Berichte nach verschiedenen Industriestandards sind in Trust Guard’s Dashboard verfügbar. Dazu gehören PCI DSS, DSGVO, ISO27001, OWASP, HIPAA, SOx und NIS2. So können Sie auf einen Blick sehen, ob Sie die Anforderungen Ihrer Branche erfüllen.
Vor 2004 hatten alle Kartenaussteller ihren eigenen Standard, um sicherzustellen, dass die Händler bei der Speicherung, Verarbeitung und Übermittlung von Karteninhaberdaten ein Mindestmaß an Sicherheit erreichen. Für Händler, die mehrere Karten von verschiedenen Kartenherausgebern verwenden, war es schwierig, die unterschiedlichen Standards einzuhalten.
Die großen Kreditkartenorganisationen unternahmen eine konzertierte Aktion, die im Dezember 2004 zur Veröffentlichung der Version 1.0 des PCI DSS (Payment Card Industry Data Security Standard) führte. MasterCard, American Express, Visa, JCB International und Discover Financial Services gründeten im September 2006 den PCI SSC (Payment Card Industry Security Standards Council) als Verwaltungs-/Leitungsgremium, um die Entwicklung von PCI DSS zu fördern. Unabhängige/private Organisationen können sich nach ordnungsgemäßer Registrierung an der PCI-Entwicklung beteiligen.
Der PCI DSS-Standard wurde entwickelt, um die Kontrolle über die Daten der Karteninhaber zu verbessern und den Kreditkartenbetrug zu verringern. PCI DSS wird weltweit überwacht und umgesetzt. Die neueste Version von PCI DSS ist 3.2.1 und wurde im Mai 2018 veröffentlicht. Der PCI Data Security Standard legt 12 Anforderungen für die Einhaltung fest. Diese sind in sechs logisch zusammenhängende Gruppen gegliedert, die als „Kontrollziele“ bezeichnet werden.
Die sechs Gruppen sind:
1. Aufbau und Pflege eines sicheren Netzwerks und sicherer Systeme
2. Schutz von Karteninhaberdaten
3. Aufrechterhaltung eines Programms zur Verwaltung von Sicherheitslücken
4. Implementierung starker Zugangskontrollmaßnahmen
5. Regelmäßige Überwachung und Prüfung der Netze
6. Sicherstellen, dass eine Informationssicherheitspolitik vorhanden ist
Schwachstellenmanagement ist die zyklische Arbeitsmethode zur Identifizierung, Klassifizierung, Priorisierung, Korrektur und Entschärfung von Softwareschwachstellen. Schwachstellenmanagement ist ein integraler Bestandteil der Computersicherheit und der Netzsicherheit. Schwachstellen können mit einem Schwachstellenscanner aufgedeckt werden, der ein Computersystem analysiert und nach bekannten Schwachstellen wie offenen Ports, unsicheren Softwarekonfigurationen und Anfälligkeit für Malware-Infektionen sucht.
Im Falle eines Sicherheitsverstoßes muss ein Unternehmen, das zum Zeitpunkt des Verstoßes nicht PCI DSS-konform war, mit zusätzlichen Sanktionen wie Geldstrafen rechnen. Zu Ihrer Information: Die Durchsetzung und Einhaltung des PCI DSS sowie die Festsetzung von Geldbußen erfolgt durch die einzelnen Kartenaussteller und nicht durch den Rat. Fragen zu diesem Thema sollten an die Kartenaussteller gerichtet werden.
Der Schwachstellen-Scan von Trust Guard wird von einem vom PCI Security Standard Council zugelassenen Scan-Unternehmen durchgeführt und erbringt zusammen mit dem Fragebogen zur Selbsteinschätzung (SAQ) den Nachweis der PCI-Konformität für die Stufen 2, 3 und 4.
Die Datenschutz-Grundverordnung (DSGVO) ist im Mai 2016 in Kraft getreten, und Unternehmen haben bis zum 25. Mai 2018 Zeit, ihren Geschäftsbetrieb mit dem DSGVO in Einklang zu bringen. Die General Data Protection Regulation (DSGVO) betrifft alle Unternehmen in Europa, die personenbezogene Daten speichern. Sie regelt, wie Unternehmen mit personenbezogenen Daten technisch und organisatorisch umgehen sollen.
Wenn ein Unternehmen die DSGVO-Vorschriften nicht einhält, kann die maximale Geldstrafe 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.
Auf der technischen Seite kann Trust Guard Hilfe bei der DSGVO anbieten. Mit unserem Scan testen wir an vielen Punkten, ob Ihre Website und/oder Ihr Netzwerk sicher ist. Daraus können Sie einen PDF-Bericht als Beweis dafür erstellen, dass Sie alles tun, was Sie können, um die DSGVO einzuhalten.
Der Ursprung der ISO27001-Zertifizierung liegt in dem englischen „Code of Practice for Information Security Management“. Dieser bezieht sich auf ein spezielles Managementsystem für Informationssicherheit und legt fest, wie Sie Sicherheitsrisiken nachweislich kontrollieren können.
Die Norm ISO27001 deckt mehrere Aspekte der Informationssicherheit ab, darunter die Entwicklung und Pflege von Systemen und Software (Dokumentation, Prozesse). Die Norm sieht vor, dass Sie einen Geltungsbereich und eine Politik festlegen, eine Risikoanalyse durchführen, Maßnahmen für ermittelte Risiken auswählen und diese umsetzen und verwalten.
Die Aufrechterhaltung der ISO27001-Zertifizierung ist ein fortlaufender Prozess
Die Erlangung und Aufrechterhaltung der ISO27001-Zertifizierung ist ein kontinuierlicher Prozess. Mit der ISO27001-Zertifizierung haben Sie Ihre Sicherheitsrisiken „im Griff“.
Bei der Identifizierung der Risiken, denen Sie mit Ihrem Netzwerk ausgesetzt sind, kann Ihnen der Trust Guard Sicherheitsscan helfen. Wir scannen Ihr Netzwerk und informieren Sie über die Risiken, denen Sie ausgesetzt sind, sowie über mögliche Lösungen. Sie können auch einen Bericht erstellen, der einen Einblick in die Risiken gemäß dieser Norm gibt.
Das Open Web Application Security Project (OWASP) ist eine internationale Non-Profit-Organisation, die sich auf die Sicherheit von Webanwendungen konzentriert. Ihr Ziel ist es, die Softwaresicherheit transparent zu machen, so dass Einzelpersonen und Organisationen fundierte Entscheidungen in Bezug auf ihre Siche
Die OWASP Top 10 ist ein regelmäßig aktualisierter Bericht, der Aspekte für die Sicherheit von Webanwendungen umreißt. Er konzentriert sich auf die 10 wichtigsten Risiken. Der Bericht wird von einem Team von Sicherheitsexperten aus der ganzen Welt zusammengestellt. OWASP bezeichnet die Top 10 als ein „Bewusstseinsdokument“ und empfiehlt allen Unternehmen, den Bericht in ihre Prozesse einzubeziehen, um Sicherheitsrisiken zu minimieren und/oder abzuschwächen.
Trust Guard’s Sicherheitsscan scannt mehrere Schwachstellen, einschließlich der 10 Hauptrisiken, die durch die OWASP Top 10 definiert sind, und kann einen Bericht mit den Scan-Ergebnissen basierend auf diesen Top 10 erstellen.
Der Health Insurance Portability and Accountability Act (kurz HIPAA) ist ein US-amerikanisches Gesetz aus dem Jahr 1996 für den Gesundheitssektor. In Europa ist HIPAA vor allem wegen des Datenschutzes bekannt, den es ausdrücklich für das Gesundheitswesen vorsieht.
Dieses Gesetz beschreibt eine Reihe von Standardprotokollen für die Datenübertragung. Die Security Rule beschreibt die Standards in Bezug auf die Informationssicherheit und schlägt verfahrenstechnische, technische und physische Sicherheitsmaßnahmen vor.
Die HIPAA-Vorschriften haben die Entwicklungen rund um den Schutz der Privatsphäre geprägt. Insbesondere die Entwicklung technischer Sicherheitsmaßnahmen wurde durch HIPAA angestoßen, und das Bewusstsein für einen angemessenen Schutz der Privatsphäre hätte sich vermutlich wesentlich langsamer entwickelt.
Bei der Überprüfung der Sicherheit Ihres Netzwerks kann der Trust Guard Sicherheitsscan helfen, indem er Schwachstellen aufdeckt und Lösungen anbietet. Außerdem kann der HIPAA-Bericht den Nachweis erbringen, dass alles für die Datensicherheit getan wurde.
Die SOx-Norm geht auf die Gesetzesvorlagen von Senator Paul Sarbanes und Senator Michael Oxley zurück. Ursprünglich gab es wenig Unterstützung für die Vorschläge, aber aufgrund der vielen Skandale im Jahr 2002 (Enron, Worldcom, AOL usw.) wurden sie in abgeänderter Form verabschiedet. Ziel des Gesetzes ist es, Betrug zu verhindern. Leider bleibt der me
Eine Besonderheit der Gesetzgebung ist die Androhung von Haft- und Geldstrafen für die Unternehmensleitung, wenn diese die Corporate-Governance-Anforderungen nicht einhält. Auch Nicht-US-Unternehmen müssen die SOx-Vorschriften einhalten, wenn sie an einer US-Börse notiert sind.
Das Sarbanes-Oxley-Gesetz (SOx) richtet sich vor allem an große Unternehmen, die ihre eigene Software entwickeln und verwenden. Diese Unternehmen haben auch früher schon interne Kontrollen durchgeführt, aber das SOx-Gesetz formalisiert dies weitgehend. Einen besonderen Platz nimmt dabei die IT ein. Wenn die vom Unternehmen geschriebene Software die Zahlen produziert, aus denen die Prüfer ihre Daten beziehen, werden die Prüfer sicherlich die Erstellung dieser Software in Frage stellen. In vielen Fällen wird das Unternehmen nachweisen müssen, dass die Software ordnungsgemäß verwaltet wurde.
Hier kann Trust Guard einen Beitrag leisten, indem es einen Bericht anbietet, der Einblick in IT-Schwachstellen (intern und extern) gibt.
Im Zeitalter der ständigen Digitalisierung ist die Gesellschaft verschiedenen Einflüssen ausgesetzt, die Druck auf die Sicherheit von Gesellschaft und Wirtschaft ausüben. Dazu gehören die COVID-19-Pandemie, der Krieg in der Ukraine, die zunehmenden Auswirkungen des Klimawandels und eine exponentielle Zunahme von Cyberangriffen wie Phishing, Malware und Ransomware. Diese Entwicklungen haben zu einer sich verändernden Landschaft geführt, in der die europäischen Mitgliedstaaten die Notwendigkeit erkannt haben, ihre digitale und wirtschaftliche Widerstandsfähigkeit zu stärken.
Im Jahr 2016 führte die Europäische Union die Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS-Richtlinie) ein. Diese erste Rechtsvorschrift zielte darauf ab, die Cybersicherheit zu erhöhen, und konzentrierte sich auf Anbieter grundlegender Dienstleistungen, darunter Wasser, Energie, Telekommunikation, Verkehr, Gesundheitswesen und Finanzen. Als Reaktion auf die fortschreitende digitale Entwicklung und die breiteren Auswirkungen auf verschiedene Sektoren wurde später die NIS2-Richtlinie als Erweiterung dieser ersten Gesetzgebung eingeführt.
Die NIS2-Richtlinie enthält mehrere Schlüsselelemente:
Es ist von entscheidender Bedeutung, ob Ihr Unternehmen als Anbieter wesentlicher oder wichtiger Dienste eingestuft wird. Wesentliche Dienste sind für das Funktionieren der Gesellschaft unerlässlich, während wichtige Dienste erhebliche Auswirkungen auf die Nutzer oder andere Unternehmen haben. Wenn dies der Fall ist, gibt es spezifische Verpflichtungen, die erfüllt werden müssen.
Die Nichteinhaltung der Richtlinie kann zu erheblichen Geldstrafen führen, die bis zu 10 % des Jahresumsatzes und maximal 20 Millionen Euro betragen können.
Obwohl noch kein endgültiges Enddatum feststeht, ist derzeit von Ende 2024 als möglicher Frist für die Einhaltung der Anforderungen der NIS2-Richtlinie durch die Unternehmen die Rede. Es ist sehr wichtig, sich über alle von der Regierung gesetzten spezifischen Fristen auf dem Laufenden zu halten.
Scannen Sie Ihre Website jetzt kostenlos und unverbindlich und schützen Sie die Daten Ihrer Kunden.
Veenweg 158 – B
3641 SM MIJDRECHT
Die Nederlande
+31 (0)297 – 381 303
info@trustguard.eu
Business to You
Exclusive partner Trust Guard EMEA