PSR 2019

Verizon PSR 2019: Die Einhaltung von Richtlinien zur Zahlungssicherheit ist rückläufig

, Basking Ridge, Verizon | Autor: Herbert Wieler

Verizon PSR 2019: Die Einhaltung von Richtlinien zur Zahlungssicherheit ist rückläufig

Nur eins von drei Unternehmen weltweit sind compliant

Der Payment Security Report 2019 von Verizon verdeutlicht, warum Compliance so wichtig ist, und beschreibt Maßnahmen zur Bekämpfung des Abwärtstrends bei Compliance

Der Prozentsatz der Unternehmen, die die Security Policies für Zahlungskarten einhalten, ist im zweiten Jahr in Folge rückläufig, wobei Unternehmen in Nord- und Südamerika noch hinter den weltweiten Ergebnissen zurückliegen, heißt es im 2019 Payment Security Report (2019 PSR) von Verizon.

Als Visa Inc. 2004 den PCI DSS herausgab, war man allgemein der Ansicht, dass innerhalb von fünf Jahren wirkungsvolle und nachhaltige Compliance erreicht werden würde. 15 Jahre später ist die Zahl der Unternehmen, auf die das zutrifft, von 52,5 Prozent (2018 PSR) auf einen Tiefststand von gerade einmal 36,7 Prozent weltweit gesunken. Geografisch betrachtet ist die Asien-Pazifikregion (APAC) mit 69,6 Prozent eher zu nachhaltiger und vollständiger Compliance in der Lage; in Europa, im Mittleren Osten und in Afrika (EMEA) sind es 48 Prozent und in Nord- und Südamerika gerade einmal 20,4 Prozent.

Auszüge des Reports:

  • Der Prozentsatz der Unternehmen, die den Payment Card Industry Data Security Standard (PCI DSS) vollständig erfüllen, ist mit 36,7 Prozent weltweit im zweiten Jahr in Folge rückläufig.
  • Nur eines von fünf Unternehmen in Nord- und Südamerika ist dauerhaft vollständig compliant; Unternehmen im Asien-Pazifikraum schneiden besser ab.
  • Das 9-5-4 Framework von Verizon befasst sich mit Aspekten, mit denen sich bei einem Datenschutz-Compliance-Programm (DPCP) Befähigungs- und Prozessreife herstellen und verbessern lassen.

PCI DSS unterstützt Kartenzahlungsanbieter beim Schutz ihrer Zahlungssysteme gegen Datenverletzungen und Diebstahl von Karteninhaber-Informationen. Dies ist aus der Reihe Verizon Data Breach Investigations Report klar ersichtlich. Compliance ist die Fähigkeit einer Organisation, diese Richtlinien zu erfüllen und – was noch wichtiger ist – langfristig einzuhalten.

„Zwischen 2010 und 2016 war eine graduelle Zunahme der Compliance zu beobachten. Jetzt haben wir es mit einem besorgniserregenden Abwärtstrend und wachsenden geografischen Unterschieden zu tun“, sagte Rodolphe Simonetti, als Global Managing Director bei Verizon für Secrity-Consulting zuständig. „Wir beobachten, dass immer mehr Organisationen nicht in der Lage sind, die für PCI DSS erforderliche Compliance zu erreichen oder gar beizubehalten. Das hat unmittelbare Auswirkungen auf die Sicherheit der Zahlungsdaten ihrer Kunden. Bald wird die Version 4.0 der PCI-DSS-Richtlinien herauskommen. Für die Unternehmen wäre dies eine Gelegenheit, den Trend umzukehren, indem sie überdenken, wie sie ihre Compliance-Programme implementieren und strukturieren.“

Neue Rahmenrichtlinien von Verizon verhelfen Unternehmen zu Payment Security Compliance

Datenschutz und Compliance sind eine tagtägliche Herausforderung. Zahlreiche Organisationen sind überzeugt, mit einem Einheitskonzept effektiven und nachhaltigen Datenschutz erreichen zu können. In der Realität erweist sich Sicherheit jedoch als wesentlich komplizierter.

Simonetti weiter: „Viele vergeuden bei der Entwicklung von Datenschutz-Compliance-Programmen viel Zeit und Geld, denn häufig sind diese ineffektiv – auf dem Papier sehen sie gut aus, halten aber der Gründlichkeit einer professionellen Sicherheitsüberprüfung nicht stand. Wir beobachten nach wie vor, dass sich CISOs darauf konzentrieren, grundlegende Kontrollaktivitäten aufrechtzuerhalten, anstatt sich mit Datenschutz-Kompetenz und Ausgereiftheit zu befassen. Um zu messbaren Ergebnissen und prognostizierbaren Resultaten zu gelangen, benötigt man eine klare, leicht verständliche Navigationshilfe.“ Bereits in früheren Ausgaben des Payment Security Report hatte Verizon mit der Entwicklung einer Methodik begonnen, die Organisationen beim Management ihrer Datenschutz-Compliance-Programme (DPCPs) unterstützt. Die Erkenntnisse daraus wurden jetzt im Verizon 9-5-4 Compliance Program Performance Framework zusammengefasst – einer Richtlinie, die Befähigung und Prozessreife herstellt und verbessert.

Das 9-5-4 Framework soll dazu beitragen, reproduzierbare, einheitliche und prognostizierbare Resultate zu erzielen. Es bietet eine Orientierung, wie man den Status jedes der neun Faktoren der Kontrollwirksamkeit und -nachhaltigkeit abbildet, überwacht und berichtet. Dies sind Kontrollumgebung, Kontrollaufbau, Kontrollrisiken und Kontrollrobustheit sowie Widerstandsfähigkeit von Kontrollen, Lifecycle- und Performance-Management von Kontrollen und schließlich Messung der Ausgereiftheit und Selbstbeurteilung. Dies geschieht für alle vier grundlegenden Formen der Sicherstellung (individuelle Rechenschaftspflicht, Risikomanagement und Compliance-Teams, internes Audit, externes Audit und Aufsichtsbehörden) und wird erreicht durch Bewertung der fünf Faktoren, aus denen sich der Grad der Befähigung einer Organisation ergibt: Kapazität, Fähigkeit, Kompetenz, Engagement und Kommunikation.

Zusammenhang zwischen mangelnder Compliance und Datenverletzungen erneut bestätigt

Der Bericht enthält darüber hinaus Daten des Verizon Threat Research Advisory Center (VTRAC). Daraus geht hervor, dass ein Compliance-Programm ohne die entsprechenden Kontrollen zum Schutz von Daten mit mehr als 95-prozentiger Wahrscheinlichkeit nicht nachhaltig ist und damit zu einem potenziellen Ziel einer Cyberattacke wird. „Seit Jahren sprechen wir vom engen Zusammenhang zwischen Mangel an PCI DSS-Compliance und Datenverletzungen“, schließt Simonetti. „In den diesjährigen Bericht haben wir noch mehr Daten des Verizon VTRAC-Teams aufgenommen, um der Diskussion mehr Tiefe zu verleihen. Von dem Team stammen die Data Breach Investigation Reports. Unsere Daten zeigen, dass wir noch nie eine Sicherheitsverletzung von Zahlungskartendaten bei einer PCI DSS-konformen Organisation untersuchen mussten. Compliance funktioniert also! ”

Über den Verizon Payment Security Report 2019

Schwerpunkt des diesjährigen Berichts sind Leistungssichtbarkeit, Kontrolle und Ausgereiftheit von DPCPs. Er enthält die Ergebnisse von 302 PCI DSS-Überprüfungen bei einer Reihe unterschiedlicher Organisationen, darunter Fortune-500-Unternehmen sowie bei großen multinationalen Konzernen in mehr als 60 Ländern. Die Bewertungen wurden von einem Verizon Team aus PCI Qualified Security Assessors (QSAs) sowie von den QSAs anderer Unternehmen durchgeführt, darunter ControlScan, Foregenix, MegaplanIT und Schellman.

Ähnlich wie bei dem Verizon Bericht Data Breach Investigations Report basiert der 2019 PSR auf der Arbeit an realen Fällen mit Schwerpunkt Finanzdienstleistungen (50,7 Prozent), Einzelhandel (19,9 Prozent), IT-Services (17,5 Prozent) sowie Hotel- und Gaststättengewerbe (10,6 Prozent). Zu den erfassten Regionen gehören Nord- und Südamerika (50,0 Prozent), Die Asien-Pazifikregion (20,0 Prozent) und EMEA (30,0 Prozent).