Einzelhandel im Fokus: Informationssicherheit und Datenschutz

Nach Angaben des Amtes für nationale Statistik im November 2023 30 % aller Einzelhandelsumsätze in Großbritannien wurden online getätigte. Das ergab unterdessen ein Bericht des Sicherheitsunternehmens Sophos zwei von drei Unternehmen im Einzelhandel berichteten über Ransomware-Angriffe im Jahr 2022. Da so viele Verbraucher online einkaufen, sind Kundendaten eine verlockende Beute für Hacker, die vom Verkauf oder Missbrauch dieser Daten profitieren können.

Zusätzlich zu den zunehmenden Cyber-Bedrohungen müssen Einzelhändler zahlreiche Cybersicherheitsvorschriften einhalten. Diese Vorschriften und das Risiko von Angriffen durch Bedrohungsakteure bedeuten, dass die Cybersicherheit im Einzelhandel für Marken im Vordergrund stehen sollte.

Wie können Sie angesichts des technologischen Fortschritts, strenger Vorschriften und Cyber-Bedrohungen Best Practices für die Cybersicherheit im Einzelhandel einhalten?

Die Cyber-Bedrohungen für den Einzelhandel

Der erste Schritt zur Gewährleistung der Widerstandsfähigkeit der Informationssicherheit besteht darin, die Herausforderungen im Bereich der Cybersicherheit zu verstehen, mit denen Ihr Unternehmen konfrontiert sein könnte. Die Cybersicherheit im Einzelhandel birgt eine Reihe von Bedrohungen, die von absichtlichen Cyberangriffen bis hin zu versehentlichen Sicherheitslücken reichen.

Phishing

Bei einem Phishing-Versuch geben sich Cyberkriminelle als vertrauenswürdige Personen oder Unternehmen aus, um das Opfer dazu zu verleiten, persönliche Informationen wie Passwörter preiszugeben, die dann für den Zugriff auf Konten und sensible Kundendaten verwendet werden können. Ein Bericht von Zscaler ThreatLabz fanden heraus, dass der Einzelhandel von 436 bis 2020 einen Anstieg der Phishing-Angriffe um 2021 % verzeichnete.

Point-of-Sale-Angriffe

Bei Point-of-Sale-Angriffen (POS) nutzen Angreifer schwache Netzwerksicherheit aus, indem sie bösartige Malware auf Systemen installieren, die zur Durchführung von Finanztransaktionen verwendet werden. Mit dieser Schadsoftware können Cyberkriminelle ganz einfach Zahlungsdaten von Kunden, darunter auch Kreditkartendaten, aus Kassensystemen stehlen.

Ransomware

Ransomware ist Schadsoftware, die ein Unternehmen daran hindern soll, auf seine Systeme zuzugreifen, indem es seine Daten verschlüsselt und ein Lösegeld verlangt.

Sophos Stand der Ransomware im Einzelhandel 2023 Der Bericht ergab, dass 69 % der Einzelhandelsunternehmen im Jahr 2023 Ransomware-Angriffen ausgesetzt waren, ein Rückgang gegenüber 77 % im Jahr 2022. Allerdings gaben 71 % dieser Unternehmen an, dass Angreifer ihre Daten erfolgreich verschlüsselt hatten, und nur jeder vierte (26 %) der Einzelhändler stoppte Angriffe, bevor ihre Daten verschlüsselt wurden.

Angriffe auf die Lieferkette

Angriffe auf die Lieferkette Sie zielen auf Einzelhändler ab, indem sie sich auf Schwachstellen in ihren Lieferketten konzentrieren, in der Regel über Anbieter mit schwacher Sicherheit, die Zugriff auf die Software oder Systeme der Einzelhändler haben. Über diese Dritten infiltrieren Cyberkriminelle das System oder Netzwerk des Zielhändlers, um auf sensible Daten zuzugreifen.

Was sind die kritischen Standards und Vorschriften zur Informationssicherheit im Einzelhandel?

Sobald Sie die Risiken verstanden haben, denen Einzelhandelsunternehmen ausgesetzt sind, besteht der nächste Schritt darin, sich durch die Fülle an Standards und Vorschriften zu kämpfen, die Ihr Unternehmen kennen und einhalten muss. Je nachdem, wo Sie tätig sind und welche Kunden Sie bedienen, kann es viel zu beachten geben; Nachfolgend finden Sie eine Zusammenfassung der wichtigsten Aspekte, die Einzelhändler berücksichtigen müssen.

Die Allgemeine Datenschutzverordnung (DSGVO)

Einzelhändler und E-Commerce-Unternehmen müssen die Datenschutz-Grundverordnung (DSGVO) der EU befolgen. bei der Erhebung und Verarbeitung europäischer Kundendaten, unabhängig davon, ob es sich um ein in der EU ansässiges Unternehmen handelt oder nicht. Die DSGVO schreibt vor, dass Unternehmen eine klare, eindeutige Zustimmung einholen müssen, wenn sie personenbezogene Daten wie Namen, Kontaktdaten, Kaufhistorien und alle Daten erfassen, die für Verhaltensprofile oder gezielte Werbezwecke verwendet werden.

Konkret sind für die Verarbeitung personenbezogener Kundendaten für verhaltensbasierte Werbung eine transparente Mitteilung und eine ausdrückliche Opt-in-Einwilligung erforderlich. Dazu gehört die Erstellung von Profilen, die persönliche Vorlieben, Interessen, Ausgabegewohnheiten und andere Merkmale analysieren oder vorhersagen. Unternehmen müssen klar darlegen, dass eine solche Verarbeitung stattfindet, und den Kunden die Möglichkeit geben, zu entscheiden, ob sie damit einverstanden sind.

Unternehmen müssen ihren Kunden außerdem Zugriff auf ihre gespeicherten persönlichen Daten gewähren und ihnen ermöglichen, auf Anfrage Fehler zu korrigieren oder zu löschen. In leicht verständlichen Datenschutzrichtlinien muss erklärt werden, welche Daten ein Händler sammelt und wie er diese verwendet. Auch für die internationale Übermittlung von Kundendaten außerhalb der EU gelten strenge Regeln. Darüber hinaus müssen größere Unternehmen Datenschutzbeauftragte ernennen, die die Einhaltung der DSGVO im gesamten Betrieb überwachen.

Sollte es bei einem Einzelhändler zu einer Datenschutzverletzung kommen, die voraussichtlich die Rechte und Freiheiten der Kunden gefährdet, muss der Einzelhändler unverzüglich seine Datenschutzbehörde benachrichtigen. In einigen Fällen müssen sie möglicherweise auch Einzelheiten des Verstoßes direkt an die betroffenen Personen weitergeben. Daher ist die Einrichtung robuster Verfahren zur Erkennung, Untersuchung und Offenlegung von Verstößen eine wichtige Verpflichtung zur Einhaltung der DSGVO für Einzelhändler.

California Consumer Privacy Act (CCPA)

Der CCPA deckt gewinnorientierte Unternehmen ab, die bestimmte Schwellenwerte erfüllen, z. B. einen Jahresumsatz von über 25 Millionen US-Dollar oder den Kauf/Verkauf der persönlichen Daten von mehr als 50,000 kalifornischen Verbrauchern pro Jahr.

Für Einzelhändler und Online-Shops, die diese Schwellenwerte erfüllen, verlangt der CCPA zusätzliche Transparenz, Offenlegung und Rechte in Bezug auf die personenbezogenen Daten kalifornischer Verbraucher. Unternehmen müssen offenlegen, welche Arten personenbezogener Daten sie sammeln und wie diese verwendet werden. Verbrauchern muss die Möglichkeit gegeben werden, dem Verkauf ihrer Daten an Dritte zu widersprechen.

Einzelhändler müssen außerdem angemessene Sicherheitsverfahren wie Verschlüsselung, Zugriffskontrollen, Einbruchserkennung und regelmäßige Tests implementieren, um diese Daten vor Verstößen oder Missbrauch zu schützen. Wenn bei einem Unternehmen ein Verstoß auftritt, der mehr als 500 Einwohner Kaliforniens betrifft, muss es die Verbraucher unverzüglich benachrichtigen. Das Versäumnis, angemessene Sicherheitsvorkehrungen zu treffen oder verletzte Verbraucher ordnungsgemäß zu benachrichtigen, kann im Rahmen des CCPA zu hohen zivilrechtlichen Strafen führen.

Da Kalifornien bei den Gesetzen zum digitalen Datenschutz führend ist, signalisiert das CCPA einen bedeutenden Wandel für E-Commerce-Anbieter, Marketingtechnologieunternehmen, stationäre Einzelhandelsketten und andere führende Einzelhandelsunternehmen in den Vereinigten Staaten. Virginia, Colorado, Utah und Connecticut haben alle ähnliche Gesetze eingeführt, die 2024 in Kraft treten werden.

In vielen anderen Bundesstaaten gibt es ebenfalls Gesetze zur Meldung von Verstößen, die eine Benachrichtigung der Verbraucher vorschreiben, wenn ein Datenschutzverstoß Auswirkungen auf die Einwohner dieses Staates hat. Daher müssen Einzelhändler zusätzlich zum CCPA in Kalifornien die sich schnell entwickelnden Datenschutzgesetze auf Landesebene in weiten Teilen des Landes einhalten.

Der Gramm-Leach-Bliley Act (GLBA)

Viele Einzelhändler bieten ihren Kunden Finanzprodukte und -dienstleistungen wie Kreditkarten, Finanzierungsprogramme und Treueprämienprogramme an. Gemäß dem US-Bundesgesetz Gramm-Leach-Bliley Act (GLBA) müssen Einzelhändler, die diese Art von Finanzangeboten anbieten, strenge Anforderungen in Bezug auf Transparenz, Datenschutz und Sicherheit einhalten.

Insbesondere verlangt GLBA von Einzelhändlern, dass sie ihre Praktiken zur Datenerhebung und -weitergabe direkt gegenüber den Kunden klar offenlegen. In vielen Fällen müssen Unternehmen den Verbrauchern die Möglichkeit geben, sich abzumelden, bevor sie Daten an externe Parteien weitergeben.

Einzelhändler müssen außerdem strenge Kontrollen und Sicherheitsvorkehrungen zum Schutz der Kundendaten implementieren. Dazu gehört die Benennung eines Sicherheitskoordinators, die Durchführung von Risikobewertungen, der Einsatz von Verschlüsselungstechnologien und die ordnungsgemäße Entsorgung von Aufzeichnungen. Am wichtigsten ist, dass GLBA Compliance-Anforderungen im Falle einer Datenschutzverletzung festlegt, einschließlich der unverzüglichen Benachrichtigung betroffener Kunden. Da Datenschwachstellen und Cyberangriffe weltweit zunehmen, ist die Einhaltung von GLBA für Einzelhändler, die sich auf Finanzdienstleistungen konzentrieren, von entscheidender Bedeutung, um das Vertrauen der Kunden aufrechtzuerhalten und behördliche Durchsetzungsmaßnahmen zu vermeiden.

Richtlinie zur Netzwerk- und Informationssicherheit (NIS2)

NIS2 zielt darauf ab, ein höheres Maß an Cybersicherheit und Widerstandsfähigkeit innerhalb der EU zu etablieren mit strengeren Cybersicherheitsverpflichtungen. Es bezeichnet insbesondere Online-Marktplätze, Suchmaschinen, Cloud-Dienste und mehr als „wesentliche“ oder „wichtige“ Unternehmen, die ab Oktober 2024 reguliert werden. Dies bedeutet, dass viele Einzelhändler und E-Commerce-Unternehmen wie Amazon, Shopify und eBay fallen werden unter dem Geltungsbereich von NIS2. Einzelhandelsunternehmen, die wichtige Dienstleistungen wie Zahlungen und Logistik erbringen, können ebenfalls unter NIS2 fallen.

Gemäß NIS2 müssen abgedeckte Einzelhändler die Risiken für ihre IT-Systeme, Anwendungen, Netzwerke und Daten umfassend bewerten. Dies bedeutet zu bewerten:

• Infrastruktursicherheit
• Software-Schwachstellen
• Insider-Bedrohungen
• Risiken Dritter/Verkäufer

 

Basierend auf den identifizierten Risiken müssen Einzelhändler dann die Implementierung von Cybersicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung (MFA), Datenverschlüsselung während der Übertragung und im Ruhezustand, regelmäßige Datensicherung, laufende Penetrationstests und Schwachstellenscans sowie Technologien und Prozesse begründen für Bedrohungserkennung, Reaktion auf Vorfälle und Risikomanagement in der Lieferkette.

NIS2 schafft außerdem verbindliche Meldepflichten für Cyber-Vorfälle für Einzelhändler. Im Falle eines Verstoßes oder Cyberangriffs, der den Betrieb oder die Datenverfügbarkeit erheblich beeinträchtigt, müssen sie die nationalen Behörden in jedem EU-Staat, in dem sie tätig sind, benachrichtigen und den betroffenen Kunden proaktiv Einzelheiten mitteilen.

Angesichts der komplizierten digitalen Lieferketten und Datenflüsse sollten sich große Einzelhändler weltweit jetzt auf die umfangreichen Cybersicherheitsverpflichtungen von NIS2 vorbereiten, die mit ihren Verbindungen zur EU-Wirtschaftszone verbunden sind. Eine fortgeschrittene Vorbereitung wird großen Marken dabei helfen, ihre Widerstandsfähigkeit aufzubauen und gleichzeitig störende Durchsetzungsmaßnahmen zu vermeiden.

Der Datensicherheitsstandard der Zahlungskartenindustrie (PCI DSS)

Jeder Einzelhändler, der gängige Kreditkarten akzeptiert oder elektronische Zahlungen abwickelt, muss die Vorschriften einhalten Datensicherheitsstandard der Zahlungskartenindustrie (PCI DSS). PCI DSS gilt als eines der weltweit am weitesten verbreiteten Datensicherheitsprotokolle und besteht aus einer Reihe technischer und politischer Kontrollen, die vom PCI Security Standards Council verwaltet werden, um vertrauliche Karteninhaberinformationen und Transaktionsdaten zu schützen.

Insbesondere müssen Einzelhändler, die Zahlungen abwickeln, die Einhaltung nachweisen, indem sie Folgendes umsetzen:

• Ende-zu-Ende-Verschlüsselung
• Aufrechterhaltung sicherer Systeme und Anwendungen gemäß PCI-Richtlinien
• Einschränkung des Zugriffs auf Zahlungsdaten
• Aufbau von Firewalls rund um Karteninhaberumgebungen
• Schutz der IT-Infrastruktur mit Anti-Malware-Schutz.

Einzelhändler müssen außerdem externe und interne Schwachstellenscans durchführen, Penetrationstests durchführen, Verfahren zur Reaktion auf Vorfälle einrichten, alle Drittanbieter überwachen und sich je nach Transaktionsvolumen jährlich oder vierteljährlich Compliance-Audits unterziehen.

Im März 2022 wurde PCI-DSS von Version 3.2.1 auf Version 4.0 aktualisiert, wobei der Schwerpunkt auf der Aufrechterhaltung kontinuierlicher Sicherheit und der Verbesserung der Zahlungsvalidierungsprozesse lag. Organisationen haben bis zum 31. März 2024 Zeit, die aktualisierte Version zu übernehmen – mit einer Frist von 18 Monaten, um die vollständige Konformität bis März 2025 zu erreichen.

PCI DSS v4.0 besteht aus 12 Anforderungen, die in sechs Kategorien unterteilt sind, darunter:

• Verstärkter Fokus auf Sicherheit als kontinuierlichen Prozess
• Mehr Flexibilität bei der Art und Weise, wie Unternehmen ihre Sicherheitsziele erreichen können
• Neue Anforderungen an Dienstanbieter, darunter der Einsatz von Multi-Faktor-Authentifizierung und die Implementierung einer Zero-Trust-Architektur
• Überarbeitete Anforderungen für die Softwareentwicklung, einschließlich sicherer Codierungspraktiken und der Verwendung automatisierter Tools für Schwachstellenscans und Penetrationstests
• Strengere Regeln für die Passwortverwaltung, einschließlich der Verwendung von Passphrasen und des Verbots bestimmter Arten von Passwörtern
• Förderung einer systematischeren und effektiveren Verschlüsselung, einschließlich der Unterstützung der Einführung quantensicherer Kryptographie

 

Die 12 Kontrollen innerhalb von PCI DSS 4.0 wurden aktualisiert, um sowohl mit den Veränderungen in der Branche als auch mit den Taktiken der Cyberkriminellen Schritt zu halten.

Die Folgen mangelhafter Informations- und Datensicherheitspraktiken im Einzelhandel

Wenn Informationssicherheit und Datenschutz nicht ernst genommen werden, kann dies tiefgreifende Auswirkungen auf Einzelhändler, E-Commerce-Anbieter und Handelsorganisationen haben.

Das finanzielle Endergebnis der Nichteinhaltung 

Alle in diesem Blog hervorgehobenen Vorschriften und Standards sind mit finanziellen Strafen bei Nichteinhaltung verbunden. Unternehmen, die gegen die DSGVO verstoßen, müssen mit strengen Strafen rechnen und können mit einer Geldstrafe von bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes belegt werden, je nachdem, welcher Betrag höher ist. Darüber hinaus können Einzelpersonen (Betroffene) Schadensersatzansprüche geltend machen.

Ein Unternehmen, das gegen PCI-DSS verstößt, kann mit einer Geldstrafe von 5,000 bis 100,000 US-Dollar pro Monat (ungefähr 4,000 bis 80,000 GBP) belegt werden, abhängig von der Größe des Unternehmens sowie der Dauer und dem Ausmaß der Nichteinhaltung.

Darüber hinaus kann die Bank weitere Strafen verhängen, beispielsweise eine Erhöhung der Transaktionsgebühren oder die vollständige Beendigung der Geschäftsbeziehung. Bei wiederholten Verstößen können zusätzliche Bußgelder verhängt werden, die sich mit der Zeit erhöhen.

Unternehmen, die gegen GLBA verstoßen, müssen mit Geldstrafen von bis zu 100,000 US-Dollar pro Verstoß rechnen, und Personen, die für diese Unternehmen verantwortlich sind, können mit einer Geldstrafe von 10,000 US-Dollar pro Verstoß und einer Gefängnisstrafe von bis zu fünf Jahren belegt werden.

NIS 2 unterliegt deutlich strengeren Durchsetzungsanforderungen als sein Vorgänger. Die Strafen für Nichtkonformität reichen von Sicherheitsüberprüfungen und der Anordnung, festgelegten Empfehlungen zu folgen, bis hin zu Geldstrafen in Höhe von 10 Millionen Euro oder 2 % des weltweiten Gesamtumsatzes der Organisation – je nachdem, welcher Betrag höher ist.

Die maximale zivilrechtliche Strafe für einen unbeabsichtigten Verstoß gegen das CCPA beträgt 2,500 US-Dollar pro Verstoß. Bei vorsätzlichen Verstößen beträgt die Höchststrafe 7,500 US-Dollar pro Verstoß. Die Höchstbeträge der Strafen klingen relativ bescheiden, aber wenn sich herausstellt, dass ein Unternehmen vorsätzlich Tausende oder sogar Hunderttausende vorsätzlicher Verstöße begangen hat, beispielsweise indem es die CCPA-Opt-out-Anforderungen nicht erfüllt hat, könnte die Gesamtsumme enorm sein.

CCPA ermöglicht es Verbrauchern außerdem, 750 US-Dollar pro Verbraucher und Vorfall zu fordern oder tatsächlichen Schadenersatz zu fordern, wenn nachweislich ein Verlust aufgrund des Verstoßes entstanden ist.

Wie Sie sehen, können die finanziellen Auswirkungen einer Nichteinhaltung erheblich sein und sich langfristig auf das Endergebnis und die langfristige Rentabilität eines Unternehmens auswirken.

Ruf ist alles 

Die Nichteinhaltung geht über die offensichtlicheren finanziellen Auswirkungen hinaus und umfasst:

Reputationsschaden: Eine Verletzung personenbezogener Daten kann den Ruf eines Unternehmens erheblich schädigen und zu Kundenverlust und Vertrauensverlust führen. Es kann Jahre dauern, bis die negativen Auswirkungen auf den Ruf eines Unternehmens behoben werden.

Klagen: Unternehmen können mit Klagen von Personen konfrontiert werden, deren personenbezogene Daten verletzt wurden, was zu weiteren Geldstrafen und Reputationsschäden führen kann.

Vermindertes Kundenvertrauen: Wenn personenbezogene Daten verletzt werden, können Kunden das Vertrauen in das Unternehmen verlieren, was zu einer verminderten Kundenbindung und möglicherweise zu einer Schädigung der Marke und des Rufs des Unternehmens führt.

Verringerter Lagerwert: Datenschutzverletzungen können den Aktienwert eines Unternehmens beeinträchtigen, da sich Anleger über mögliche finanzielle Strafen und Reputationsschäden Sorgen machen.

Stärkere Kontrolle durch Regulierungsbehörden: Unternehmen, bei denen es häufig zu Datenschutzverstößen oder Verstößen gegen die Vorschriften kommt, können mit verstärkten Audits und Untersuchungen durch Aufsichtsbehörden konfrontiert werden. Die Organisation riskiert noch strengere Vorschriften, wenn die Probleme weiterhin bestehen.

Ein auf Standards basierender Ansatz für die Cybersicherheit im Einzelhandel

Die Einführung eines etablierten Informationssicherheitsrahmens ist eine der effektivsten Möglichkeiten für Einzelhändler, Kunden und Partnern zu versichern, dass sie über solide Sicherheitsgrundlagen verfügen. Der ISO 27001  Framework ist ein weltweit anerkannter internationaler Standard für Informationssicherheits-Managementsysteme (ISMS), der einen systematischen und risikobasierten Ansatz zur Sicherung sensibler Informationsressourcen bietet.

Durch die Implementierung des ISO 27001-Frameworks können Einzelhändler einen umfassenden Ansatz für das Informationssicherheitsmanagement entwickeln, der Richtlinien, Verfahren, Kontrollen und Risikomanagementpraktiken umfasst, um sich vor potenziellen Sicherheitsbedrohungen und Schwachstellen zu schützen und die Sicherheit der Daten ihrer Kunden sowie den Nachweis ihrer Fähigkeiten zu gewährleisten .

Einige der Kernanforderungen von ISO 27001 werden es Unternehmen ermöglichen, ein hohes Maß an digitalem Vertrauen nachzuweisen, darunter:

Einen risikobasierten Ansatz verfolgen: Das ISO 27001-Rahmenwerk verlangt von Organisationen, Risiken für ihre Informationsbestände zu identifizieren und zu bewerten und geeignete Kontrollen zu implementieren, um diese Risiken zu mindern. Dieser Ansatz stellt sicher, dass die Informationssicherheitsmaßnahmen auf die spezifischen Risiken und Bedürfnisse der Organisation zugeschnitten sind, was dazu beiträgt, Vertrauen bei Kunden und Stakeholdern aufzubauen.

Sicherstellung der Einhaltung von Vorschriften: Das ISO 27001-Framework soll Unternehmen dabei helfen, verschiedene regulatorische Anforderungen im Zusammenhang mit der Informationssicherheit einzuhalten, darunter Datenschutzgesetze, Datenschutzbestimmungen und branchenspezifische Vorschriften. Organisationen können Vertrauen bei Regulierungsbehörden und anderen Interessengruppen aufbauen, indem sie die Einhaltung dieser Vorschriften nachweisen.

Kontinuierliche Verbesserung ermöglichen: Das ISO 27001-Framework betont die Notwendigkeit einer kontinuierlichen Überwachung, Überprüfung und Verbesserung des Informationssicherheitsmanagementsystems. Durch die kontinuierliche Verbesserung ihrer Sicherheitsmaßnahmen können Unternehmen ihr Engagement für den Schutz sensibler Informationen und den Aufbau von Vertrauen bei den Stakeholdern unter Beweis stellen.

Effektive Verwaltung von Drittanbietern: Die ISO 27001-Zertifizierung wird weltweit als Validierung des Informationssicherheits-Managementsystems einer Organisation anerkannt. Durch die Zertifizierung können Organisationen gegenüber Kunden, Partnern und anderen Interessengruppen nachweisen, dass sie ein umfassendes und effektives Informationssicherheitsmanagementsystem implementiert haben.

PCI-DSS und ISO 27001:2022

Interessanterweise können viele PCI-DSS-Prinzipien direkt auf ISO 27001 abgebildet werden, was die Möglichkeit bietet, einen integrierten Ansatz zu verfolgen, der Kostenvorteile und betriebliche Effizienz bieten und die erforderlichen Ressourcen reduzieren kann, indem man sich auf die gemeinsamen Anforderungen der Frameworks konzentriert.

Zu den weiteren Vorteilen gehört die Verbesserung der allgemeinen Sicherheitslage gegenüber einem breiteren Spektrum von Bedrohungen durch die Nutzung der Stärken beider Standards, um Lücken zu identifizieren und zu schließen. Letztendlich ermöglicht die integrierte Perspektive eine kontinuierliche Verbesserung durch regelmäßige Überprüfungen und eine bessere Anpassungsfähigkeit an neu auftretende Bedrohungen.

Wir haben einen praktischen Leitfaden erstellt, der diesen Ansatz zur gleichzeitigen Einhaltung von ISO 27001 und PCI-DSS v4 beschreibt und auf den Sie hier zugreifen können: Zuordnung des PCI-DSS v4 Frameworks zur aktualisierten ISO 27001:2022

Nehmen Sie eine sichere Haltung gegenüber Bedrohungen der Cybersicherheit im Einzelhandel ein

Da sich die Einzelhandelslandschaft weiterhin online verlagert, muss Cybersicherheit für Einzelhändler jeder Größe oberste Priorität haben. Zwischen zunehmenden Cyber-Bedrohungen, komplexen Vorschriften wie DSGVO und PCI DSS und den Reputationsrisiken von Datenschutzverletzungen steht für Einzelhandelsmarken viel auf dem Spiel, wenn es um den Schutz von Kundendaten geht.

Einzelhändler müssen entscheidende Schritte unternehmen, um robuste Sicherheitskontrollen zu implementieren, weltweit anerkannte Standards wie ISO 27001 zu erreichen und einen integrierten Ansatz zur Erfüllung von Compliance-Verpflichtungen zu verfolgen. Die Einhaltung bewährter Methoden im Bereich Cybersicherheit und die Nutzung fortschrittlicher Technologien tragen zur Sicherung sensibler Systeme und Daten bei.

Am wichtigsten ist, dass Einzelhändler Cyber-Resilienz zu einem kontinuierlichen Prozess und nicht zu einem einmaligen Projekt machen müssen. Mit der Weiterentwicklung von Bedrohungen und Vorschriften müssen sich auch die Cyberabwehrmaßnahmen weiterentwickeln. Indem Einzelhändler die Informationssicherheit zu einem regelmäßigen Diskussionsthema in der Vorstandsetage machen und angemessene Ressourcen bereitstellen, können sie sicherere und vertrauenswürdigere Verwalter von Kundendaten werden. Die finanziellen, rufschädigenden und rechtlichen Folgen von Untätigkeit sind zu schwerwiegend, als dass man sie ignorieren könnte.

Stärken Sie noch heute Ihre Compliance

Wenn Sie Ihre Reise zur PCI-DSS V4-Konformität beginnen möchten, können wir Ihnen helfen.

Unsere ISMS-Lösung ermöglicht einen einfachen, sicheren und nachhaltigen Ansatz für PCI-DSS und Informationsmanagement mit ISO 27001 und über 100 weiteren Frameworks. Erkennen Sie noch heute Ihren Wettbewerbsvorteil.

Demo buchen