Zusammenfassung
Organisationen richten ihre IT vielfach nach Standards aus, die den Stand der Technik darstellen. Dabei sind die Implementierung eines Standards und die vorzunehmende (Re-)zertifizierung mit hohem Aufwand verbunden. Es sind für ein Audit IT-Prozesse und Tools zu implementieren sowie ausgewählte Informationen bereitzustellen. Aufgrund von Überschneidungen zwischen den Standards lassen sich Synergien heben. Dies wird am Beispiel des proprietären IT-Sicherheitsstandards PCI-DSS (Payment Card Industry Data Security Standard) erörtert. PCI-DSS ist verpflichtend für Unternehmen, die Kreditkartendaten verarbeiten. Die Compliance ist durch eine Zertifizierung nachzuweisen. Die Anforderungen an ein PCI-DSS-Audit kann eine an ISO 20000 (ITIL) oder ISO 2700x ausgerichtete Organisation einfacher erfüllen aufgrund der Überschneidungen von PCI-DSS mit den weiteren genannten Normen. Ziel dieses Beitrags ist es, diese Überschneidungen hervorzuheben, die zu Synergieeffekten (Aufwandsreduzierungen) bei einer PCI-DSS-Zertifizierung führen können.
Abstract
Often organizations align their IT with standards which represent the state of the art. It is a tremendous effort to implement the standard and to become (re)certified. An organization prepares an audit by implementing IT processes including tools and providing selected information. Overlaps of standards create synergies. This is discussed by using the proprietary IT security standard PCI-DSS (Payment Card Industry Data Security Standard). PCI-DSS is mandatory for those companies, which process credit card data. Compliance is verified by a certificate. A company can fulfil PCI-DSS requirements within an audit easier, if ISO 20000 (ITIL) or ISO 2700x are already implemented. This article discusses the interferences of PCI-DSS with the other standards mentioned above, since overlaps will reduce certification efforts.
Literatur
Axelos (2013a) ITIL Service Transition. Ausgabe 2011, Adobe Digital Editions 2.0, TSO, Norwich
Axelos (2013b) ITIL Service Design. Ausgabe 2011, Adobe Digital Editions 2.0, TSO, Norwich
Axelos (2013c) ITIL Service Operation. Ausgabe 2011, Adobe Digital Editions 2.0, TSO, Norwich
Donoghue (2016) Australian PCI DSS project observations, tips and insights. http://ipsi.com.au/australian-pci-dss-project-observations-tips-and-insights/. Zugegriffen: 03. Feb. 2018
ECB (2017) Payment statistics for 2016, Press release, 15th Sept. 2017. https://www.ecb.europa.eu/press/pdf/pis/pis2016.pdf?be9989f6bd72483ebe27d8dfae1f0362. Zugegriffen: 30. Jan. 2018
Eckert C (2014) IT-Sicherheit: Konzepte – Verfahren – Protokolle, 9. Aufl. Oldenbourg, München
ISO (2016) The ISO Survey of Management System Standard Certifications 2016, Sept. 2017. https://isotc.iso.org/livelink/livelink/fetch/-8853493/8853511/8853520/18808772/00._Executive_summary_2016_Survey.pdf?nodeid=19208898&vernum=-2. Zugegriffen: 31. Jan. 2018.
ISO 20000 (2011) Information technology – Service management, Part 1: Service management system requirements, ISO/IEC, Geneva
ISO 20000 (2012) Information technology – Service management, Part 2: Guidance on the application of service management systems, ISO/IEC, Geneva
ISO 27000 (2018) Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Überblick und Terminologie, Beuth, Berlin
ISO 27001 (2013) Information technology – Security techniques – Information security management systems – Requirements, British standards institute, London
ISO 27002 (2013) Information technology – Security techniques – Code of practice for information security controls, British standards institute, London
ISO 27013 (2015) Information technology – Security techniques – Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1, ISO/IEC, Geneva
Kersten H et al (2008) IT-Sicherheitsmanagement nach ISO 27001 und Grundschutz: Der Weg zur Zertifizierung. Vieweg, Wiesbaden
Mendel T (2017) Vendor Selection Matrix – IT und Enterprise Service Management SaaS und Software: Die Top 20 Anbieter in Deutschland, Proprietäre Version, gekürzt, ohne Anbieter Scorecards. http://research-in-action.wks-international.de/index.php/research/20-research-2017-deutsch/51-2017-1-vendor-selection-matrix-it-und-enterprise-service-management-saas-und-software-die-top-20-anbieter-in-deutschland-2017. Zugegriffen: 29. Okt. 2017
Nilson Report (2016) The Nilson Report. October 2016. Issue 1096. https://www.nilsonreport.com/upload/content_promo/The_Nilson_Report_10-17-2016.pdf. Zugegriffen: 30. Jan. 2018
PCI Security Standards Council (2016a) PCI DSS Quick Reference Guide – Understanding the Payment Card Industry Data Security Standard. Version 3.2. https://www.pcisecuritystandards.org/document_library?category=saqs#results. Zugegriffen: 06. Aug. 2017
PCI Security Standards Council (2016b) Anforderungen und Sicherheitsbeurteilungsverfahren. Version 3.2, 2016. https://www.pcisecuritystandards.org/document_library?category=saqs#results. Zugegriffen: 06. Aug. 2017
PCI Security Standards Council (2017) Potential Liabilities. https://www.pcisecuritystandards.org/pci_security/why_security_matters. Zugegriffen: 30. Okt. 2017
Ponemon Institute (2013) The Risk of Insider Fraud – Second Annual Study. http://www.attachmate.com/Press/ponemon2012-infographics.htm. Zugegriffen: 24. Jan. 2014
PriceWaterhouseCoopers (2008) Payment Card Industry standards: Compliance burden or opportunity? Practical strategies to reduce risk and compliance costs. https://www.pwc.com.au/consulting/assets/risk-controls/complianceburdenoropportunity.pdf. Zugegriffen: 03. Febr. 2018
Roberts JJ (2017) Home Depot to Pay Banks $25 Million in Data Breach Settlement. Fortune. http://fortune.com/2017/03/09/home-depot-data-breach-banks/. Zugegriffen: 01. Dez. 2017
Stempel J, Bose N (2015) Target in $39.4 million settlement with banks over data breach. Reuters. https://www.reuters.com/article/us-target-breach-settlement/target-in-39-4-million-settlement-with-banks-over-data-breach-idUSKBN0TL20Y20151202. Zugegriffen: 01. Dez. 2017
Toro García MM (2012) ISO 27002 vs. COBIT: Security Information Planning. http://www.isaca.org/Groups/Professional-English/iso-iec-27000-series/GroupDocuments/Article%20ISO%2027002%20vs%20COBIT%20Info%20Sec%20Plan%20-%20ISACA.pdf. Zugegriffen: 24. Feb. 2018
Verizon (2017) 2017 Payment Security Report – Revealing the challenges in sustaining payment card security. http://www.verizonenterprise.com/verizon-insights-lab/payment-security/2017/reports/2017_payment_security_report_en_xg.pdf. Zugegriffen: 24. Feb. 2018
Witt BC (2006) IT-Sicherheit: Kompakt und verständlich: Eine praxisorientierte Einführung. Vieweg, Wiesbaden
Author information
Authors and Affiliations
Corresponding author
Rights and permissions
About this article
Cite this article
Brandes, H. Synergien bei der Implementierung des Kreditkartensicherheitsstandards PCI-DSS durch ISO 2700x, ISO 20000 und ITIL. HMD 55, 1110–1127 (2018). https://doi.org/10.1365/s40702-018-0428-4
Received:
Accepted:
Published:
Issue Date:
DOI: https://doi.org/10.1365/s40702-018-0428-4