PCI FAQs
Willkommen im PCI Compliance Guide.
Klicken Sie auf die untenstehenden Links, um Antworten auf häufig gestellte Fragen zu finden.
Q1: | Was ist PCI? |
Q2: | Für wen gilt der PCI DSS? |
Q3: | Wo finde ich den PCI Data Security Standard (PCI DSS)? |
Q4: | Was sind die PCI-Konformitätsstufen und wie werden sie bestimmt? |
Q5: | Was muss ein kleines bis mittleres Unternehmen (Level 4 Merchant) tun, um die PCI DSS-Anforderungen zu erfüllen? |
Q6: | Wie funktioniert die Entgegennahme von Kreditkarten per Telefon mit PCI? |
F7: | Gilt PCI DSS weiterhin für mich, wenn ich nur Kreditkarten über das Telefon akzeptiere? |
Q8: | Müssen Organisationen, die Prozessoren von Drittanbietern verwenden, PCI DSS-konform sein? |
Q9: | Mein Unternehmen hat mehrere Standorte, ist jeder Standort erforderlich, um die PCI-Konformität zu überprüfen? |
Q10: | Wir machen nur E-Commerce. Welche SAQ sollten wir verwenden? |
Q11: | Mein Unternehmen speichert keine Kreditkartendaten, sodass die PCI-Konformität für uns nicht gilt, oder? |
Q12: | Sind Debitkartentransaktionen im Geltungsbereich von PCI? |
Q13: | Bin ich PCI-konform, wenn ich ein SSL-Zertifikat habe? |
Q14: | Mein Unternehmen möchte Kreditkartendaten speichern. Welche Methoden können wir verwenden? |
Q15: | Was sind die Strafen für die Nichteinhaltung? |
Q16: | Was ist definiert als ‚Karteninhaberdaten‘? |
Q17: | Was ist die Definition von ‚Händler‘? |
Q18: | Was ist ein Dienstleister? |
Q19: | Was ist ein Zahlungsantrag? |
Q20: | Was ist ein Zahlungsgateway? |
Q21: | Was ist PA-DSS? |
Q22: | Kann die vollständige Kreditkartennummer auf der Kopie der Quittung des Verbrauchers gedruckt werden? |
Q23: | Muss ich Schwachstellen scannen, um die Compliance zu überprüfen? |
Q24: | Was ist ein Schwachstellenscan? |
Q25: | Wie oft muss ich einen Schwachstellenscan durchführen lassen? |
Q26: | Was wenn mein unternehmen weigert sich zu kooperieren? |
Q27: | Wenn ich ein Geschäft von zu Hause aus leite, bin ich ein ernstes Ziel für Hacker? |
Q28: | Was soll ich tun, wenn ich kompromittiert bin? |
Q29: | Haben Staaten Gesetze, die Benachrichtigungen über Datenverstöße an die betroffenen Parteien vorschreiben? |
Q1: Was ist PCI?
A: Der Payment Card Industry Data Security Standard (PCI DSS) ist eine Reihe von Sicherheitsstandards, die sicherstellen sollen, dass ALLE Unternehmen, die Kreditkarteninformationen akzeptieren, verarbeiten, speichern oder übertragen, eine sichere Umgebung aufrechterhalten.Der Payment Card Industry Security Standards Council (PCI SSC) wurde am 7. September 2006 ins Leben gerufen, um die fortlaufende Entwicklung der Sicherheitsstandards der Payment Card Industry (PCI) mit dem Schwerpunkt auf der Verbesserung der Sicherheit von Zahlungskonten während des gesamten Transaktionsprozesses zu verwalten. Das PCI DSS wird vom PCI SSC (www.pcisecuritystandards.org ), eine unabhängige Stelle, die von den großen Zahlungskartenmarken (Visa, MasterCard, American Express, Discover und JCB) gegründet wurde.). Es ist wichtig zu beachten, dass die Zahlungsmarken und Acquirer für die Durchsetzung der Compliance verantwortlich sind, nicht der PCI Council. Eine Kopie des PCI DSS finden Sie hier.
Zurück nach oben
F2: Für wen gilt der PCI DSS?
A: Der PCI DSS gilt für JEDE Organisation, unabhängig von der Größe oder Anzahl der Transaktionen, die Karteninhaberdaten akzeptiert, überträgt oder speichert.
Zurück zum Anfang
Q3: Wo finde ich den PCI Data Security Standard (PCI DSS)?
A: Die aktuellen PCI DSS-Dokumente finden Sie auf der Website des PCI Security Standards Council.
Zurück nach oben
Q4: Was sind die PCI-Konformitätsstufen und wie werden sie bestimmt?
A: Alle Händler fallen in eine der vier Händlerstufen, basierend auf dem Transaktionsvolumen von Visa über einen Zeitraum von 12 Monaten. Das Transaktionsvolumen basiert auf der Gesamtzahl der Visa-Transaktionen (einschließlich Kredit-, Debit- und Prepaid-Transaktionen) eines Händlers, der als (‚DBA‘) tätig ist. In Fällen, in denen ein Händlerunternehmen über mehr als einen DBA verfügt, müssen Visa-Acquirer das Gesamtvolumen der von der Unternehmenseinheit gespeicherten, verarbeiteten oder übertragenen Transaktionen berücksichtigen, um den Validierungsgrad zu bestimmen. Wenn die Daten nicht aggregiert werden, sodass die Unternehmenseinheit keine Karteninhaberdaten im Auftrag mehrerer DBAs speichert, verarbeitet oder übermittelt, berücksichtigen die Acquirer weiterhin das individuelle Transaktionsvolumen des DBAs, um den Validierungsgrad zu bestimmen.
Händlerlevel wie von Visa definiert:
Händlerebene | Beschreibung |
1 | Jeder Händler — unabhängig vom Akzeptanzkanal — verarbeitung von über 6 Millionen Visa-Transaktionen pro Jahr. Jeder Händler, den Visa nach eigenem Ermessen bestimmt, sollte die Händleranforderungen der Stufe 1 erfüllen, um das Risiko für das Visa-System zu minimieren. |
2 | Jeder Händler — unabhängig vom Akzeptanzkanal — verarbeitet 1M bis 6M Visa-Transaktionen pro Jahr. |
3 | Jeder Händler verarbeitet 20,000 zu 1M Visa E-Commerce-Transaktionen pro Jahr. |
4 | Jeder Händler, der weniger als 20.000 Visa-E—Commerce—Transaktionen pro Jahr verarbeitet, und alle anderen Händler – unabhängig vom Akzeptanzkanal – verarbeiten bis zu 1 Million Visa-Transaktionen pro Jahr. |
* Jeder Händler, der einen Verstoß erlitten hat, der zu einer Kompromittierung der Kontodaten geführt hat, kann auf eine höhere Validierungsstufe eskaliert werden.
Zurück nach oben
Q5: Was muss ein kleines bis mittleres Unternehmen (Level 4 Merchant) tun, um die PCI DSS-Anforderungen zu erfüllen?
A: Um die Anforderungen von PCI zu erfüllen, muss ein Händler die folgenden Schritte ausführen:
- Bestimmen Sie, welchen Self-Assessment Questionnaire (SAQ) Ihr Unternehmen zur Validierung der Compliance verwenden soll. Sehen Sie sich die Tabelle unten an, um Ihnen bei der Auswahl zu helfen. (Zum Vergrößern Diagramm anklicken.)
- Füllen Sie den Fragebogen zur Selbsteinschätzung gemäß den darin enthaltenen Anweisungen aus.
- Führen Sie einen bestandenen Schwachstellenscan mit einem PCI SSC Approved Scanning Vendor (ASV) durch und erhalten Sie den Nachweis dafür. Hinweis: gilt nicht für alle Händler. Es ist für SAQ A-EP, SAQ B-IP, SAQ C, SAQ D-Merchant und SAQ D-Service Provider erforderlich.
- Füllen Sie die entsprechende Konformitätsbescheinigung vollständig aus (im SAQ-Tool).
- Senden Sie die SAQ, den Nachweis eines bestandenen Scans (falls zutreffend) und die Konformitätsbescheinigung zusammen mit allen anderen angeforderten Unterlagen an Ihren Acquirer.
Lesen Sie unseren Blogbeitrag „Die PCI-Grundlagen/ Kurzanleitung – Was müssen kleine Händler tun, um die PCI-Compliance zu erreichen?“
Zurück nach oben
F6: Wie funktioniert die Entgegennahme von Kreditkarten per Telefon mit PCI?
A: Der folgende Beitrag, „Wie funktioniert Kreditkarten per Telefon Arbeit mit PCI nehmen?“ erläutert Ihre PCI-Compliance-Verantwortlichkeiten bei der Entgegennahme von Kreditkarteninformationen über das Telefon (z. B. in einem Callcenter). Beachten Sie, dass dieser Beitrag zwar 2014 veröffentlicht wurde, aber mit der aktuellen Version des PCI DSS weiterhin relevant ist.
Zurück nach oben
Q7: Wenn ich nur Kreditkarten über das Telefon akzeptiere, gilt PCI DSS dann noch für mich?
A: Ja. Alle Unternehmen, die Zahlungskartendaten speichern, verarbeiten oder übertragen, müssen PCI-konform sein.
Zurück nach oben
Q8: Müssen Unternehmen, die Prozessoren von Drittanbietern verwenden, PCI DSS-konform sein?
A: Ja. Die bloße Verwendung eines Drittunternehmens schließt ein Unternehmen nicht von der PCI DSS-Compliance aus. Es kann ihre Risikoexposition verringern und folglich den Aufwand für die Validierung der Einhaltung verringern. Dies bedeutet jedoch nicht, dass sie den PCI DSS ignorieren können.
Zurück nach oben
Q9: Mein Unternehmen hat mehrere Standorte, ist jeder Standort erforderlich, um die PCI-Konformität zu validieren?
A: Wenn Ihre Geschäftsstandorte unter derselben Steuernummer verarbeiten, müssen Sie in der Regel nur einmal jährlich für alle Standorte validieren. Senden Sie vierteljährliche Netzwerk-Scans von einem PCI SSC Approved Scanning Vendor (ASV) für jeden Standort, falls zutreffend.
Zurück nach oben
Q10: Wir machen nur E-Commerce. Welche SAQ sollten wir verwenden?
A: Es hängt davon ab, wie Ihr Warenkorb eingerichtet ist. Siehe PCI SAQ 3.1: E-Commerce-Optionen erläutert.
Zurück nach oben
Q11: Mein Unternehmen speichert keine Kreditkartendaten, sodass die PCI-Konformität für uns nicht gilt, oder?
A: Wenn Sie Kredit- oder Debitkarten als Zahlungsmittel akzeptieren, gilt für Sie die PCI-Konformität. Wenn Sie also keine Kartendaten speichern, ist es möglicherweise einfacher, sicher und konform zu werden.
Zurück zum Seitenanfang
Q12: Sind Debitkartentransaktionen für PCI zulässig?
EIN: Zu den In-Scope-Karten gehören alle Debit-, Kredit– und Prepaid-Karten, die mit einem der fünf Markenlogos der Card Association versehen sind, die am PCI SSC teilnehmen – American Express, Discover, JCB, MasterCard und Visa International.
Zurück nach oben
Q13: Bin ich PCI-konform, wenn ich ein SSL-Zertifikat habe?
A: Nein. SSL-Zertifikate schützen einen Webserver nicht vor böswilligen Angriffen oder Eindringlingen. SSL-Zertifikate mit hoher Sicherheit bieten die erste Stufe der Kundensicherheit und -sicherheit wie die folgenden, Es gibt jedoch noch andere Schritte, um die PCI-Konformität zu erreichen. Siehe Frage „Was muss ein kleines bis mittleres Unternehmen (Level 4 Merchant) tun, um die PCI-Anforderungen zu erfüllen?“
- Eine sichere Verbindung zwischen dem Browser des Kunden und dem Webserver
- Validierung, dass die Websitebetreiber eine legitime, rechtlich verantwortliche Organisation sind
Siehe verwandten Blogbeitrag „PCI DSS v3.1 und SSL: Was Sie JETZT tun sollten.“
Zurück nach oben
Q14: Mein Unternehmen möchte Kreditkartendaten speichern. Welche Methoden können wir verwenden?
A: Die meisten Händler, die Kreditkartendaten speichern müssen, tun dies für wiederkehrende Abrechnungen. Der beste Weg, Kreditkartendaten für wiederkehrende Abrechnungen zu speichern, ist die Verwendung eines Drittanbieter-Kreditkarten-Tresors und Tokenisierungsanbieters. Durch die Verwendung eines Tresors werden die Kartendaten aus Ihrem Besitz entfernt und Sie erhalten ein „Token“ zurück, das für wiederkehrende Abrechnungen verwendet werden kann. Durch die Verwendung eines Dritten übertragen Sie das Risiko der Speicherung von Kartendaten auf jemanden, der sich darauf spezialisiert hat und über alle Sicherheitskontrollen verfügt, um die Kartendaten zu schützen.
Wenn Sie die Kartendaten selbst speichern müssen, ist die Messlatte für die Selbsteinschätzung sehr hoch und Sie müssen möglicherweise einen QSA (Qualified Security Assessor) vor Ort haben, der ein Audit durchführt, um sicherzustellen, dass Sie über alle erforderlichen Kontrollen verfügen, um die PCI DSS-Spezifikationen zu erfüllen.
Siehe dazu den Blogbeitrag „Können wir Kartendaten für wiederkehrende Rechnungen sicher speichern?“
Zurück zum Anfang
Q15: Was sind die Strafen für die Nichteinhaltung?
A: Die Zahlungsmarken können nach eigenem Ermessen eine Geldstrafe von 5.000 bis 100.000 US-Dollar pro Monat für Verstöße gegen die PCI-Compliance verhängen. Die Banken werden diese Geldbuße höchstwahrscheinlich weitergeben, bis sie schließlich den Händler trifft. Darüber hinaus wird die Bank höchstwahrscheinlich entweder Ihre Beziehung beenden oder die Transaktionsgebühren erhöhen. Strafen werden weder offen diskutiert noch allgemein bekannt gemacht, aber sie können für ein kleines Unternehmen katastrophal sein. Es ist wichtig, mit Ihrer Händlerkontovereinbarung vertraut zu sein, die Ihr Engagement beschreiben sollte.Lesen Sie mehr über die Strafen bei Nichteinhaltung in unserem Blogbeitrag „Wie können Ihre PCI-Compliance-Bemühungen letztendlich Ihrem Unternehmen Geld sparen?“
Zurück nach oben
Q16: Was ist definiert als ‚Karteninhaberdaten‘?
A: Der PCI Security Standards Council (SSC) definiert ‚Karteninhaberdaten‘ als die vollständige primäre Kontonummer (PAN) oder die vollständige PAN zusammen mit einem der folgenden Elemente:
- Name des Karteninhabers
- Ablaufdatum
- Service-Code
Sensible Authentifizierungsdaten, die ebenfalls geschützt werden müssen, umfassen vollständige Magnetstreifendaten, CAV2, CVC2, CVV2, CID, PINs, PIN-Blöcke und mehr.
Zurück zum Anfang
Q17: Was ist die Definition von ‚Händler‘?
EIN: Für die Zwecke des PCI DSS ist ein Händler definiert als jede Einheit, die Zahlungskarten mit den Logos eines der fünf Mitglieder des PCI SSC (American Express, Discover, JCB, MasterCard oder Visa) als Zahlung für Waren und / oder Dienstleistungen akzeptiert. Beachten Sie, dass ein Händler, der Zahlungskarten als Zahlungsmittel für Waren und / oder Dienstleistungen akzeptiert, auch ein Dienstleister sein kann, wenn die verkauften Dienstleistungen dazu führen, dass Karteninhaberdaten im Auftrag anderer Händler oder Dienstleister gespeichert, verarbeitet oder übertragen werden. Ein ISP ist beispielsweise ein Händler, der Zahlungskarten für die monatliche Abrechnung akzeptiert, aber auch ein Dienstanbieter, wenn er Händler als Kunden hostet. Quelle: PCI SSC
Zurück nach oben
Q18: Was ist ein Service Provider?
A: Der PCI SSC definiert einen Dienstleister folgendermaßen:
„Geschäftseinheit, die keine Zahlungsmarke ist, die direkt an der Verarbeitung, Speicherung oder Übertragung von Karteninhaberdaten beteiligt ist. Dazu gehören auch Unternehmen, die Dienstleistungen erbringen, die die Sicherheit von Karteninhaberdaten kontrollieren oder beeinträchtigen könnten.“ (Quelle: www.pcisecuritystandards.die Rolle des „Händlers als Dienstleister“ wird vom PCI SSC weiter spezifiziert als „ein Händler, der Zahlungskarten als Zahlungsmittel für Waren und / oder Dienstleistungen akzeptiert … wenn die verkauften Dienstleistungen dazu führen, dass Karteninhaberdaten im Auftrag anderer Händler oder Dienstleister gespeichert, verarbeitet oder übertragen werden.“ Erfahren Sie mehr darüber, wie Sie als Dienstleister Compliance erreichen. Siehe unseren Blogbeitrag „PCI-Compliance und der Dienstleister.“
Zurück nach oben
Q19: Was ist ein Zahlungsantrag?
A: Was macht eine Zahlungsanwendung in Bezug auf die PCI-Konformität aus? Der Begriff Zahlungsanwendung hat in der PCI eine sehr breite Bedeutung. Eine Zahlungsanwendung ist alles, was Kartendaten elektronisch speichert, verarbeitet oder überträgt. Dies bedeutet, dass alles aus einem Point-of-Sale-System (z. B. Verifone Swipe-Terminals, ALOHA-Terminals usw.) in einem Restaurant zu einer Website E-Commerce-Warenkorb (zB CreLoaded, osCommerce, etc) sind alle als Zahlungsanwendungen klassifiziert. Daher wird jede Software, die zum Berühren von Kreditkartendaten entwickelt wurde, als Zahlungsanwendung betrachtet.
Zurück zum Anfang
Q20: Was ist ein Zahlungsgateway?
EIN: Zahlungs-Gateways verbinden einen Händler mit der Bank oder dem Prozessor, der als Front-End-Verbindung zum Kartenanbieter fungiert. Sie werden als Gateways bezeichnet, da sie viele Eingaben aus einer Vielzahl verschiedener Anwendungen entgegennehmen und diese Eingaben an die entsprechende Bank oder den entsprechenden Prozessor weiterleiten. Gateways kommunizieren mit der Bank oder dem Prozessor über DFÜ-Verbindungen, webbasierte Verbindungen oder private Mietleitungen.
Zurück zum Anfang
Q21: Was ist PA-DSS?
EIN: PA-DSS bezieht sich auf den Payment Application Data Security Standard, der vom PCI Security Standards Council (SSC) verwaltet wird, um das kritische Problem der Sicherheit von Zahlungsanwendungen anzugehen. Die Anforderungen innerhalb des PA-DSS sollen sicherstellen, dass Anbieter Produkte bereitstellen, die die Bemühungen der Händler unterstützen, die PCI-DSS-Konformität aufrechtzuerhalten und die Speicherung sensibler Karteninhaberdaten zu vermeiden.
Der PCI SSC verwaltet das Programm zur Überprüfung der Konformität von Zahlungsanwendungen mit dem PA-DSS und veröffentlicht und verwaltet eine Liste von PA-DSS-validierten Anwendungen. Weitere Informationen finden Sie unter PCI-Sicherheitsstandards. Lesen Sie auch unseren Blogbeitrag zum kritischen Unterschied zwischen PCI DSS und PA-DSS hier.
Zurück nach oben
Q22: Kann die vollständige Kreditkartennummer auf der Kopie der Quittung des Verbrauchers gedruckt werden?
A: PCI DSS requirement 3.3 gibt bei der Anzeige „Mask“ an (die ersten sechs und letzten vier Ziffern sind die maximal anzuzeigende Anzahl von Ziffern).“ Obwohl die Anforderung das Drucken der vollständigen Kartennummer oder des Ablaufdatums auf Quittungen (entweder der Händlerkopie oder der Verbraucherkopie) nicht verbietet, beachten Sie bitte, dass PCI DSS keine anderen Gesetze außer Kraft setzt, die festlegen, was auf Quittungen gedruckt werden darf (wie z. B. das US-amerikanische Fair and Accurate Credit Transactions Act (FACTA) oder andere anwendbare Gesetze).
Siehe kursiven Hinweis unter PCI DSS requirement 3.3 „Hinweis: Diese Anforderung ersetzt nicht strengere Anforderungen an die Anzeige von Karteninhaberdaten— z. B. gesetzliche Anforderungen oder Anforderungen an die Zahlungskartenmarke für Kassenbelege. Alle von Händlern gespeicherten Papierbelege müssen dem PCI DSS entsprechen, insbesondere Anforderung 9 in Bezug auf physische Sicherheit“. Quelle: PCI SSC
Zurück zum Seitenanfang
Q23: Benötige ich Schwachstellen-Scans, um die Compliance zu überprüfen?
EIN: Wenn Sie sich für bestimmte Self-Assessment-Fragebögen (SAQs) qualifizieren oder Karteninhaberdaten nach der Autorisierung elektronisch speichern, ist ein vierteljährlicher Scan durch einen PCI SSC Approved Scanning Vendor (ASV) erforderlich, um die Compliance aufrechtzuerhalten. Wenn Sie sich für eine der folgenden SAQs unter Version 3 qualifizieren.x des PCI DSS, dann müssen Sie einen bestandenen ASV-Scan durchführen:
- SAQ A-EP
- SAQ B-IP
- SAQ C
- SAQ D-Händler
- SAQ D-Dienstanbieter
Zurück nach oben
Q24: Was ist ein Schwachstellenscan?
EIN: Bei einem Schwachstellenscan handelt es sich um ein automatisiertes Tool, das die Systeme eines Händlers oder Dienstleisters auf Schwachstellen überprüft. Das Tool führt einen nicht aufdringlichen Scan durch, um Netzwerke und Webanwendungen basierend auf den vom Händler oder Dienstanbieter bereitgestellten IP-Adressen (External Facing Internet Protocol) aus der Ferne zu überprüfen. Der Scan identifiziert Schwachstellen in Betriebssystemen, Diensten und Geräten, die von Hackern verwendet werden könnten, um das private Netzwerk des Unternehmens anzugreifen. Wie von einem zugelassenen Scan-Anbieter (ASVS) wie ControlScan bereitgestellt, erfordert der Scan nicht, dass der Händler oder Dienstanbieter Software auf seinen Systemen installiert, und es werden keine Denial-of-Service-Angriffe durchgeführt. Erfahren Sie hier mehr über Schwachstellenscans.
Zurück zum Anfang
Q25: Wie oft muss ich einen Schwachstellenscan durchführen lassen?
A: Alle 90 Tage / einmal pro Quartal müssen diejenigen, die die oben genannten Kriterien erfüllen, einen bestandenen Scan einreichen. Händler und Dienstleister sollten Compliance-Unterlagen (erfolgreiche Scan-Berichte) gemäß dem von ihrem Acquirer festgelegten Zeitplan einreichen. Scans müssen von einem PCI SSC Approved Scanning Vendor (ASV) wie ControlScan durchgeführt werden.
Siehe dazu den Blogbeitrag „Interne vs. externe Schwachstellenscans: Warum Sie beides brauchen.“
Zurück zum Anfang
Q26: Was ist, wenn mein Unternehmen sich weigert zu kooperieren?
A: PCI ist an sich kein Gesetz. Der Standard wurde von den großen Kartenmarken Visa, MasterCard, Discover, AMEX und JCB entwickelt. Nach Ermessen der Acquirer / Dienstleister können Händler, die PCI DSS nicht einhalten, mit Geldbußen, Kartenersatzkosten, kostspieligen forensischen Audits, Markenschäden usw. belegt werden., sollte ein Verletzungsereignis auftreten.
Mit ein wenig Vorlaufzeit und Kosten zur Einhaltung des PCI DSS tragen Sie wesentlich dazu bei, das Risiko dieser äußerst unangenehmen und kostspieligen Folgen zu verringern. Erfahren Sie, wie ControlScan PCI DSS vereinfacht.
Zurück zum Anfang
Q27: Wenn ich ein Geschäft von zu Hause aus leite, bin ich ein ernstes Ziel für Hacker?
A: Ja. Heimanwender sind wohl am anfälligsten, weil sie normalerweise nicht gut geschützt sind. Die Annahme eines ‚Weg des geringsten Widerstands‘ Modell, Eindringlinge werden oft Null-in auf Heimanwender-oft ihre always-on-Breitbandverbindungen und typische Heimnutzung Programme wie Chat ausnutzen, Internet-Spiele und P2P-File-Sharing-Anwendungen. Mit dem Scanservice von ControlScan können Heimanwender und Netzwerkadministratoren Sicherheitslücken auf ihren Desktop- oder Laptopcomputern identifizieren und beheben.
Siehe den entsprechenden Blogbeitrag „5 Best Practices zum Sichern Ihres kleinen Geschäfts.“
Zurück zum Anfang
Q28: Was soll ich tun, wenn ich kompromittiert bin?
A: Obwohl viele Datenschutzverletzungen bei Zahlungskarten leicht vermeidbar sind, können sie Unternehmen jeder Größe passieren.
Wenn Ihr kleines oder mittleres Unternehmen entdeckt hat, dass es verletzt wurde, gibt es viele gute Ressourcen, die Ihnen bei den nächsten Schritten helfen. Wir empfehlen folgendes:
- Department of Justice, Best Practices for Victim Response and Reporting of Cyber Incidents
- PCI Council, Responding to a Data Breach – A How-to Guide for Incident Management
- Electronic Transactions Association (ETA), Data Breach Response: A Nine-Step Guide for Smaller Merchants
Zurück zum Seitenanfang
Q29: Haben Staaten Gesetze, die Benachrichtigungen über Datenverletzungen an die betroffenen Parteien vorschreiben?
A: Absolut. Kalifornien ist der Katalysator für die Meldung von Datenschutzverletzungen an betroffene Parteien. Der Staat hat sein Breach Notification Law im Jahr 2003 eingeführt, und jetzt hat fast jeder Staat ein ähnliches Gesetz.
Ab dem 12. April 2017, NCSL.org Achtundvierzig Staaten, der District of Columbia, Guam, Puerto Rico und die Jungferninseln haben Gesetze erlassen, die private, staatliche oder Bildungseinrichtungen dazu verpflichten, Einzelpersonen über Sicherheitsverletzungen von Informationen zu informieren, die personenbezogene Daten betreffen.
Zurück nach oben
Leave a Reply