E-Mail & PCI Compliance: Wie Sie kostspielige Verstöße vermeiden

E-Mail & PCI Compliance: Wie Sie kostspielige Verstöße vermeiden

Wenn Ihr Unternehmen Kreditkarteninformationen per E-Mail sendet oder empfängt, muss Ihre E-Mail dann PCI-konform sein? Wir haben die PCI-Anforderungen durchforstet, um diese Frage zu beantworten.

Kann E-Mail PCI-konform sein? Ja, E-Mail kann PCI-konform sein, wenn die E-Mail verschlüsselt ist. Allerdings sind die meisten E-Mails nicht verschlüsselt oder geschützt, was das Senden oder Speichern von Kreditkarteninformationen per E-Mail nicht konform macht. Leider können Verstöße gegen die PCI-Konformität kostspielig sein.

Kennen Sie die Anforderungen für das PCI-konforme Filesharing?

Jetzt Lesen

Was ist PCI-Konformität und was bedeutet das für E-Mails?

PCI ist ein Compliance-Framework für Zahlungsabwickler, Einzelhändler, Händler oder jede Organisation, die Kredit- oder Debitkarten für Zahlungen akzeptiert. Es gibt insgesamt 12 PCI-Anforderungen im PCI-Framework, die Unternehmen erfüllen müssen:

  • Verwenden Sie Firewalls, um Karteninhaberdaten zu schützen
  • Verwenden Sie einzigartige Konfigurationen und Passwörter für Sicherheitssysteme
  • Schützen Sie Karteninhaberdaten
  • Verschlüsseln Sie Datenübertragungen über öffentliche Netzwerke
  • Verwenden Sie aktuelle Anti-Malware-Software
  • Entwickeln und pflegen Sie sichere Systeme und Anwendungen
  • Beschränken Sie den Zugriff auf vertrauliche Daten
  • Weisen Sie jedem Benutzer, der auf Ihre Systeme zugreift, eine eindeutige ID zu
  • Beschränken Sie den physischen Zugriff auf Karteninhaberdaten
  • Verfolgen und überwachen Sie den Benutzerzugriff auf Netzwerkressourcen
  • Führen Sie regelmäßige Tests an Sicherheitssystemen durch
  • Pflegen Sie eine Richtlinie für Informationssicherheit und Personal

Diese PCI-Anforderungen gelten für alle Systeme, Abteilungen und Technologien, durch die persönliche Finanzinformationen fließen. Dies schließt jedes System ein, das Kreditkartennummern, PINs, Kundennamen und -adressen oder Magnetstreifen-/EMV-Chipdaten hat.

Sind per E-Mail gesendete Kreditkartennummern im Geltungsbereich der PCI-Konformität?

Gemäß den PCI-Anforderungen sollten Kreditkarteninformationen nicht über ungeschützte Server und elektronische Post erfasst, übertragen oder gespeichert werden. Dies liegt daran, dass diese Systeme und Protokolle traditionell Informationen als Klartext speichern und übertragen, d.h. unverschlüsselte Daten, die von jedem gelesen werden können, einschließlich unbefugter Mitarbeiter, Hacker, Cyberkriminelle und Identitätsdiebe.

Darüber hinaus haben Sie selbst bei verschlüsselten Daten keine Garantien, dass die Person, mit der Sie Kreditkartendaten teilen, die Daten verschlüsselt oder diese Nachrichten privat hält. Das Teilen sensibler Daten per E-Mail birgt daher ein erhebliches Risiko.

Warum PCI-Konformität aufrechterhalten?

Einfach ausgedrückt, ist die PCI-Konformität ein notwendiger Teil der Annahme von Kreditkartenzahlungen von Kunden. PCI ist nicht vom Staat vorgeschrieben oder durchgesetzt (wie es bei Rahmenbedingungen in Branchen wie Fertigung, Verteidigung oder Gesundheitswesen der Fall ist). Stattdessen wird es von Kreditkartenprozessoren wie Visa, Mastercard und American Express definiert. Darüber hinaus enthalten die meisten Verträge, in denen Sie oder ein Lieferant sich bereit erklären, Zahlungen zu verarbeiten, Bestimmungen für die PCI-Konformität.

Die Aufrechterhaltung der PCI-Konformität ist aus einigen grundlegenden Gründen wichtig:

  • Vermeidung von kostspieligen Strafen, die mit Verstößen gegen die PCI-Konformität verbunden sind, einschließlich Geldstrafen von Kreditkartenprozessoren von bis zu 100.000 $ pro Monat.
  • Minderung von Rückbuchungen und Fällen von Betrug aufgrund laxer Sicherheit.
  • Pflege Ihres Händlerkontos (notwendig zur Zahlungsabwicklung) durch Einhaltung der Compliance und Aufrechterhaltung eines niedrigen Rückbuchungs- oder Betrugsverhältnisses.
  • Schutz der Informationen Ihrer Kunden, Aufrechterhaltung Ihrer Marke und allgemeine ethische und verantwortungsvolle Bedienung Ihres Marktes.

Die Notwendigkeit der PCI-Compliance entsteht durch den unsicheren Austausch von Kundendaten durch Einzelhändler, was zu kostspieligen Datenverletzungen geführt hat.

Schwierigkeiten durch Nichterfüllung der PCI-Anforderungen

Das Nichtbefolgen der PCI kann für Organisationen erhebliche Schwierigkeiten darstellen. Diese Schwierigkeiten können hohe Geldstrafen, Reputationsschäden und Rechtsstreitigkeiten umfassen. Darüber hinaus müssen Organisationen möglicherweise mehr Ressourcen in Systeme und Sicherheitspersonal investieren, um sicherzustellen, dass ihre Systeme den PCI-Standards entsprechen, was erhebliche finanzielle Kosten in Form von Schulungen, Hardware- und Software-Upgrades verursachen kann.

Die Nichterfüllung kann auch erhebliche technische Schwierigkeiten verursachen, da Organisationen möglicherweise nicht in der Lage sind, bestimmte Hardware oder Software zu verwenden, die nicht den PCI-Standards entspricht. Daher müssen Organisationen ständig überwachen, wie sie von der PCI regulierte Daten austauschen sowie die Datensicherheitspraktiken und Hardware-/Softwarelösungen, die zum Schutz dieser Daten eingesetzt werden, um sicherzustellen, dass sie konform bleiben oder das Risiko der schwerwiegenden Probleme im Zusammenhang mit der Nichterfüllung eingehen.

Was sind die PCI-Compliance-Stufen und wie werden sie bestimmt?

Der Data Security Standard (DSS) der Payment Card Industry (PCI) hat vier Compliance-Stufen, die durch die Anzahl der jährlichen Kreditkartentransaktionen eines Unternehmens bestimmt werden.

    Stufe 1 – über 6 Millionen Transaktionen pro Jahr

    Stufe 2 – 1 Million bis 6 Millionen Transaktionen pro Jahr

    Stufe 3 – 20.000 bis 1 Million Transaktionen pro Jahr

    Stufe 4 – weniger als 20.000 Transaktionen pro Jahr

Organisationen, die Kreditkartendaten verarbeiten, speichern oder übertragen, müssen die Anforderungen auf jeder Stufe erfüllen. Je höher die Compliance-Stufe, desto strenger sind die Anforderungen. So muss beispielsweise eine Organisation der Stufe 1 eine jährliche Vor-Ort-Prüfung durch einen qualifizierten Sicherheitsbeauftragten durchführen lassen, während eine Organisation der Stufe 4 möglicherweise selbst bewerten kann.

Top Fünf PCI-Compliance-Verletzungstypen

Organisationen, die gegen die PCI DSS-Compliance verstoßen, tun dies in der Regel aus folgenden Gründen:

  1. Nichtumsetzung erforderlicher Sicherheitsupdates: Dies beinhaltet das Nichtinstallieren von Sicherheitspatches und Updates auf Systemen gemäß den PCI-Standards, was zu Schwachstellen führen kann, die Angreifer ausnutzen können.
  2. Schwache Passwörter: Die Verwendung schwacher Passwörter oder die Wiederverwendung von Passwörtern über mehrere Konten hinweg kann eine Schwachstelle in Ihrem System schaffen, wenn ein Angreifer Zugang zu einem der Konten erhält.
  3. Unsichere Wi-Fi-Netzwerke: Drahtlose Netzwerke sind nicht so sicher wie verkabelte Systeme und können leicht verletzt werden, wenn sie nicht ordnungsgemäß gesichert sind.
  4. Unzureichende Zugriffskontrollen: Das Versäumnis, Kontrollen zur Begrenzung des Zugriffs auf vertrauliche Daten zu implementieren und/oder aufrechtzuerhalten, kann zu Datendiebstahl oder anderen schädlichen Aktivitäten führen.
  5. Keine Überwachung von Sicherheitsereignissen: Das Versäumnis, ein System zur Überwachung und Reaktion auf Sicherheitsereignisse einzurichten oder aufrechtzuerhalten, kann zur Entdeckung und Ausnutzung von Sicherheitslücken führen. Dies kann beinhalten, bestimmte Aktivitäten nicht zu protokollieren, wie z.B. Systemanmeldungen und Änderungen, die zur Erkennung kompromittierter Konten nützlich sein können.

Wichtige Erkenntnisse

  1. E-Mail-Verschlüsselung für PCI-Konformität

    Da Standard-E-Mail-Systeme oft nicht über die notwendigen Sicherheitsmaßnahmen verfügen, stellen Sie sicher, dass Ihre E-Mail-Lösung robuste Verschlüsselungsfunktionen umfasst, was für die PCI-Konformität entscheidend ist.

  2. Risiken und Konsequenzen der Nichteinhaltung

    Sofern nicht die richtigen Vorsichtsmaßnahmen getroffen werden, kann das Versenden von Kreditkarteninformationen per E-Mail zu unbefugtem Zugriff, Datenpannen und Identitätsdiebstahl führen.

  3. Wichtige PCI DSS-Anforderungen

    Unternehmen müssen 12 spezifische PCI DSS-Anforderungen einhalten, einschließlich der Verwendung von Firewalls, Verschlüsselung, Anti-Malware-Software und eindeutigen Benutzer-IDs, unter anderem.

  4. Verständnis der PCI-Konformitätsstufen

    Es gibt vier Stufen der PCI-Konformität, basierend auf der Anzahl der jährlich verarbeiteten Kreditkartentransaktionen. Die Anforderungen an die Konformität werden auf höheren Stufen strenger.

  5. Best Practices für sichere E-Mail-Kommunikation

    Verwenden Sie sichere E-Mail-Plattformen, arbeiten Sie mit Technologieanbietern zusammen, die den Datenschutz priorisieren, schulen Sie Mitarbeiter in Sicherheitspraktiken und vermeiden Sie das Versenden von Kreditkarteninformationen per E-Mail.

Wie kann ich E-Mail auf PCI-konforme Weise nutzen?

Wenn Sie Standard-E-Mails nicht verwenden können, um die PCI-Konformität zu erreichen, wie führen Sie dann Ihr Geschäft effektiv durch?

Sie können tatsächlich Technologien einsetzen, die PCI-konform bleiben, während sie traditionelle Internet-Technologien nutzen. Ihr Ziel ist es, eine sichere Karteninhaberdatenumgebung (CDE) zu schaffen, in der Kundendaten nicht kompromittiert werden. Dies wird sowohl durch konforme interne Praktiken als auch durch sorgfältige Partnerschaften mit Technologieanbietern erreicht. Diese Praktiken beinhalten:

  • Kreditkarteninformationen nicht per Post versenden. Selbstverständlich, aber es lohnt sich zu wiederholen, dass Sie niemals Kundendaten oder Zahlungsinformationen in einem Brief, einschließlich einer Rechnung mit umfangreichen Kundendaten, enthalten sollten.
  • Verwenden Sie sichere Nachrichtenübermittlung per E-Mail, wenn nötig, insbesondere wenn Kundendaten oder Zahlungsinformationen beteiligt sind. Dies beinhaltet das Versenden von sicheren Links, die Benutzer zu konformen Servern führen, die Verschlüsselung und Benutzerzugriffskontrollen nutzen.
  • Adoptieren Sie Technologien, die Unternehmensfunktionalität unterstützen. Während Sie keine Kundendaten per Post versenden werden, müssen Sie diese für verschiedene Zwecke übertragen. Die Nutzung einer sicheren Managed-File-Transfer (MFT) Plattform für PCI-konformes Filesharing, Informationsgovernance und Datenmanagement kann die Einhaltung mehrerer PCI-Anforderungen unterstützen.
  • Arbeiten Sie mit Technologieanbietern zusammen, die Sicherheit unterstützen. Wenn Sie mit einem Cloud- oder SaaS-Anbieter zusammenarbeiten, stellen Sie sicher, dass sie wichtige Sicherheitsfunktionen wie PCI-konformes SFTP (mit der neuesten Verschlüsselung), SIEM-Dienste, Mehrfaktorauthentifizierung, Firewall- und Antimalware-Software enthalten oder unterstützen.
  • Schulen Sie Ihre Mitarbeiter. Dazu gehört die regelmäßige Schulung und Dokumentation dieser Schulungen darüber, wie man neue und bestehende Technologien und Plattformen auf eine sichere Weise nutzt, die den PCI-Anforderungen entspricht.
  • Nutzen Sie Technologien mit unveränderlichen Audit-Trails. Protokollierung und Audits sind entscheidend für die PCI-Konformität, daher sollten Plattformen genutzt werden, die lückenlose Beweisketten für alle Sicherheits- und Datenzugriffsereignisse bieten.

Schützen Sie Kreditkartendaten, vermeiden Sie hohe Strafen und erreichen Sie PCI-Konformität mit Kiteworks

Angesichts der strengen Kontrollen, die erforderlich sind, um Kreditkartendaten per E-Mail zu übertragen, ist es entscheidend, dass Sie sichere Tools dafür verwenden. Kiteworks bietet PCI-konforme Server, die Kundendaten für Dateiübertragungen und E-Mails schützen. Das liegt daran, dass die Kiteworks-Plattform wichtige Funktionen enthält, einschließlich:

  1. Sichere E-Mail: Senden Sie sichere Links, die Empfänger zu einem verschlüsselten Server leiten, um Nachrichten zu lesen und Dateien herunterzuladen. Sensible Kreditkartendaten bleiben sicher und PCI-konform, ohne die Funktionalität zu beeinträchtigen.
  2. Konforme Server: Unsere Cloud- und On-Prem-Server sind 100% PCI-konform und verwenden die richtigen Kontrollen für Benutzerzugriff, Verschlüsselung und mehr, die die 12 Anforderungen des PCI-Rahmens erfüllen. Dies beinhaltet AES-256-Verschlüsselung für Daten im Ruhezustand und TLS 1.2 oder höher für Daten im Transit.
  3. Unternehmensdatensichtbarkeit: Unser CISO-Dashboard bietet die Sichtbarkeit und Berichterstattung, die benötigt wird, um jede Datei zu verfolgen, die in Ihr Unternehmen ein- oder ausgetragen wird, einschließlich wer sie gesendet und empfangen hat und welcher Kanal verwendet wurde (E-Mail, MFT, SFTP, etc.), um die Konformität mit PCI und anderen Datenschutzvorschriften wie DSGVO, HIPAA, CCPA, etc. nachzuweisen.

Erfahren Sie mehr darüber, wie Kiteworks Ihre E-Mail sichern kann, vereinbaren Sie heute eine individuelle Demo von Kiteworks.

Zusätzliche Ressourcen

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks