgeschrieben, die Kreditkartendaten der weltweit größten Kartensysteme verarbeiten, speichern oder übertragen: American Express, Discover, JCB, MasterCard und Visa.
Die Missachtung der Vorschriften hat einen hohen Preis: Unternehmen müssen mit Geldstrafen von bis zu 100.000 US-Dollar/Monat und erhöhten Transaktionsgebühren rechnen und laufen Gefahr, dass ihnen die Geschäftsbeziehung zu ihrer Bank gekündigt wird. Schlimmer noch: Sie können auf die gefürchtete MATCH-Liste (Merchant Alert to Control High-Risk) gesetzt werden, die dafür sorgt, dass sie nie wieder Kartenzahlungen verarbeiten dürfen.
PCI DSS-Konformität in WFH-Umgebungen
Das PCI Security Standards Council (PCI SSC) hat die ungewöhnlichen Umstände erkannt, mit denen Unternehmen auf der ganzen Welt zu kämpfen haben, und Leitlinien für die Remote-Arbeit herausgegeben, in denen die Notwendigkeit betont wird, Cybersecurity-Verfahren zum Schutz von Kartenzahlungsdaten einzuhalten. Diese Best Practices für Home Office Umgebungen (WFH – Work from Home) ersetzen jedoch nicht die PCI DSS-Anforderungen, sondern sollen Unternehmen bei der Einhaltung der Vorschriften unterstützen, auch wenn ihre Mitarbeiter von zu Hause aus arbeiten.
Eine der besten Methoden, um die Einhaltung der Vorschriften zu gewährleisten, ist die Entwicklung und Einhaltung einer Sicherheitskultur innerhalb des Unternehmens, so der Leitfaden. Dies kann durch ein Sicherheitsprogramm erreicht werden, das die Mitarbeiter über die Sicherheitsrichtlinien und -verfahren eines Unternehmens informiert und ihnen hilft, deren Bedeutung sowohl für die Datensicherheit als auch für die Einhaltung der Vorschriften zu verstehen. Wenn Unternehmen vor der aktuellen Gesundheitskrise PCI-konform waren, dürften sie ein solches Programm bereits eingeführt haben, da es Bestandteil der PCI DSS-Anforderung 12.6 ist.
Im Falle der Remote-Arbeit erhöht sich die Bedeutung der Aufklärung und Schulung von Mitarbeitern: Sie müssen für die Risiken sensibilisiert werden, die die Arbeit an Heimarbeitsplätzen für die Einhaltung des PCI DSS mit sich bringt, und sie müssen wissen, was zu tun ist, um die kontinuierliche Sicherheit der Systeme, Prozesse und Geräte zu gewährleisten, mit denen die Verarbeitung von Bezahlkartendaten erfolgt.
Auch wenn dies außerhalb des Büros eine Herausforderung sein kann, müssen die Mitarbeiter wissen, dass die wichtigste Anforderung darin besteht, dass alle Systeme, die zur Verarbeitung von Kontodaten verwendet werden, sicher verwaltet werden und für Unbefugte nicht zugänglich sind. Dies bedeutet Schutz vor Eingriffen von außen und vor Unachtsamkeit seitens der Mitarbeiter selbst sowie die Sperrung des physischen Zugangs zu dem Ort, an dem ihre Arbeit ausgeführt wird. Die Mitarbeiter sollten daher ihre Arbeitsumgebung so gestalten, dass andere Mitglieder ihres Haushalts sie nicht benutzen und nicht betreten können.
Sicherheit von Prozessen
Der physische Raum, in dem ein Mitarbeiter von zu Hause aus arbeitet und Kartenzahlungen abwickelt, muss wirksam überwacht und der Zugang zu ihm jederzeit kontrolliert werden. Das Abschließen eines Heimbüros ist nur eine Möglichkeit, den physischen Zugang zu Systemen, die Kontodaten verarbeiten, zu verhindern. Es ist jedoch auch wichtig, dass Verfahren zur Multi-Faktor-Authentifizierung eingerichtet werden, um sicherzustellen, dass jemand, der sich physischen Zugang zum Home-Office verschafft, trotzdem nicht auf Kontodaten zugreifen kann.
Die Datenübertragung kann auch durch Tools zur Verhinderung von Datenverlusten (Data Loss Prevention, DLP) kontrolliert werden, die es den Unternehmen ermöglichen, die Übertragung von Kreditkartendaten durch vordefinierte Richtlinien zu überwachen und die Übertragung über unsichere Schnittstellen zu blockieren, wie z. B. File-Sharing-Dienste oder Instant-Messaging-Anwendungen, die von den Mitarbeitern bei der Arbeit von einem anderen Standort aus genutzt werden könnten.
Alle ausgedruckten Kontodaten müssen ebenfalls sicher aufbewahrt werden, vorzugsweise unter Verschluss, und vernichtet werden, wenn sie nicht mehr benötigt werden.
Datenweitergabe eingrenzen
Remote-Mitarbeiter sollten nur die vom Unternehmen zugelassene Hardware verwenden, egal ob es sich um Laptops, Telefone oder Wechseldatenträger handelt. Auf diese Weise können Unternehmen die Kontrolle über die Systeme und die Technologie zur Zahlungsabwicklung behalten. Durch die Anwendung von DLP-Gerätekontrollrichtlinien auf den Endgeräten, welche die USB- und Peripherieanschlüsse einschränken oder ganz sperren, können die Unternehmen sicherstellen, dass keine unbefugten Geräte an die Arbeitscomputer angeschlossen werden, unabhängig davon, ob ein Gerät online ist oder nicht.
Es wird außerdem empfohlen, auf allen Firmencomputern, die per Fernzugriff genutzt werden, aktuelle Firewalls, Antivirenlösungen und Sicherheitsupdates zu installieren. Diese Sicherheitskontrollen müssen so konfiguriert werden, dass die Benutzer sie nicht deaktivieren können.