Cyber Security and Compliance

usd AG News, PCI Security Services

From the latest E-Finance Lab Newsletter: Manfred Tubach, CEO usd AG, about Cyber Security and Compliance.
When it comes to everyday life, we instinctively recognize danger. People are alarmed and, for example, subconsciously start to walk faster. In the digital world, however, our senses and reflexes fail. Recognizing and defending threats in this digital environment requires awareness, knowledge, and effort.
Experts have long been warning us of ever new and increasingly dramatic threats under the catchphrase of “cyber security”. A vast number of articles, standards, and laws address this topic. Depending on their intent, the various authors worry about public welfare, vital infrastructure, specific data, individual sectors, and – nine times out of ten – small and medium-sized enterprises. Security experts very often find such recommendations and regulations too vague and thus of little help. What are, for example, “appropriate state-of-the-art security measures“ as required in contracts or insurance terms and conditions?
Managers with no expertise in IT have always had trouble making decisions in this field. It is even more difficult for them to decide about complex IT security measures, as costs are high and benefits vague. Imagine your company urgently needs a new corporate mobile app. Features, dates, and budgets are clear, security is of course requested but remains hazy regarding ist contents. Which items will be cut when things get tight? Functionality? The cool design? Or the security concepts, vulnerability analyses, and security audits?
The payment card industry, which has been an attractive target for criminals for many years, solved these questions by creating the Payment Card Industry Data Security Standard or PCI DSS for short. All payment card organizations, be it VISA, MasterCard, American Express, JCB or Discover, require compliance with this standard which is defined and continuously updated by a central council. Any company worldwide that comes into contact with payment card data has to be PCI DSS compliant. The standard precisely defines who has to do what, depending on size, role, and risk. The requirements, that amount to well in excess of 200 at the top end, concern technical, organizational, and awareness issues for employees. Security analyses and certifications may only be conducted by accredited and certified auditors whose suitability and results are continuously monitored. Companies that are PCI DSS compliant benefit from safe harbor rules, all the others pay risk premiums, bear existential risks, or are excluded from the market.
As a PCI Qualified Security Assessor, we provide consulting services to and certify thousands of companies world-wide, including online stores, large merchants, payment service providers, processors, and acquirers. Even though we make every effort to Support our customers, it is still challenging for them to sustainably fulfill the required actions. It is very helpful that the wording of the requirements is relatively practical and precise thus making decisions easier and improving the quality of solutions and services. As a result, companies don’t only become “PCI DSS compliant”, they also reduce their risks through increased
security.
Many security managers who want to improve IT security or have to comply with only a few precise security requirements adapt the concepts, tools, processes, and trainings of the PCI environment. This enables them initially to save time and money. However, we find that it is more important that management, customers, and business partners intuitively understand and appreciate the message: “In the field of cyber security, we are aligned with the requirements of the payment card industry.“
———————————————————————————–
Im normalen Leben spüren Menschen Gefahren instinktiv. Wir sind alarmiert, gehen beispielsweise ohne nachzudenken schneller und reduzieren so instinktiv unser Risiko auf ein für uns akzeptables Maß. In der digitalen Welt versagen unsere Sinne und Reflexe. Die Erkennung und Abwehr von Gefahren bedarf hier technischem Wissen auf aktuellem Stand, ständiger Aufmerksamkeit und disziplinierter Arbeit.
Seit Langem warnen uns Experten unter dem Schlagwort „Cybersecurity“ vor immer neuen, immer dramatischeren Gefahren. Unzählige Artikel, Standards und immer mehr Gesetze adressieren das Thema. Je nach Auftrag, sorgen sich die diversen Verfasser um das Gemeinwohl, kritische Infrastrukturen, spezielle Daten, einzelne Branchen und fast immer um den Mittelstand. Sicherheitsexperten beurteilen die jeweiligen Empfehlungen und Vorschriften meist als zu wenig konkret und damit sachlich nicht hilfreich. Was sind denn beispielsweise „angemessene Sicherheitsmaßnahmen gemäß dem Stand der Technik“, wie sie in Verträgen oder Versicherungsbedingungen gefordert werden? Wenn sich selbst Sony oder der Deutsche Bundestag nicht vor Cyberangriffen schützen können, kann das dann dauerhaft einem Finanzdienstleister oder Fintech gelingen?
Schon immer tun sich fachfremde Manager in Unternehmen schwer, Entscheidungen im IT-Bereich zu treffen. Noch schwerer fällt die Entscheidung über komplexe IT-Sicherheitsmaßnahmen, denn deren Kosten sind hoch und ihr Nutzen vage. Stellen Sie sich vor, Ihr Unternehmen braucht dringend eine eigene mobile App. Funktionen, Termine und Budgets sind klar, Sicherheit wird natürlich gewünscht, bleibt aber inhaltlich nebulös. An was wird wahrscheinlich gespart, wenn es eng wird? An der Funktionalität? Am coolen Design? Oder an Sicherheitskonzepten, Schwachstellenanalysen und Security Audits?
Die Kreditkartenindustrie, seit vielen Jahren im Fokus von Kriminellen, hat diese Fragen mit dem Payment Card Industry Data Security Standard, kurz PCI DSS, erfolgreich beantwortet. Alle Kreditkartenorganisationen fordern seine Einhaltung, egal ob VISA, MasterCard, American Express, JCB und Discover. Ein zentrales Council bestimmt über den Sicherheitsstandard und aktualisiert ihn fortlaufend. Jedes Unternehmen weltweit, das mit Kreditkartendaten in Berührung kommt, muss PCI DSS compliant sein, also die dokumentierten Anforderungen erfüllen. Im Standard ist präzise definiert, wer was in Abhängigkeit von Größe, Rolle und Risiko zu tun hat. Die in der Spitze weit über 200 Requirements betreffen Technik, Organisation und Awareness-Programme für Mitarbeiter. Sicherheitsanalysen und Zertifizierungen dürfen nur von akkreditierten und zertifizierten Auditoren durchgeführt werden, deren Eignung und Ergebnisse fortwährend überwacht werden. Unternehmen die PCI DSS compliant sind, profitieren von Safe Harbour Regeln. Alle anderen zahlen Risikoprämien, tragen existentielle Risiken oder scheiden aus dem Markt aus.
Als PCI Qualified Security Assessor beraten und zertifizieren wir tausende Unternehmen, darunter Webshops, große Merchants, Payment-Service-Provider, Prozessoren oder Acquirer. Und obwohl wir nach Kräften konkrete Hilfestellung geben, ist die nachhaltige Erfüllung der geforderten Maßnahmen für unsere Kunden herausfordernd. Hilfreich für die Handelnden ist, dass die Requirements vergleichsweise praxisgerecht und konkret formuliert sind, denn so vereinfachen sie Entscheidungen und verbessern die Qualität von Lösungen und Services. Im Ergebnis werden Unternehmen also nicht nur „PCI DSS compliant“, sondern reduzieren ihr Risiko durch „More Security“.
Viele Unternehmen, die ihre IT-Sicherheit verbessern wollen oder wenig konkrete Sicherheitsanforderungen erfüllen müssen, adaptieren die im PCI Umfeld bewährten Konzepte, Tools, Prozesse oder Schulungen. Zuerst sparen sie so Zeit und Geld. Nach unseren Erfahrungen ist aber wichtiger, dass Management, Kunden und Geschäftspartner die Botschaft „Wir orientieren uns im Bereich Cybersecurity an den Vorgaben der Kreditkartenindustrie“ intuitiv verstehen und wertschätzen.