Die Kosten der PCI DSS-Einhaltung: Ist es das wert?
Wenn ihr ein Unternehmen besitzt oder betreibt, das mit Kreditkartenzahlungen arbeitet, dann kennt ihr wahrscheinlich den Payment Card Industry Data Security Standard (PCI DSS). Dieser Sicherheitsstandard wurde von den großen Kreditkartenunternehmen entwickelt, um Karteninhaber vor Betrug und Datenschutzverletzungen zu schützen. Aber was bedeutet er für euer Unternehmen? Und lohnt es sich, die Kosten für die Einhaltung des Standards zu tragen? Werfen wir einen Blick darauf.
Was ist PCI DSS?
PCI DSS beinhaltet eine Reihe von Anforderungen, die Unternehmen erfüllen müssen, um Kreditkartenzahlungen sicher annehmen, verarbeiten und speichern zu können. Diese Anforderungen reichen von der Netzwerksicherheit bis hin zur Mitarbeiter:innenschulung und dienen dazu, Datenschutzverletzungen zu verhindern und das Betrugsrisiko zu verringern.
Welche Kosten sind mit einer PCI DSS-Compliance verbunden?
Im Bereich der PCI DSS gibt es verschiedene Formate und aus diesem Grund ist es schwierig, eine generelle Aussage bezüglich der Kosten abzugeben. Möchte man eine Kostenschätzung durchführen, so ist ein Compliance-Level zu ermitteln. Hierbei ist jedes Unternehmen individuell zu betrachten – ein Unternehmen mit 15 Anwendern ist weniger kostenintensiv, als ein Unternehmen mit 600 Anwendern. Kann ein Unternehmen einen SAQ vorweisen, so wird dies die Kosten beeinflussen und es ist nicht mit Kosten zurechnen, die ein Vor-Ort-Bericht verursachen würde.
Um eine erste Kosteneinschätzung zu erhalten, sollte ein Unternehmen einen professionellen Dienstleister kontaktieren, der sich auf den Bereich Datensicherheit und den Bereich der PCI DSS-Compliance spezialisiert hat.
Betrachtet man große Unternehmen, welches mit Millionen von Zahlungen im Jahr arbeitet, so kann man mit Aufwänden zwischen 50.000 bis 200.000 US-Dollar für einen Compliance-Bericht rechnen. Ein kleineres Unternehmen, welches eine SAQ oder eine Konformitätsbescheinigung vorweisen kann, wird mit Kosten im Bereich von 20.000 US-Dollar rechnen müssen.
Grundsätzlich ist die Größe der Unternehmung ein wichtiger Faktor, aber auch die Geschäftsart wird in eine Preisfindung einfließen. Gleichzeitig sind die Kundenanforderungen und die Vorgaben der Bank zu beachten. Einen weiteren, wichtigen Wert stellt die Anzahl der jährlich getätigten Transaktionen dar. Grundsätzlich wird ein Angebot individuell erstellt werden, da ein kleiner Onlineshop mit wenigen Kreditkartentransaktionen einen wesentlich kleineren Aufwand bedeuten wird, als ein Unternehmen, welches global agiert und sehr viele Kreditkartentransaktionen vorweisen kann. Ein weiterer Faktor ist, ob ein Unternehmen sich auf eine Zertifizierung vorbereitet hat oder ob Prozesse, Richtlinien und Systemkomponenten erst auf den neusten Stand gebracht werden müssen.
Ist es das wert?
Die kurze Antwort lautet: Ja. Die Kosten für die Einhaltung des PCI DSS sind ein Tropfen auf den heißen Stein im Vergleich zu den Kosten einer Datenpanne. Selbst wenn ihr von einem Datenschutzverstoß betroffen wärt und alle damit verbundenen Kosten - einschließlich Geldstrafen, Anwaltskosten, Kundenbenachrichtigungen und Kreditüberwachungsdienste - tragen müsstet, würdet ihr wahrscheinlich immer noch finanziell besser dastehen, wenn ihr PCI DSS-konform seid. Und dabei ist noch nicht einmal der Schaden für euren Ruf berücksichtigt, der durch eine Datenschutzverletzung wahrscheinlich entstehen würde.
Fazit
Ist die Einhaltung von PCI DSS also die Kosten wert? Unserer Meinung nach lautet die Antwort: Ja. Die finanziellen Risiken, die mit der Nichteinhaltung der Vorschriften verbunden sind, sind einfach zu groß. Darüber hinaus kann die Einhaltung von PCI DSS dazu beitragen, die allgemeine Sicherheitslage eures Unternehmens zu verbessern, was nie eine schlechte Sache ist.
