Wenn Ihr Unternehmen an der Abwicklung von Kreditkartenzahlungen tätig ist, sind Sie wahrscheinlich verpflichtet, die Payment Card Industry Data Security Standards (PCI DSS) einzuhalten. Die Fragen rund um die Einhaltung des PCI DSS und was Sie im Rahmen dieses Mandats tun müssen, können überwältigend sein. Gehen Sie diese Fragen der Reihe nach durch, um sich einen Überblick über die Anforderungen und Richtlinien zur Einhaltung von PCI DSS zu verschaffen.
Was bedeutet PCI DSS-Einhaltung?
Die Anforderungen des PCI DSS fördern die Sicherheit der Daten von Karteninhabern und unterstützen die Einführung einheitlicher Datensicherheitsmaßnahmen auf globaler Ebene. Die grundlegenden technischen und betrieblichen Anforderungen gelten für alle Unternehmen, die an der Kreditkartenverarbeitung beteiligt sind, einschließlich Händlern, Verarbeitern, Acquirern, Emittenten und Drittdienstleistern.
Für das Verständnis der PCI DSS-Konformität sind zwei Komponenten von entscheidender Bedeutung: die Unterscheidung der Datentypen, wenn PCI DSS sich auf „Kontodaten“ bezieht, und die Definition des Umfangs dessen, was konform sein muss. Kontodaten sind nicht nur die Kontonummer oder die PIN, sondern werden in zwei Kategorien unterteilt: Karteninhaberdaten und sensible Authentifizierungsdaten.
Beispiele für Kontodaten
1. Daten des Karteninhabers
- Primäre Kontonummer (PAN)
- Name des Karteninhabers
- Verfallsdatum
- Service-Code
2. Sensible Authentifizierungsdaten
- Vollständige Spurdaten (Magnetstreifendaten oder gleichwertige Daten auf dem Chip)
- Kartenprüfungscode
- PINs/PIN-Blöcke
In den PCI DSS-Anforderungen wird immer wieder auf Kontodaten, Karteninhaberdaten und sensible Authentifizierungsdaten verwiesen. PCI DSS betrachtet diese Begriffe nicht als austauschbar, daher ist es wichtig, bei der Überprüfung der PCI DSS-Anforderungen zu verstehen, auf welche Daten Bezug genommen wird.
Die Kenntnis der Arten von Kontodaten, mit denen Sie zu tun haben, ist ein wichtiger erster Schritt, um den Umfang Ihrer Umgebung zu verstehen. Die PCI DSS-Anforderungen beziehen sich auf die Umgebung der Karteninhaberdaten (Cardholder Data Environment, CDE), d. h. die Systemkomponenten, Personen und Prozesse, die Kontodaten speichern. Dazu gehören auch Systeme, die zwar nichts mit der Speicherung oder Verarbeitung von Kontodaten zu tun haben, aber uneingeschränkt mit dem CDE verbunden sind oder dessen Sicherheit beeinflussen können.
Bei der Festlegung und Begrenzung des Umfangs der Elemente, die für die Einhaltung dieses Standards erforderlich sind, ist es wichtig zu bestimmen, wie Sie mit den für Ihr Unternehmen geltenden Kontodaten umgehen und wo sie in Ihrer Umgebung gespeichert, verarbeitet oder übertragen werden.
Überblick über die PCI DSS-Anforderungen
Nachdem wir nun festgestellt haben, auf welche Daten sich die PCI DSS-Konformität bezieht, werfen wir einen Blick auf die Standards selbst. Die Standards bieten einen Grundstock an technischen und betrieblichen Anforderungen zum Schutz von Kontodaten. Es gibt 12 Hauptanforderungen, die sich auf 6 Bereiche verteilen, in denen der Standard seine Kontrollen organisiert.
PCI Data Security Standard – High Level Overview |
|
Area | Requirement |
Build and Maintain a Secure Network and Systems | 1. Install and Maintain Network Security Controls
2. Apply Secure Configurations to All System Components |
Protect Account Data | 3. Protect Stored Account Data.
4. Protect Cardholder Data with Strong Cryptography During Transmission Over Open, Public Networks |
Maintain a Vulnerability Management Program | 5. Protect All Systems and Networks from Malicious Software
6. Develop and Maintain Secure Systems and Software |
Implement Strong Access Control Measures | 7. Restrict Access to System Components and Cardholder Data by Business Need to Know
8. Identify Users and Authenticate Access to System Components 9. Restrict Physical Access to Cardholder Data |
Regularly Monitor and Test Networks | 10. Log and Monitor All Access to System Components and Cardholder Data
11. Test Security of Systems and Networks Regularly |
Maintain an Information Security Policy | 12. Support Information Security with Organizational Policies and Programs |
Jede der 12 oben aufgeführten PCI DSS-Anforderungen hat Unterabschnitte mit insgesamt 250 detaillierten Kontrollen, die mit jeder Hauptanforderung korrelieren. Der Standard hat seit seiner Einführung zahlreiche Aktualisierungen erfahren. Die jüngste ist Version 4.0, die im März 2022 veröffentlicht wurde.
Eine der wichtigsten Neuerungen in Version 4.0 besteht darin, dass Organisationen die Möglichkeit haben, anstelle des Standardansatzes, bei dem alle Kontrollen innerhalb der Hauptanforderungen bewertet werden müssen, einen „maßgeschneiderten Ansatz“ zu wählen.
Dieser maßgeschneiderte Ansatz ermöglicht es den Unternehmen, Kontrollen zu implementieren, um das in der Anforderung angegebene Ziel des maßgeschneiderten Ansatzes zu erreichen. Dieser angepasste Ansatz ist eine innovative und einzigartige Methode, um Kunden mit unterschiedlichen Umgebungen die Flexibilität zu geben, die Ziele des PCI DSS zu erreichen, ohne sich strikt an die definierten Kontrollen zu halten. Obwohl die Methode flexibel ist, birgt sie auch ihre eigenen Herausforderungen. Es gibt keine festgelegten Testverfahren, da die Kontrollen, die ein Unternehmen auswählt, individuell angepasst werden. Dies erfordert, dass die Prüfer Testverfahren auf der Grundlage dieses Entwurfs erstellen. PCI SSC hat dieses Modell für risikoreife Unternehmen entwickelt, die über solide Risikomanagement-Programme verfügen, die in der Lage sind, ihr einzigartiges Risikoumfeld zu bewerten und zu mindern.
Checkliste für die PCI-Konformität je nach Händlerstufe
Was Sie tun müssen, um die Einhaltung des PCI DSS nachzuweisen, hängt von den Zahlungsmarken ab, mit denen Sie arbeiten, und davon, welche Händlerstufe Ihr Unternehmen hat. Die Händlerstufen reichen von 1 bis 4 und haben ähnliche Kriterien für alle Zahlungsmarken, die darauf basieren, wie viele Transaktionen der jeweiligen Zahlungsmarke jährlich verarbeitet werden.
Merchant Level* | Criteria | Compliance Requirement |
Level 1 |
|
|
Level 2 |
|
|
Level 3 |
|
|
Level 4 |
|
|
* Weder Discover, American Express noch JCB haben eine Stufe 4-Bezeichnung. Discover und American Express bleiben bei Stufe 3 stehen; JCB hat nur zwei Händlerstufen.
Wie in der obigen Tabelle aufgeführt, muss jeder Händler, der als Stufe 1 eingestuft wird, eine externe Bewertung durch einen qualifizierten Sicherheitsgutachter (QSA) vornehmen lassen. Dieser QSA ermöglicht es Ihnen, einen Report on Compliance (ROC) auszufüllen, das Berichtsinstrument, mit dem die Ergebnisse Ihrer PCI DSS-Bewertung dokumentiert werden. Für alle anderen Händlerstufen, die entweder nicht genügend Transaktionen haben, um als Stufe 1 zu gelten, oder bei denen noch kein Cyber-Sicherheitsverstoß aufgetreten ist, können Sie die Einhaltung mit dem Self-Assessment Questionnaire (SAQ) nachweisen.
Es gibt mehrere Versionen des SAQ, um verschiedenen Händlerszenarien gerecht zu werden (z. B. E-Commerce und manuelle Eingabe). Alle Organisationen, unabhängig von der Stufe, müssen eine Konformitätsbescheinigung (Attestation of Compliance, AOC) einreichen. Das AOC ist das offizielle PCI SSC-Formular, mit dem Händler und Service Provider die Ergebnisse einer PCI DSS-Bewertung bestätigen, wie sie in einem SAQ oder ROC eines QSA dokumentiert sind. Als letztes müssen alle Unternehmen einen vierteljährlichen externen Schwachstellen-Scan vorlegen, der von einem zugelassenen Scanning-Anbieter (ASV) durchgeführt wurde.
Wie man PCI-konform wird
Der Prozess der PCI-Konformität kann kompliziert sein, aber wenn Sie ihn auf die entscheidenden Komponenten reduzieren und einen Schritt nach dem anderen befolgen, kann jede Organisation PCI-konform werden.
Wo befindet sich mein Unternehmen derzeit?
- Finden Sie heraus, wo Ihr Unternehmen auf dem Weg zur PCI DSS-Konformität steht. Fangen Sie bei Null an und kennen den Stand Ihres Unternehmens, oder sind Sie auf dem Weg dorthin?
Führen Sie eine Lückenbewertung durch.
- Bewerten Sie, welche PCI DSS-Anforderungen Sie erfüllen und welche Dokumentation Sie zur Unterstützung dieser Anforderungen benötigen.
- Entwickeln Sie eine Roadmap oder einen Aktionsplan, um festgestellte Lücken zu schließen.
Implementieren Sie fehlende Sicherheitskontrollen und Schulungen zum Sicherheitsbewusstsein.
- Implementieren Sie auf der Grundlage Ihrer Lückenbewertung alle fehlenden Sicherheitskontrollen oder Dokumentationen für diese Kontrollen, um die Einhaltung der Anforderungen nachzuweisen.
- Der Schutz der Daten von Karteninhabern ist nicht die Aufgabe einer einzelnen Person; klären Sie Ihre Organisation über die Bedeutung dieses Ziels auf und helfen Sie bei der Aufklärung.
Holen Sie Scans und Audits Ihrer Anbieter ein.
- Sobald Sie Ihre Kontrolllücken geschlossen haben, ist es an der Zeit, Ihre vierteljährlichen Schwachstellen-Scans durchführen zu lassen.
- Wenn Sie ein Level-1-Händler sind, lassen Sie Ihre Umgebung von einem QSA prüfen oder führen Sie ein internes Audit zur Bewertung Ihrer Umgebung durch.
Reichen Sie die Dokumentation ein und verbessern Sie sich kontinuierlich.
- Sobald Sie die erforderlichen Scans und Bewertungen durchgeführt haben, können Sie die Dokumentation entsprechend Ihrer Konformitätsstufe einreichen.
- Jedes Mal, wenn eine Bewertung abgeschlossen ist, haben Sie die Möglichkeit, etwaige Lücken oder Verbesserungsmöglichkeiten zu überprüfen und Änderungen für die nächste Bewertung vorzunehmen.
Der Schutz von Karteninhaberdaten und der Nachweis der PCI DSS-Konformität sind keine Kleinigkeit, können aber mit den richtigen Tools und Prozessen erleichtert werden. Wenn Sie erst einmal wissen, was erforderlich ist und welche Präventivmaßnahmen Sie ergreifen müssen, besteht die zweite Herausforderung oft darin, diese Einhaltung nachzuweisen.
Hier haben Tools wie Security Information and Event Management (SIEM) die einzigartige Fähigkeit, nicht nur viele der Überwachungsanforderungen von PCI DSS zu erfüllen, sondern auch Ihre Konformität zu demonstrieren, indem sie aufzeichnen, was in Ihrer Umgebung mit Karteninhaberdaten vorgefallen ist und was nicht.
LogRhythm bietet seit über einem Jahrzehnt PCI DSS-Unterstützung. Wenn Sie Hilfe benötigen, um Ihre PCI DSS-Reise nachzuweisen, sehen Sie sich an, wie LogRhythm Ihnen helfen kann.
Sie haben Fragen? Ihr Ansprechpartner für D/A/CH
Do you have any questions? Your contact person for D/A/CH
Kontakt über LinkedIn:
Kevin Breuer, Sales Engineer, LogRhythm
Lars Drewianka, Regional Sales Manager, LogRhythm