Eine gute Frage, aber vielleicht sollten Sie sie so formulieren: "Schädigt PCI die Sicherheit ?".

Um beide Fragen zu beantworten, würde ich sehr grob zwischen zwei Arten von Organisationen unterscheiden (obwohl die meisten zwischen diesen beiden Extremen liegen):

• Sicherheitsbewusste Organisationen, das Führen Sie routinemäßig geschäftsrisikobasierte Analysen durch, verfügen Sie über eine umfassende SDL, führen Sie die richtigen Schritte durch usw.
• Sicherheitsunbewusste Organisationen, die kein Interesse an etwas haben, das sie nicht unbedingt erzwingen zu tun, und vor allem nicht, wenn es kein Geld verdient.

Für die zweite Gruppe hilft PCI auf folgende Weise sehr:

• Bewusstsein (jetzt ist mindestens jemand erlaubt um die Sicherheit zu erwähnen, und hoffentlich reden alle darüber)
• Budget - da das Management sonst niemals irgendwelche Ressourcen für Investitionen in irgendeine Form von Sicherheit bereitgestellt hätte, sind sie jetzt zumindest gezwungen um zumindest Lippenbekenntnisse abzulegen.
• Minimale Basislinie der Aktivitäten mit dem kleinsten gemeinsamen Nenner. (Hoffentlich beinhaltet dies die Schulung der Entwickler, was mehr hilft als jede Regulierung ...)

Grundsätzlich zwingt es sie, die Sicherheit anzuerkennen, und hoffentlich wird daraus ein zusätzliches Gut.

Für die erste Gruppe gibt es zwei (zweieinhalb) Hauptfolgen:

• Es gibt (seltene) Situationen, in denen die Organisation zwischen einer echten Sicherheit wählen muss Lösung und Einhaltung des generischen Basis-LCD.
• Das Budget wird jetzt zwangsweise dem minimalen generischen Basis-LCD zugewiesen, wie es von einer externen Gruppe definiert wurde, die nichts über ihr Geschäft weiß. (Dieses Budget wäre wahrscheinlich für verschiedene Sicherheitsaktivitäten / -produkte / usw. nützlicher.)
• Das Management gibt Sicherheitsinvestitionen, die nicht direkt von der PCI vorgeschrieben sind, schneller weiter - "Wenn sie sie nicht benötigen / wenn sie für sie ohne gut genug sind, warum sollten wir uns dann die Mühe machen?" oder "Wenn es wichtig wäre, hätte PCI es benötigt".

In diesem Fall schadet PCI mehr als es nützt, da es für diese kein Problem ist, sie dazu zu bringen, Sicherheit einzubauen orgs.

Ein Vorteil der PCI-Konformität, der auf ganzer Linie geteilt wird:

Die PCI-Konformität verringert das Risiko von Strafen bei Nichteinhaltung .

Das erste, was Sie beachten müssen, ist, dass PCI DSS NICHT zum Schutz Ihrer Organisation gedacht ist. Es soll die Zahlungsnetzwerke und das Zahlungsökosystem schützen. Dies mag für viele seltsam klingen, aber fragen Sie einfach Visa und Mastercard.

Ich stimme den Kommentaren von AviD zu. "PCI-Konformität" reduziert einige spezifische Risiken und macht diese Organisationen (die nichts tun) wahrscheinlich sicherer. Die PCI-Konformität sollte jedoch nicht das ultimative Ziel eines Unternehmens sein.

Eine weitere Sache, die klargestellt werden muss, ist, dass es einen GROSSEN Unterschied zwischen "PCI-Konformität" und der tatsächlichen Ausübung aller Anforderungen von PCI-DSS in einer dem Risiko angemessenen Weise gibt. Viele Organisationen sind heute "konform" (oder glauben es zu sein), weil jemand PCI DSS schlecht interpretiert oder weil sie keine vollständige Lückenbewertung durchgeführt haben.

Erfahrungsgemäß habe ich für einen Kreditkartenprozessor gearbeitet. PCI hat uns dabei geholfen,

1) die Aufmerksamkeit der hochrangigen Manager auf sich zu ziehen (Sicherheit wurde wichtig, als sie hörten, dass wir die Rechte an verlieren könnten Arbeit mit VISA und Mastercard).

2) Sicherheit hatte die Chance, Teil des Entwicklungslebenszyklus im gesamten Unternehmen zu werden, und die Entwickler überlegten zweimal, ob sie eine Lösung wie "Speichern Sie die Sicherheitsnummer in diesem Text und lassen Sie sie Dort, herumliegen, auf einem Desktop, der von 30 Personen genutzt wird. "

3) Die Sicherheit hat ein Budget, um das Erbe zu verwalten, es zu befolgen, alte Lösungen zu überdenken und neue Lösungen für alte Hacks zu finden.

Meiner Meinung nach macht die PCI-Konformität Ihr Unternehmen nicht sicherer. Ja, es hat den Schwerpunkt auf dem Schutz von VISA und Mastercard, aber es öffnet einige Türen zur Sicherheit, gibt Ihnen mehr Budget und kann helfen Sie müssen Ihr Vermächtnis überprüfen und Ihren Softwareentwicklungslebenszyklus im Allgemeinen sorgfältiger gestalten.

PCI DSS hilft dem PCI SSC (PCI Council), Geld zu verdienen, und vieles davon.

Es hilft auch den PCI SSC-Partnern, Geld zu verdienen, und vieles davon.

Es "hilft" weder der Sicherheit noch der Sicherheitsgemeinschaft in irgendeiner Weise. Ich kann zahlreiche Beispiele dafür anführen, wie es die Informationssicherheitshaltung von Organisationen beeinträchtigt und deren Fähigkeit behindert, ein angemessenes Informationssicherheits- und Risikomanagement durchzuführen. Das beste Beispiel ist jedoch, dass es guten Projekten Geld wegnimmt und es in die Hände des PCI SSC und seiner Partner (siehe oben) gibt, die immer schlechte Projekte zu finanzieren scheinen. So funktioniert auch SANS.

Zu sagen, dass die PCI-DSS-Konformität das Risiko verringert und die Sicherheit verbessert, ist wie zu sagen, dass Jenny Craig (oder Weight Watchers) Fett reduziert und das Glück verbessert.

Ich würde sagen, es gibt einige Dinge im PCI-DSS, die für viele Unternehmen sinnvoll sind (auch wenn sie keine Kreditkarten verarbeiten), und ja, wenn sie ordnungsgemäß implementiert werden, kann dies eine Organisation mehr machen sichern. Darüber hinaus hängt alles von der Mentalität (in Bezug auf PCI-DSS) der Organisation ab, die versucht, die PCI-DSS-Konformität zu erreichen.