Zertifizierung von Call Centern nach dem Datensicherheitsstandard der Payment Card Industry PCI DSS

Da Unternehmen zunehmend ihre Kundenkommunikation und ihre Geschäftsvorgänge über Call Center abwickeln, ist es nicht verwunderlich, dass dieser Wirtschaftszweig signifikante Steigerungen und Expansionen zu vermelden hat. Egal ob Marketing, Customer Relation Management (CRM) oder Auftragsannahme, die Kommunikation läuft über ein Call Center.

Dabei kommen Call Center mit Daten in Verbindung, die einem besondern Schutz unterliegen. In diesem Artikel möchte ich speziell auf die Problematik von Kreditkartendaten bei Bestell-Hotlines eingehen. Denn gemäß den Data Security Standards der Payment Card Industry sind Kreditkartendaten ein besonders schützenswertes Gut. Der Standard betrifft alle Unternehmen, Bereiche, Systeme und Personen, die Kreditkartendaten verarbeiten, speichern oder übertragen. Damit unterliegen auch viele Call Center mit ihren Arbeitsprozessen und Systemen dem PCI DSS und müssen sich, je nach Transaktionsumfang, um eine Zertifizierung gemäß den Standards bemühen.

Es besteht ebenfalls die Möglichkeit Gabriel und SATAN zusammen einzusetzen. Der Vorteil für den Systemadministrator liegt hier in der Tatasache, dass er mit SATAN sein Netzwerk auf Sicherheitslücken untersuchen kann und Gabriel ihn sofort benachrichtigt, wenn dies von außerhalb ohne seine Zustimmung erfolgt.

Grundlagen

Der PCI Security Standards Council (PCI SSC) ist die weltweite, übergeordnete Organisation, die für die ständige Entwicklung, Verbesserung, Verbreitung und Implementierung von Sicherheitsstandards zum Schutz von Kreditkartendaten zuständig ist. Der PCI SSC wurde von American Express, Discover Financial Services, JCB, MasterCard Worldwide und Visa International gegründet und repräsentiert somit fast die gesamte Kreditkartenindustrie.

Die damit verbundenen Aufgaben und Ziele sind die Definition und Weiterentwicklung des PCI Data Security Standards als gemeinsame Basis der Sicherheitsprogramme von VISA und MasterCard sowie die Vorbeugung vor Diebstahl und Missbrauch von Kreditkartendaten. Damit einher gehend erfolgen eine signifikante Erhöhung des allgemeinen Sicherheitsstandards in der Kreditkartenindustrie sowie die Reduzierung von Haftungsrisiken für alle Beteiligten am Zahlungsverkehr mit Kreditkarten.

Der Payment Card Industry Data Security Standard (PCI DSS) besteht aus sechs Kontrollzielen, welche zwölf Hauptanforderungen enthalten, die ca. 160 Einzelrichtlinien beinhalten.

Kontrollziel	Nr.	Hauptanforderung
Aufbau und Betrieb eines sicheren Netzwerkes	1	Betrieb einer Firewall-Umgebung
	2	Vermeidung von herstellerspezifischen Standards für Systempasswörter und andere Sicherheitseinstellungen
Schutz der Kreditkartendaten	3	Schutz gespeicherter Daten
	4	Verschlüsselung der Übermittlung von Kreditkartendaten und anderer sensibler Informationen über öffentliche Netzwerke
Management von Schwachstellen	5	Benutzung und regelmäßige Aktualisierung von Anti-Virus Software
	6	Entwicklung und Pflege sicherer Systeme und Anwendungen
Starker Zugriffsschutz	7	Beschränkung des Zugriffs auf Daten nach dem Need-to-Know-Prinzip
	8	Zuordnung einer individuellen USER-ID an Personen mit IT-Zugriff
	9	Beschränkung des physischen Zugriffs auf Kreditkarteninformationen
Regelmäßige Prüfung und Test des Netzwerkes	10	Überwachung und Nachverfolgung jeglicher Zugriffe auf Netzwerkressourcen und Kreditkarteninformationen
	11	Regelmäßige Tests der Sicherheitssysteme und -prozesse
Pflege einer Information Security Policy	12	Pflege einer Richtlinie für die Informationssicherheit

Die Zertifizierungsanforderungen sind für Händler und Service-Provider abhängig von der Anzahl der verarbeiteten Transaktionen und der akzeptierten Karten in unterschiedlichen Stufen. Es gibt vier Stufen für Händler und drei Stufen für Service-Provider.

Praktische Überlegungen

Da der PCI DSS klare Vorgaben für die technische Seite der Datensicherheit macht, muss der menschliche Faktor eine besondere Berücksichtigung erfahren. Wenn alle technischen Maßnahmen korrekt eingeführt wurden so benötigt man nur einige Stunden pro Monat an Arbeitsaufwand um PCI DSS compliant zu bleiben.

In einem Call Center ist es der "Human Factor", der Probleme bereitet, wenn es um Sicherheitsüberlegungen geht. Üblicherweise arbeiten viele Menschen in einem Call Center. Bietet das Call Center seinen Kunden eine 24/7 Erreichbarkeit an, arbeitet das Personal in drei oder vier Schichten pro Tag. Darüber hinaus ist die Fluktuation beim Personal im Vergleich zu anderen Branchen mitunter sehr hoch. Dies wird bedingt durch den hohen Leistungsdruck und die niedrige Bezahlung. Man kann deshalb davon ausgehen, dass das schwächste Glied in der Kette der Sicherheitscompliance das Personal ist.

Um dieses Problem zu bewältigen, müssen zwei Lösungsansätze eingeführt werden. Sicherheitsrichtlinien, die einfach geschrieben und zu verstehen sind, sowie eine wiederholte Schulung des Sicherheitsbewusstseins. Dabei muss die erste Sicherheitsschulung bereits bei der Einstellung von neuen Mitarbeitern als Training für den Job erfolgen, noch bevor diese mit ihrem ersten Kunden in Kontakt kommen.

Sicherheitsschulung

Jeder Call Center Agent muss an einer Sicherheitsschulung als Pflichtausbildung teilnehmen. Diese Sicherheitsschulung kann ein Seminar, Vortrag oder eine Online-Präsentation im Intranet des Call Centers sein. Am Ende der Sicherheitsschulung sollte ein kleiner Test stehen, um die vermittelten Informationen noch einmal zu überprüfen. Mit dem Test wird sichergestellt, dass Teilnehmer der Ausbildung auch gebührende Aufmerksamkeit schenken und dies nicht als notwendiges Übel oder geistige Freizeit betrachten. In jedem Fall muss die erfolgreiche Teilnahme an der Schulungsmaßnahme dokumentiert werden. Damit kann im verschuldeten Schadensfalle nachgewiesen werden, dass der Anwender über bestimmte Sachverhalte korrekt informiert wurde. Die Sicherheitsschulung sollte regelmäßig wiederholt werden, dabei sollte der Zeitraum zwischen zwei Schulungen nicht größer sein als ein Jahr.

Richtlinien

Es gibt zwei Bereiche, in denen Richtlinien hilfreich sein können. Wenn die Richtlinien gut geschrieben sind, können sie den Mitarbeiter über die Haltung des Unternehmens zur Informationssicherheit informieren und ausbilden. Darüber hinaus können Richtlinien rechtliche Sicherheit schaffen. Da mit den Richtlinien jeder Mitarbeiter über seine Pflichten zur Erhaltung der Informationssicherheit im Call Center informiert wurde, sollte nicht nur die Anzahl der Vorfälle auf einem akzeptablen Niveau liegen. Auch die Haftung wird damit an den Mitarbeiter übertragen, was durchaus auch disziplinarische Maßnahmen nach sich ziehen kann. Die Richtlinien müssen deshalb Mitarbeitern nicht nur zur Kenntnis gebracht werden, sondern durch die Unterschrift des Mitarbeiters muss dieser schriftlich bestätigen, die Richtlinien zur Kenntnis genommen zu haben. Richtlinien müssen so geschrieben und verfasst sein, dass auch ein nicht-technischer Mensch den Sinn und Zweck der Richtlinie verstehen kann. Das bedeutet, dass Richtlinien einfach und in einer leicht verständlichen Sprache geschrieben sein müssen. Darüber hinaus sollten sie kurz und prägnant sein. Tatsache ist, dass große, umfangreiche Richtlinienhandbücher von Mitarbeitern nicht gelesen werden, da sie von deren Umfang und Wortwahl abgeschreckt werden. Es ist kein Problem umfangreiche Richtlinienwerke auf ein anwenderfreundliches Maß einzudampfen. Es gibt sogar Produkte am Markt, die solche Richtlinien bereits fertig anbieten.

Die Richtlinien sollten darüber hinaus für drei Zielgruppen aufgeteilt sein: für Anwender / Mitarbeiter, für technische Administratoren sowie für das Management. Es ist offensichtlich, dass Richtlinien für technische Administratoren vollkommen uninteressant und auch unverständlich für die Zielgruppe der Mitarbeiter oder des Managements sind.

Mit verpflichtenden Sicherheitsschulungen und Sicherheitsrichtlinien, geschrieben für entsprechende Zielgruppen, sollte es kein Problem sein die Hindernisse für eine PCI DSS Compliance aus dem Weg zu räumen, die durch menschliches Verhalten aufgebaut werden.

Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.