|
|
PCI-Compliance: Stolpersteine
bei der Verwaltung von Kreditkartendaten Einhaltung von Vorschriften der Payment Card Industry
Anzeige
(
(1)
Benutzung
von Default Passwörtern der Hersteller Default Passwörter werden voreingestellt vom Hersteller ausgeliefert. Via Internet können sich Hacker und eigene Mitarbeiter diese aber jederzeit problemlos beschaffen und so den Zugriff auf kritische Unternehmensdaten erlangen. Unternehmen sollten diese Passwörter nach der Installation daher ändern und regelmäßig aktualisieren.
(2)
Ungesicherter
Zugriff auf Kreditkartendaten Oftmals werden Administratorpasswörter in Tabellenkalkulationen wie Excel verwaltet. Dies macht es nicht autorisierten Personen leicht, daran zu gelangen und sich somit Zugriff auf die Kredit-kartendaten von Kunden zu verschaffen. Unternehmen sollten an dieser Stelle ein sicheres System für das Passwortmanagement privilegierter Nutzer einsetzen.
(3)
Zu
viele Rechte Um die Verwaltung zu vereinfachen, neigen Unternehmen dazu, Rechte auf Datenbanken und Applikationen nicht granular genug zu vergeben. Um den Zugriff unbefugter Angestellter auf kritische Daten zu unterbinden, sollten Unternehmen hier zumindest gruppen- und rollenbasierende Rechte vergeben.
(4)
Keine
Nachvollziehbarkeit Bei der gemeinsamen Nutzung von Passwörtern kann nie zweifelsfrei sichergestellt werden, wer tatsächlich auf ein System zugegriffen hat. Die Vergabe eindeutiger Identitäten löst dieses Problem, vergrößert aber gleichzeitig den Aufwand für die Verwaltung. Ein geeignetes Passwort-Manage-mentsystems eliminiert diese Schwachstellen.
(5)
Kein
Monitoring Auch eine einfache Berechtigungskontrolle reicht oft nicht aus. Unternehmen sollten den Zugriff auf alle relevanten Systeme daher aktiv überwachen. So wird die Dauer erfolgter Regelverstöße minimiert. Aktives Monitoring ist an dieser Stelle ein effizientes Mittel der Risikominimierung. (Cloakware: ra) |
||
|
