Inhaltsverzeichnis
Textüberschrift-Link

Machen Sie sich bereit für PCI DSS 4.0

Sep 26, 2023
Machen Sie sich bereit für PCI DSS 4.0

American Express gab 1959 die erste Kreditkarte aus Plastik heraus. Während einzelne Banken im Laufe der Zeit ihre eigenen Sicherheitsstandards entwickelten, entstand erst im Dezember 2004 – fast 55 Jahre nach der Einführung der Diner’s Club-Karte aus Karton im Jahr 1950 – ein branchenweiter Standard: der Payment Card Industry Data Security Standard (PCI DSS).

Hintergrund zu PCI DSS

PCI DSS ist nicht ganz dasselbe wie eine staatliche Vorschrift – wie zum Beispiel GLBA – da Verstöße keine Straftaten sind. Vielmehr ist der Payment Card Industry Security Standards Council (PCI SSC) eine internationale Handelsorganisation, die den Standard verwaltet, Prüfer qualifiziert und andere regulatorische Aktivitäten durchführt. PCI DSS ist eine freiwillige Zertifizierung, die von den meisten Unternehmen der Kredit- und Bankenbranche unterstützt wird und darauf abzielt, weltweite Zahlungstransaktionen und Kontodaten zu schützen. Eine PCI-Zertifizierung bedeutet, dass eine Organisation wie ein Einzelhändler oder ein Kreditkartenabwickler / Technologieanbieter Sicherheitssysteme und Schutzmaßnahmen implementiert hat, um Diebstahl, Fälschung oder andere Manipulationen digitaler Zahlungen zu verhindern.

Beachten Sie, dass der DSS nicht der einzige Standard oder die einzige Anforderung ist, die der PCI SSC zum Schutz von Zahlungen und Karteninhabern festgelegt hat – je nachdem, ob Ihr Unternehmen Händler, Dienstleister, Hersteller oder Softwareentwickler ist. Von den fünfzehn Standards sind einige Highlights:

  • PIN Transaction Security (PTS) Anforderungen sind eine Reihe von Sicherheitsanforderungen, die sich auf die Eigenschaften und Verwaltung von Geräten konzentrieren, die zum Schutz von Karteninhaber-PINs und anderen zahlungsbezogenen Verarbeitungsvorgängen verwendet werden.
  • Payment Application Data Security Standard (PA-DSS) richtet sich an Softwareanbieter und andere, die Zahlungsanwendungen entwickeln, die Karteninhaberdaten und/oder sensible Authentifizierungsdaten im Rahmen der Autorisierung oder Abwicklung speichern, verarbeiten oder übertragen.
  • Der PCI Point-to-Point Encryption Standard (P2PE) bietet einen umfassenden Katalog an Sicherheitsanforderungen für P2PE-Lösungsanbieter, um ihre P2PE-Lösungen zu validieren, und kann dazu beitragen, den PCI DSS-Geltungsbereich für Händler, die solche Lösungen verwenden, zu reduzieren.

Zwei weitere beziehen sich speziell auf die Kartenproduktion und Tokenisierung:

  • PCI-Kartenproduktionsanforderungen an logische Sicherheit und physische Sicherheit
  • PCI Token-Service-Provider-Sicherheitsanforderungen (TSP)

Was sind die Richtlinienanforderungen für PCI DSS?

DSS v1.0 legte zwölf Sicherheits- und Prozessanforderungen fest, die sich an sechs Kontrollzielen orientierten, sowie vier Berichtslevel basierend auf dem Transaktionsvolumen. Um Klarheit zu schaffen und auf sich entwickelnde Technologien und Bedrohungen zu reagieren, wurden diese in Version 4.0 grundlegend wie folgt aktualisiert:

  1. Netzwerksicherheitskontrollen installieren und warten
  2. Sichere Konfigurationen auf alle Systemkomponenten anwenden
  3. Gespeicherte Kontodaten schützen
  4. Schützen Sie Karteninhaberdaten mit starker Verschlüsselung während der Übertragung über offene, öffentliche Netzwerke.
  5. Schützen Sie alle Systeme und Netzwerke vor schädlicher Software
  6. Entwicklung und Wartung sicherer Systeme und Software
  7. Beschränken Sie den Zugriff auf Systemkomponenten und Karteninhaberdaten auf das geschäftliche Notwendige (Need-to-know-Prinzip).
  8. Benutzer identifizieren und den Zugriff auf Systemkomponenten authentifizieren
  9. Beschränken Sie den physischen Zugang zu Karteninhaberdaten
  10. Protokollieren und überwachen Sie alle Zugriffe auf Systemkomponenten und Karteninhaberdaten
  11. Testen Sie regelmäßig die Sicherheit von Systemen und Netzwerken
  12. Unterstützen Sie die Informationssicherheit mit organisatorischen Richtlinien und Programmen

Um Unternehmen dabei zu unterstützen, diese Anforderungen zu verstehen und umzusetzen, sind sie nach Leitprinzipien (Zielen) gruppiert, die sich an allgemein anerkannten Best Practices für die Absicherung jeder Netzwerkumgebung (nicht nur von Zahlungssystemen) orientieren:

  • Aufbau und Wartung eines sicheren Netzwerks und Systems (Anforderungen 1 und 2)
  • Kontodaten schützen (Anforderungen 3 und 4)
  • Ein Programm zum Schwachstellenmanagement aufrechterhalten (Anforderungen 5 und 6)
  • Starke Zugriffskontrollmaßnahmen umsetzen (Anforderungen 7, 8 und 9)
  • Netzwerke regelmäßig überwachen und testen (Anforderungen 10 und 11)
  • Eine Informationssicherheitsrichtlinie aufrechterhalten (Anforderung 12) 

Händler, die Transaktionen abwickeln, müssen je nach jährlichem Geschäftsvolumen eine bestimmte Einstufung erfüllen, und die „acquirende“ Bank (z. B. Visa) kann Sie nach eigenem Ermessen einer höheren Kategorie zuordnen. Jede Stufe (hier bei Mastercard einsehbar) definiert, wie umfassend die Bewertungen und Berichtsverfahren für Händler sein müssen, was sich auch auf die erforderlichen Investitionen zur Einhaltung der Standards auswirkt:

  • Händlerstufe 1: über 6 Mio. Transaktionen
  • Händlerstufe 2: 1 Mio. – 6 Mio. Transaktionen
  • Händlerstufe 3: 20.000 – 1 Mio. Transaktionen
  • Händlerstufe 4: <20.000 Transaktionen 

Dienstleister unterliegen ebenfalls Bewertungen und müssen entweder auf Level 1, definiert als mehr als 300.000 Transaktionen, oder auf Level 2, definiert als weniger als 300.000 Transaktionen, zertifiziert werden.

Was sind die Folgen einer Nichteinhaltung?

PCI DSS ist ähnlich wie ISO und andere Informationssicherheitsstandards, da es bei Verstößen Haftung (und Geldstrafen für die Mitgliedskreditunternehmen, die auch auf Händler umgelegt werden können und bis zu 100.000 $ pro Monat erreichen können) nach sich zieht, aber selbst kein rechtlicher Rahmen ist – was jedoch nicht bedeutet, dass Verstöße nicht zu Klagen führen können.

Equifax erlebte 2017 eine Datenpanne, bei der die Daten von über 145 Millionen Amerikanern kompromittiert wurden. Unter den gestohlenen Daten befanden sich auch Kreditkartennummern. Die Betroffenen reichten Ansprüche gegen das Unternehmen ein, was zu Vergleichen führte, die Equifax bislang über 425 Millionen Dollar gekostet haben.

Nachdem Adobe 2013 Kreditkartennummern und Anmeldedaten von über 38 Millionen Adobe-Nutzern verloren hatte, sah sich das Unternehmen mit Klagen aus 15 verschiedenen US-Bundesstaaten konfrontiert und einigte sich auf eine Zahlung von 1 Million Dollar sowie auf nicht offengelegte Vergleichssummen.

Was ist neu in PCI DSS v4.0?

PCI DSS v4.0 wurde im März 2022 öffentlich veröffentlicht, tritt jedoch erst im März 2025 vollständig in Kraft. Im Jahr 2024 wird v3.2.1 außer Kraft gesetzt und Organisationen müssen beginnen, die Anforderungen von v4.0 umzusetzen. Das Änderungsdokument, das hier zu finden ist, enthält weitere Details. Die Aktualisierungen reichen von kleineren Textklarstellungen bis hin zu neuen Leitlinien zur Verschlüsselung von Kontonummern. Darüber hinaus wird mehr Sorgfalt auf die Festlegung von Rollen und Verantwortlichkeiten in einer Organisation, den Schutz vor Malware, Cyber-Response-Richtlinien, den Geltungsbereich und vieles mehr gelegt. Da die letzte wirklich umfassende Version v3.2 im Jahr 2016 veröffentlicht wurde, erfordert v4.0 Ihre sofortige Aufmerksamkeit.

Welche Daten werden durch PCI DSS reguliert?

Mit dem Fortschritt der Technologie in der Finanzdienstleistungsbranche hat sich auch die Anzahl und Art der verarbeiteten Daten erhöht. Daher wurde Version 4.0 erweitert und umfasst nun nicht nur Kontodaten und andere persönliche Informationen, sondern auch sensible Authentifizierungsdaten (SAD), administrativen Zugriff, Protokolle/Überprüfungen, Zertifikatsmanagement usw. Diese Lücken wurden bisher von anderen Informationssicherheitsgruppen wie der Cloud Security Alliance mit der Cloud Control Matrix adressiert, aber ihre Aufnahme in den PCI DSS wird die Compliance-Bemühungen der Händler strikter machen, insbesondere da der PCI DSS nicht von anderen Zertifizierungen abhängig ist.

Bestimmte Daten dürfen nach Abschluss einer Transaktion niemals gespeichert werden (auch nicht in verschleierter Form) und stellen im Falle einer Kompromittierung ein extrem hohes Risiko dar. Zu den SAD gehören „der auf der Vorder- oder Rückseite einer Karte aufgedruckte 3- oder 4-stellige Sicherheitscode, die auf dem Magnetstreifen oder Chip einer Karte gespeicherten Daten (auch als ‚Full Track Data‘ bezeichnet) sowie die vom Karteninhaber eingegebene persönliche Identifikationsnummer (PIN)“ (siehe Seite 11 des PCI DSS Quick Reference Guide).

Wie Cyera die PCI DSS-Compliance unterstützt

Die Einhaltung eines Standards erfordert ein umfassendes Verständnis der Daten, die Sie besitzen und verarbeiten – der PCI DSS macht es vergleichsweise einfach, bestimmte Informationen zu identifizieren, da Transaktionen nur verarbeitet werden können, wenn die Daten in einem bestimmten Format vorliegen (z. B. eine 16-stellige Kartennummer). Daher – und das weist vielleicht auf ein inhärentes Risiko hin – werden Zahlungsdaten wahrscheinlich in Anwendungen und Datenbanken gespeichert, die in Ihrer gesamten Organisation verteilt sind, sowohl auf internen als auch auf extern zugänglichen Endpunkten. Sie können diese Risiken mindern, indem Sie potenzielle Datenexploits in verteilten Systemen aufdecken, klassifizieren und identifizieren und entsprechende Korrekturmaßnahmen ergreifen.

Für Händler, Dienstleister, Hersteller oder Softwareentwickler kann Cyera Ihnen dabei helfen, die PCI-Datenkonformität zu stärken, indem:

  • Entdecken, Klassifizieren und Inventarisieren von Karteninhaber- und Authentifizierungsdaten, die möglicherweise verloren gegangen, vergessen oder falsch verwaltet wurden
  • Überprüfung, ob PCI-Daten verschleiert wurden und mit welchen Methoden. Zum Beispiel, ob eine Kreditkartennummer verschlüsselt, tokenisiert, gehasht oder als Klartext offengelegt wurde.
  • Bewertung der Sicherheitsresilienz Ihrer Datenspeicher, die PCI-Daten enthalten. Cyera benachrichtigt Sie über fehlende Backups, unzureichende Protokollierung oder bekannte Fehlkonfigurationen, die die Daten gefährden können.
  • Kennzeichnung von zu großzügigem Zugriff auf PCI-Daten. Mit Cyera können Sie sehen, wer Zugriff auf die Datenspeicher hat, einschließlich einzelner Benutzer.
  • Kennzeichnung spezifischer PCI-Verstöße. Zum Beispiel, wenn SAD in einem Datenspeicher abgelegt wird, was gegen die PCI DSS-Anforderung 3.2 verstößt, die das Speichern dieser Art von Daten untersagt.
  • Erkennung von Indikatoren für Kompromittierungen. Zum Beispiel kann Cyera Sie benachrichtigen, wenn PCI-Daten von einer sicheren, genehmigten Umgebung in eine weniger sichere, nicht genehmigte Umgebung verschoben werden.

Mit Vertrauen konform handeln

Die Weltwirtschaft und die unterstützenden Unternehmen sind so eng miteinander verknüpft, dass eine Sicherheitsverletzung selbst in der kleinsten Franchise zu einem massiven Datenleck führen kann, das Millionen von Menschen betrifft. PCI DSS soll dazu beitragen, die Abwicklung von Transaktionen zu sichern und den globalen E-Commerce zu ermöglichen. Doch die Teilnahme an Zahlungssystemen und -prozessen bedeutet, die notwendigen Maßnahmen zu ergreifen, um nicht nur Ihre eigenen Daten, sondern auch die Ihrer Kunden und Partner zu schützen.

Cyera verfolgt einen datenzentrierten Ansatz für Sicherheit, indem es die Gefährdung Ihrer ruhenden und genutzten Daten bewertet und mehrere Verteidigungsschichten anwendet. Da Cyera tiefgehenden Datenkontext ganzheitlich über Ihre gesamte Datenlandschaft hinweg nutzt, sind wir die einzige Lösung, die Sicherheitsteams in die Lage versetzt, zu wissen, wo sich ihre Daten befinden, was sie Risiken aussetzt, und sofort Maßnahmen zu ergreifen, um Gefährdungen zu beheben und die Einhaltung von Vorschriften sicherzustellen – ohne den Geschäftsbetrieb zu stören.

Erfahren Sie mehr darüber, wie Cyera Sie bei der Einhaltung der PCI-Compliance unterstützen kann, und vereinbaren Sie noch heute eine Demo.

Thema

Thought Leadership

Teilen

Analyze this article with AI:
chatgpt Summarize in ChatGPT
Copy Prompt & Open Claude
Summarize in Claude
Ask Perplexity
grok--v2 Copy Prompt & Open Grok
grok--v2 Summarize in Grok

Verwandte Ressourcen

Button-Text
Cover image representing secure and responsible AI in government
BLOG

Jul 24, 2025

Jul 24, 2025

Josh Beard

From Risk to Readiness: Enabling Secure, Responsible AI in Government

From Risk to Readiness: Enabling Secure, Responsible AI in Government

Illustration comparing DSPM and DLP approaches to data security
BLOG

Jul 18, 2025

Jul 18, 2025

DSPM vs DLP: Rethinking Data Security in the Age of AI

DSPM vs DLP: Rethinking Data Security in the Age of AI

Cover image for Cyera blog on operationalizing compliance with automated data security solutions
BLOG

Jul 9, 2025

Jul 9, 2025

Operationalizing Compliance with the DOJ’s Rule For Bulk Transfers of Sensitive Personal Data

Operationalizing Compliance with the DOJ’s Rule For Bulk Transfers of Sensitive Personal Data

Erlebe Cyera

Um Ihr Datenversum zu schützen, müssen Sie zunächst herausfinden, was darin enthalten ist. Lassen Sie uns helfen.

Holen Sie sich eine Demo →
Decorative