Bereiten Sie sich auf PCI DSS 4.0 vor.

Sep 26, 2023
Share

American Express hat die erste Plastikkreditkarte Im Jahr 1959. Und obwohl einzelne Banken im Laufe der Zeit ihre eigenen Sicherheitsstandards etabliert hatten, dauerte es bis Dezember 2004, fast 55 Jahre nach dem Debüt der Pappkarte des Diners Club im Jahr 1950, bis ein branchenweiter Standard entstand: der Zahlungskartenindustrie-Datensicherheitsstandard (PCI DSS).

Hintergrundinformationen zu PCI DSS

PCI DSS ist nicht ganz dasselbe wie eine staatliche Verordnung – wie zum Beispiel GLBADenn Verstöße sind keine Straftaten. Vielmehr ist der Payment Card Industry Security Standards Council (PCI SSC) ein internationaler Branchenverband, der den Standard verwaltet, Prüfer qualifiziert und weitere regulatorische Aufgaben wahrnimmt. PCI DSS ist eine freiwillige Zertifizierung, die von einem Großteil der Kredit- und Bankenbranche unterstützt wird und dem Schutz globaler Zahlungstransaktionen und Kontodaten dient. Eine PCI-Zertifizierung bedeutet, dass eine Organisation, wie beispielsweise ein Einzelhändler oder ein Kreditkartenabwickler/Technologieanbieter, Sicherheitssysteme und -vorkehrungen implementiert hat, um Diebstahl, Fälschung oder sonstige Manipulation digitaler Zahlungen zu verhindern.

Beachten Sie, dass der DSS nicht der einzige Standard oder die einzige Anforderung ist, die das PCI SSC zum Schutz von Zahlungen und Karteninhabern festgelegt hat. Dies hängt davon ab, ob Ihr Unternehmen Händler, Dienstleister, Hersteller oder Softwareentwickler ist. Von den fünfzehn Standards sind einige Highlights Sind:

  • Anforderungen an die PIN-Transaktionssicherheit (PTS) ist eine Reihe von Sicherheitsanforderungen, die sich auf die Eigenschaften und die Verwaltung von Geräten konzentrieren, die zum Schutz von Karteninhaber-PINs und anderen mit der Zahlungsabwicklung verbundenen Aktivitäten eingesetzt werden.
  • Standard für die Datensicherheit von Zahlungsanwendungen (PA-DSS) ist für Softwareanbieter und andere, die Zahlungsanwendungen entwickeln, welche Karteninhaberdaten und/oder sensible Authentifizierungsdaten im Rahmen der Autorisierung oder Abrechnung speichern, verarbeiten oder übermitteln.
  • PCI-Punkt-zu-Punkt-Verschlüsselungsstandard (P2PE) bietet einen umfassenden Satz von Sicherheitsanforderungen für P2PE-Lösungsanbieter zur Validierung ihrer P2PE-Lösungen und kann dazu beitragen, den PCI-DSS-Geltungsbereich von Händlern, die solche Lösungen verwenden, zu reduzieren.

Zwei weitere beziehen sich speziell auf die Kartenproduktion und Tokenisierung:

  • Logische und physische Sicherheitsanforderungen für die PCI-Kartenproduktion
  • Sicherheitsanforderungen für PCI-Token-Dienstanbieter (TSP)

Welche Richtlinienanforderungen gelten für PCI DSS?

DSS v1.0 legte zwölf Sicherheits- und Prozessanforderungen fest, die in sechs Kontrollziele und vier Berichtsebenen basierend auf dem Transaktionsaufkommen gegliedert waren. Um Klarstellungen vorzunehmen und auf sich entwickelnde Technologien und Bedrohungen zu reagieren, wurden diese in v4.0 grundlegend aktualisiert:

  1. Netzwerksicherheitskontrollen installieren und warten
  2. Wenden Sie sichere Konfigurationen auf alle Systemkomponenten an.
  3. Schützen Sie gespeicherte Kontodaten
  4. Schützen Sie Karteninhaberdaten mit starker Verschlüsselung bei der Übertragung über offene, öffentliche Netzwerke.
  5. Schützen Sie alle Systeme und Netzwerke vor Schadsoftware.
  6. Entwicklung und Wartung sicherer Systeme und Software
  7. Beschränken Sie den Zugriff auf Systemkomponenten und Karteninhaberdaten auf das geschäftlich notwendige Maß.
  8. Benutzer identifizieren und Zugriff auf Systemkomponenten authentifizieren
  9. Beschränken Sie den physischen Zugriff auf Karteninhaberdaten.
  10. Protokollieren und überwachen Sie alle Zugriffe auf Systemkomponenten und Karteninhaberdaten.
  11. Überprüfen Sie regelmäßig die Sicherheit von Systemen und Netzwerken.
  12. Unterstützen Sie die Informationssicherheit durch organisatorische Richtlinien und Programme.

Um Unternehmen das Verständnis und die Erfüllung dieser Anforderungen zu erleichtern, werden sie nach Leitprinzipien (Zielen) gruppiert, die sich an allgemein anerkannten Best Practices für die Sicherung jeder Netzwerkumgebung (nicht nur von Zahlungssystemen) orientieren:

  • Aufbau und Wartung eines sicheren Netzwerks und sicherer Systeme (Anforderungen 1 und 2)
  • Schutz der Kontodaten (Anforderungen 3 und 4)
  • Ein Schwachstellenmanagementprogramm aufrechterhalten (Anforderungen 5 und 6).
  • Strenge Zugangskontrollmaßnahmen implementieren (Anforderungen 7, 8 und 9)
  • Netzwerke regelmäßig überwachen und testen (Anforderungen 10 und 11)
  • Pflegen Sie eine Informationssicherheitsrichtlinie (Anforderung 12).

Händler, die Transaktionen abwickeln, müssen ein bestimmtes Bewertungsniveau erreichen, das auf ihrem jährlichen Geschäftsvolumen basiert. Die „Acquirer“-Bank (z. B. Visa) kann Sie nach eigenem Ermessen in eine höhere Kategorie einstufen. Jede Stufe (Hier ansehen via Mastercard) definiert, wie umfassend Händlerbewertungen und Berichtspraktiken sein müssen, was sich auch auf die Investitionen auswirkt, die zur Einhaltung der Standards erforderlich sind:

  • Händlerstufe 1: >6 Mio. Transaktionen
  • Händlerstufe 2: 1 Mio. – 6 Mio. Transaktionen
  • Händlerstufe 3: 20.000 – 1 Mio. Transaktionen
  • Händlerstufe 4: <20.000 Transaktionen

Auch die Dienstleister unterliegen Bewertungen und müssen sich entweder auf Stufe 1 (mehr als 300.000 Transaktionen) oder auf Stufe 2 (weniger als 300.000 Transaktionen) zertifizieren lassen.

Welche Folgen hat die Nichteinhaltung?

PCI DSS ist wie ISO und andere Informationssicherheitsstandards, da sie die Haftung für Fehler (und Bußgelder für die Mitgliedskreditunternehmen, die auch gegen die Händler verhängt werden können und bis zu 100.000 US-Dollar pro Monat betragen können) vorsehen, aber selbst kein Rechtsrahmen sind – obwohl das nicht bedeutet, dass Verstöße nicht zu Klagen führen werden.

Equifax wurde Opfer eines Datenlecks Im Jahr 2017 wurden die Daten von über 145 Millionen Amerikanern kompromittiert. Zu den gestohlenen Daten gehörten auch Kreditkartennummern. Die Betroffenen reichten Klagen gegen das Unternehmen ein, was zu Vergleichen führte, die Equifax bis heute über 425 Millionen Dollar gekostet haben.

Nach Adobe hat Kreditkartennummern verloren Nachdem das Unternehmen im Jahr 2013 die Anmeldeinformationen von über 38 Millionen Adobe-Nutzern erlangt hatte, sah es sich mit Klagen aus 15 verschiedenen Bundesstaaten konfrontiert und zahlte eine Entschädigung in Höhe von 1 Million Dollar, zusätzlich zu nicht offengelegten weiteren Vergleichssummen.

Was ist neu in PCI DSS v4.0?

PCI DSS v4.0 wurde im März 2022 veröffentlicht, tritt aber erst im März 2025 vollständig in Kraft. Ab 2024 wird Version 3.2.1 nicht mehr unterstützt, und Unternehmen müssen mit der Umsetzung der Anforderungen von Version 4.0 beginnen. Das Änderungsdokument befindet sich hier. Hier Die Version bietet detaillierte Informationen, die Aktualisierungen umfassen jedoch alles von kleineren Textkorrekturen bis hin zu neuen Richtlinien zur Kontonummernverschlüsselung. Darüber hinaus werden die Festlegung von Rollen und Verantwortlichkeiten in einer Organisation, die Abwehr von Malware, die Richtlinien für die Reaktion auf Cyberangriffe, der Geltungsbereich und vieles mehr strenger geregelt. Da die letzte wirklich umfassende Version 3.2 aus dem Jahr 2016 stammt, ist Version 4.0 dringend zu prüfen.

Welche Daten werden durch PCI DSS reguliert?

Mit dem technologischen Fortschritt im Finanzdienstleistungssektor haben sich auch die Anzahl und Art der verarbeiteten Daten erhöht. Daher umfasst Version 4.0 neben Kontodaten und anderen personenbezogenen Daten auch sensible Authentifizierungsdaten (SAD), administrative Zugriffsrechte, Protokolle/Überprüfungen, Zertifikatsverwaltung usw. Diese Lücken wurden bereits von anderen Informationssicherheitsorganisationen wie der Cloud Security Alliance mit der Cloud Control Matrix geschlossen. Ihre Kodifizierung im PCI DSS wird die Compliance-Bemühungen von Händlern jedoch deutlich verschärfen, insbesondere da der PCI DSS nicht von anderen Zertifizierungen abhängig ist.

Bestimmte Daten dürfen nach Abschluss einer Transaktion niemals gespeichert werden (auch nicht in verschlüsselter Form), da sie im Falle eines Datenlecks ein extrem hohes Risiko darstellen. Zu den sensiblen Daten (SAD) gehören „der 3- oder 4-stellige Sicherheitscode auf der Vorder- oder Rückseite einer Karte, die auf dem Magnetstreifen oder Chip der Karte gespeicherten Daten (auch „Vollständige Transaktionsdaten“ genannt) und die vom Karteninhaber eingegebene PIN“ (siehe Seite 11 der [Richtlinien/Dokumentation/etc.]). PCI DSS-Kurzanleitung).

Wie Cyera die PCI-DSS-Konformität unterstützt

Die Einhaltung jeglicher Standards erfordert ein umfassendes Verständnis der gespeicherten und verarbeiteten Daten. PCI DSS vereinfacht die Identifizierung bestimmter Informationen, da Transaktionen nur verarbeitet werden können, wenn die Daten ein bestimmtes Format aufweisen (z. B. eine 16-stellige Kartennummer). Daher – und dies birgt möglicherweise ein inhärentes Risiko – werden Zahlungskontodaten wahrscheinlich in Anwendungen und Datenbanken gespeichert, die über das gesamte Unternehmen verteilt sind, sowohl auf internen als auch auf externen Endgeräten. Sie können diese Risiken minimieren, indem Sie potenzielle Datenmissbrauchsszenarien in verteilten Systemen erkennen, klassifizieren und identifizieren und entsprechende Korrekturmaßnahmen ergreifen.

Für Händler, Dienstleister, Hersteller oder Softwareentwickler kann Cyera Ihnen dabei helfen, die PCI-Datenkonformität zu stärken, indem es:

  • Aufspüren, Klassifizieren und Inventarisieren von Karteninhaber- und Authentifizierungsdaten, die möglicherweise verloren gegangen, vergessen oder falsch verwaltet wurden
  • Prüfung, ob PCI-Daten verschleiert wurden und mit welchen Methoden. Zum Beispiel, ob eine Kreditkartennummer verschlüsselt, tokenisiert, gehasht oder als Klartext offengelegt wurde.
  • Cyera bewertet die Sicherheitsstabilität Ihrer Datenspeicher, die PCI-Daten enthalten. Cyera warnt Sie vor fehlenden Backups, unzureichender Protokollierung oder bekannten Fehlkonfigurationen, die die Daten gefährden können.
  • Zu großzügiger Zugriff auf PCI-Daten wird erkannt. Mit Cyera sehen Sie, wer Zugriff auf die Datenspeicher hat, einschließlich einzelner Benutzer.
  • Kennzeichnung spezifischer PCI-Verstöße. Zum Beispiel, wenn SAD in einem Datenspeicher abgelegt wird, was gegen die PCI-DSS-Anforderung 3.2 verstößt, wonach diese Art von Daten nicht gespeichert werden darf.
  • Erkennung von Anzeichen für Kompromittierung. Wenn beispielsweise PCI-Daten aus einer sicheren, genehmigten Umgebung in eine weniger sichere, nicht genehmigte Umgebung übertragen werden, kann Cyera Sie über solche Aktivitäten informieren.

Mit Zuversicht befolgen

Die Weltwirtschaft und die damit verbundenen Unternehmen sind so eng miteinander verflochten, dass selbst ein Sicherheitsverstoß in einem kleinen Unternehmen massive Auswirkungen auf Millionen von Menschen haben kann. PCI DSS soll die sichere Abwicklung von Transaktionen gewährleisten und den globalen E-Commerce ermöglichen. Die Teilnahme an Zahlungssystemen und -prozessen erfordert jedoch, dass Sie nicht nur Ihre eigenen Daten, sondern auch die Ihrer Kunden und Partner schützen.

Cyera Cyera verfolgt einen datenzentrierten Sicherheitsansatz, indem es die Gefährdung Ihrer ruhenden und genutzten Daten analysiert und mehrere Verteidigungsebenen implementiert. Da Cyera den Datenkontext ganzheitlich über Ihre gesamte Datenlandschaft hinweg betrachtet, sind wir die einzige Lösung, die Sicherheitsteams in die Lage versetzt, zu wissen, wo sich ihre Daten befinden, welche Risiken bestehen und sofort Maßnahmen zur Behebung von Schwachstellen und zur Sicherstellung der Compliance zu ergreifen, ohne den Geschäftsbetrieb zu beeinträchtigen.

Um mehr darüber zu erfahren, wie Cyera Sie bei der Einhaltung der PCI-Standards unterstützen kann, Demo vereinbaren Heute.

Share