Advertisement

HMD Praxis der Wirtschaftsinformatik

, Volume 55, Issue 5, pp 1110–1127 | Cite as

Synergien bei der Implementierung des Kreditkartensicherheitsstandards PCI-DSS durch ISO 2700x, ISO 20000 und ITIL

  • Henrich Brandes
Spektrum

Zusammenfassung

Organisationen richten ihre IT vielfach nach Standards aus, die den Stand der Technik darstellen. Dabei sind die Implementierung eines Standards und die vorzunehmende (Re-)zertifizierung mit hohem Aufwand verbunden. Es sind für ein Audit IT-Prozesse und Tools zu implementieren sowie ausgewählte Informationen bereitzustellen. Aufgrund von Überschneidungen zwischen den Standards lassen sich Synergien heben. Dies wird am Beispiel des proprietären IT-Sicherheitsstandards PCI-DSS (Payment Card Industry Data Security Standard) erörtert. PCI-DSS ist verpflichtend für Unternehmen, die Kreditkartendaten verarbeiten. Die Compliance ist durch eine Zertifizierung nachzuweisen. Die Anforderungen an ein PCI-DSS-Audit kann eine an ISO 20000 (ITIL) oder ISO 2700x ausgerichtete Organisation einfacher erfüllen aufgrund der Überschneidungen von PCI-DSS mit den weiteren genannten Normen. Ziel dieses Beitrags ist es, diese Überschneidungen hervorzuheben, die zu Synergieeffekten (Aufwandsreduzierungen) bei einer PCI-DSS-Zertifizierung führen können.

Schlüsselwörter

PCI-DSS ISO 2700x ISO 20000 ITIL Kreditkarte IT-Sicherheit 

Evolving Synergies for the Implementation of the Credit Card Security Standard PCI-DSS by using ISO 2700x, ISO 20000 and ITIL

Abstract

Often organizations align their IT with standards which represent the state of the art. It is a tremendous effort to implement the standard and to become (re)certified. An organization prepares an audit by implementing IT processes including tools and providing selected information. Overlaps of standards create synergies. This is discussed by using the proprietary IT security standard PCI-DSS (Payment Card Industry Data Security Standard). PCI-DSS is mandatory for those companies, which process credit card data. Compliance is verified by a certificate. A company can fulfil PCI-DSS requirements within an audit easier, if ISO 20000 (ITIL) or ISO 2700x are already implemented. This article discusses the interferences of PCI-DSS with the other standards mentioned above, since overlaps will reduce certification efforts.

Keywords

PCI-DSS ISO 2700x ISO 20000 ITIL Credit card IT security 

Literatur

  1. Axelos (2013a) ITIL Service Transition. Ausgabe 2011, Adobe Digital Editions 2.0, TSO, NorwichGoogle Scholar
  2. Axelos (2013b) ITIL Service Design. Ausgabe 2011, Adobe Digital Editions 2.0, TSO, NorwichGoogle Scholar
  3. Axelos (2013c) ITIL Service Operation. Ausgabe 2011, Adobe Digital Editions 2.0, TSO, NorwichGoogle Scholar
  4. Donoghue (2016) Australian PCI DSS project observations, tips and insights. http://ipsi.com.au/australian-pci-dss-project-observations-tips-and-insights/. Zugegriffen: 03. Feb. 2018
  5. ECB (2017) Payment statistics for 2016, Press release, 15th Sept. 2017. https://www.ecb.europa.eu/press/pdf/pis/pis2016.pdf?be9989f6bd72483ebe27d8dfae1f0362. Zugegriffen: 30. Jan. 2018
  6. Eckert C (2014) IT-Sicherheit: Konzepte – Verfahren – Protokolle, 9. Aufl. Oldenbourg, MünchenCrossRefGoogle Scholar
  7. ISO (2016) The ISO Survey of Management System Standard Certifications 2016, Sept. 2017. https://isotc.iso.org/livelink/livelink/fetch/-8853493/8853511/8853520/18808772/00._Executive_summary_2016_Survey.pdf?nodeid=19208898&vernum=-2. Zugegriffen: 31. Jan. 2018.
  8. ISO 20000 (2011) Information technology – Service management, Part 1: Service management system requirements, ISO/IEC, GenevaGoogle Scholar
  9. ISO 20000 (2012) Information technology – Service management, Part 2: Guidance on the application of service management systems, ISO/IEC, GenevaGoogle Scholar
  10. ISO 27000 (2018) Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Überblick und Terminologie, Beuth, BerlinGoogle Scholar
  11. ISO 27001 (2013) Information technology – Security techniques – Information security management systems – Requirements, British standards institute, LondonGoogle Scholar
  12. ISO 27002 (2013) Information technology – Security techniques – Code of practice for information security controls, British standards institute, LondonGoogle Scholar
  13. ISO 27013 (2015) Information technology – Security techniques – Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1, ISO/IEC, GenevaGoogle Scholar
  14. Kersten H et al (2008) IT-Sicherheitsmanagement nach ISO 27001 und Grundschutz: Der Weg zur Zertifizierung. Vieweg, WiesbadenGoogle Scholar
  15. Mendel T (2017) Vendor Selection Matrix – IT und Enterprise Service Management SaaS und Software: Die Top 20 Anbieter in Deutschland, Proprietäre Version, gekürzt, ohne Anbieter Scorecards. http://research-in-action.wks-international.de/index.php/research/20-research-2017-deutsch/51-2017-1-vendor-selection-matrix-it-und-enterprise-service-management-saas-und-software-die-top-20-anbieter-in-deutschland-2017. Zugegriffen: 29. Okt. 2017Google Scholar
  16. Nilson Report (2016) The Nilson Report. October 2016. Issue 1096. https://www.nilsonreport.com/upload/content_promo/The_Nilson_Report_10-17-2016.pdf. Zugegriffen: 30. Jan. 2018Google Scholar
  17. PCI Security Standards Council (2016a) PCI DSS Quick Reference Guide – Understanding the Payment Card Industry Data Security Standard. Version 3.2. https://www.pcisecuritystandards.org/document_library?category=saqs#results. Zugegriffen: 06. Aug. 2017Google Scholar
  18. PCI Security Standards Council (2016b) Anforderungen und Sicherheitsbeurteilungsverfahren. Version 3.2, 2016. https://www.pcisecuritystandards.org/document_library?category=saqs#results. Zugegriffen: 06. Aug. 2017Google Scholar
  19. PCI Security Standards Council (2017) Potential Liabilities. https://www.pcisecuritystandards.org/pci_security/why_security_matters. Zugegriffen: 30. Okt. 2017Google Scholar
  20. Ponemon Institute (2013) The Risk of Insider Fraud – Second Annual Study. http://www.attachmate.com/Press/ponemon2012-infographics.htm. Zugegriffen: 24. Jan. 2014Google Scholar
  21. PriceWaterhouseCoopers (2008) Payment Card Industry standards: Compliance burden or opportunity? Practical strategies to reduce risk and compliance costs. https://www.pwc.com.au/consulting/assets/risk-controls/complianceburdenoropportunity.pdf. Zugegriffen: 03. Febr. 2018Google Scholar
  22. Roberts JJ (2017) Home Depot to Pay Banks $25 Million in Data Breach Settlement. Fortune. http://fortune.com/2017/03/09/home-depot-data-breach-banks/. Zugegriffen: 01. Dez. 2017Google Scholar
  23. Stempel J, Bose N (2015) Target in $39.4 million settlement with banks over data breach. Reuters. https://www.reuters.com/article/us-target-breach-settlement/target-in-39-4-million-settlement-with-banks-over-data-breach-idUSKBN0TL20Y20151202. Zugegriffen: 01. Dez. 2017Google Scholar
  24. Verizon (2017) 2017 Payment Security Report – Revealing the challenges in sustaining payment card security. http://www.verizonenterprise.com/verizon-insights-lab/payment-security/2017/reports/2017_payment_security_report_en_xg.pdf. Zugegriffen: 24. Feb. 2018Google Scholar
  25. Witt BC (2006) IT-Sicherheit: Kompakt und verständlich: Eine praxisorientierte Einführung. Vieweg, WiesbadenGoogle Scholar

Copyright information

© Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2018

Authors and Affiliations

  1. 1.Computacenter AG & Co oHGHannoverDeutschland

Personalised recommendations