Gerade wenn Sie glauben, alle Anforderungen zum Schutz von Zahlungskartendaten mit den Regelungen des PCI-DSS (Payment Card Industry Data Security Standard) in Einklang gebracht zu haben, stellen Sie fest, dass auch eingehende E-Mails, die Kreditkartennummern enthalten, Ihre Bemühungen zunichtemachen und Ihrem Unternehmen Strafen einbringen können. Das Problem lässt sich jedoch umgehen, indem Zahlungskartendaten mit Hilfe von Kontroll- und Datenredaktionstechnologien automatisch aus Dokumenten entfernt werden, bevor sie überhaupt in Ihr E-Mail-System gelangen. Dies gewährleistet nicht nur die Einhaltung von Compliance-Anforderungen und ein hohes Maß an Kundenservice, sondern verringert auch den Aufwand und das Fehlerpotenzial, das durch manuelle Eingriffe entsteht, bei denen hinterher eine Spur riskanter Zahlungskartendaten entfernt werden muss.
PCI-Konformität
Was wie der harmlose Versuch eines Kunden wirkt, seine Serviceanfrage durch Angabe seiner primären Kontonummer (PAN) oder Zahlungsdaten in seiner E-Mail zu vervollständigen, bedeutet oft einen Verstoß gegen Artikel 3 und 4 des PCI-DSS, die sich auf die sichere Übertragung und Speicherung von Karteninhaberdaten beziehen. Dieses Problem tritt meist dann auf, wenn Informationen die PCI-geschützte Umgebung verlassen. Der potenzielle Verstoß entsteht durch den digitalen Fußabdruck, der in unregulierten PCI-Netzwerken und -Systemen zurückbleibt, also z. B. in Ihrem E-Mail-System, Ihren Archiven sowie in Festplattenabbildern und Sicherungskopien für die Notfallwiederherstellung.
Das Problem kann sich schnell verdichten, wenn ein Mitarbeiter auf eine E-Mail mit PCI-Daten antwortet oder diese über ein öffentliches oder ungeschütztes Netzwerk an Empfänger innerhalb oder außerhalb des Unternehmens weiterleitet – selbst wenn er nur auf die vom Verfasser bereitgestellten Informationen antwortet.
E-Mails sind jedoch nicht der einzige riskante Kommunikationsweg. Eine ähnliche Verletzung kann auftreten, wenn ein Kunde seine Zahlungsdaten über ein unzureichend geschütztes Kontaktformular, soziale Medien oder einen Messaging- bzw. Chat-Dienst übermittelt. Hierbei handelt es sich meist um Front-End-Anwendungen, welche die Daten an andere Systeme weitergeben, wo sie dann gespeichert und an andere Webserver, automatische Marketing-Systeme und CRM-Tools verbreitet werden. In jedem Fall gelangen Sie dadurch in den Besitz toxischer Zahlungskartendaten, die gemäß PCI-DSS eingedämmt, gesichert und verwaltet werden müssen.
Beim Versuch, diesem oft missachteten Problem zu begegnen, wurden Mitarbeiter bisher meist von der IT- und Compliance-Abteilung angewiesen, solche E-Mails (oder online übermittelten Nachrichten) manuell zu löschen und anschließend die IT-Abteilung einzuschalten. Diese hat dann alle Spuren der Daten verfolgt und aus dem System gelöscht und den Absender darüber informiert, dass die Übermittlung von Kartendaten über diesen Kommunikationsweg gegen die Firmenrichtlinien verstößt. Wie bei den meisten manuellen Verfahren zur Einhaltung von Datenschutzvorgaben beinhaltet auch dieser Ansatz ein gewisses Fehlerpotenzial, unnötige Risiken und verlorene Beratungszeit – sowohl für den Kunden als auch für Ihr Unternehmen.
Eine automatische Lösung für die PCI-Konformität
Mittlerweile lässt sich dieses aufwändige Problem jedoch durch Data Redaction einfach beheben. Dabei wird sämtliche eingehende Korrespondenz automatisch auf Zahlungsdaten (oder andere vertrauliche oder unangemessene Daten) untersucht und von diesen befreit, bevor sie in E-Mail- und Websysteme ohne ausreichenden PCI-Schutz gelangt oder an unregulierte Systeme weitergegeben wird – und bevor es nötig ist, solche Daten manuell zu identifizieren und spurlos zu vernichten. Adaptive Redaction erlaubt einen detaillierten Ansatz zur Inspektion von Mitteilungen und Anhängen, bei dem die eingehende Nachricht zerlegt und gründlich bereinigt wird. Dabei werden ausschließlich Informationen entfernt, die den PCI-DSS verletzen. Der Rest der Nachricht gelangt unbeeinträchtigt an den Empfänger. Dies gewährleistet eine ununterbrochene Zusammenarbeit und Kommunikation und beseitigt dennoch etwaige Risiken, die sich durch die unangemessene Weitergabe unternehmerisch relevanter Daten ergeben.
Die Richtlinien für die Adaptive Redaction können konsequent auf unterschiedliche Kanäle angewendet werden, um die Einhaltung der PCI-Richtlinien zu gewährleisten. Zudem lassen sie sich einfach in bestehende Strukturen zum Schutz von E-Mails und Internet integrieren, ohne dass diese neu konfiguriert oder ersetzt werden müssen. Eine schlichte, automatische Lösung für ein Problem, das Ihnen ansonsten Probleme bereiten kann.