Wäre die Zahlungskartenbranche ein Staat, wäre der PCI DSS (Payment Card Industry Data Security Standard) das Äquivalent zu internen Sicherheitsgesetzen und -vorschriften.
Der PCI DSS wurde von der Verwaltet Rat für Sicherheitsstandards der Zahlungskartenindustrie (PCI SSC). Es legt 12 Hauptanforderungen (und über 300 Unteranforderungen) an die Sicherheitspraktiken bei der Verwendung von Zahlungskarten fest.
Es gibt mehrere Stufen der Einhaltung der Vorschriften, und jedes Unternehmen (vom kleinsten Händler bis zum größten Kreditkartendienstleister) muss die Anforderungen erfüllen, um Kredit- oder Debitkarten in irgendeiner Form (online, offline, per Telefon usw.) verwenden zu dürfen.
Betrug und Identitätsdiebstahl können zu kostspieligen Gerichtsverfahren, Rufschädigung und Kundenverlust führen. Die nicht ganz so strikte Einhaltung des PCI DSS kann dazu führen, dass das Unternehmen das Recht zur Verarbeitung von Kredit- und Debitkarten ganz verliert. Die Herausforderung, einen wirksamen, umfassenden Schutz zu schaffen und den PCI DSS einzuhalten, wird jedoch immer komplizierter.
Unter Verizons neuester Bericht zur Zahlungssicherheit zeigt, dass Webanwendungen heute der Hauptvektor für Sicherheitsverletzungen im Einzelhandel sind. Nur 9 Prozent der Angriffe wurden gewarnt, 53 Prozent der Angriffe konnten unentdeckt eingeschleust werden, und nur 33 Prozent der Angriffe wurden durch die vorhandenen Sicherheitstools verhindert.
In diesem Artikel befassen wir uns mit den Grundlagen der PCI DSS-Anforderungen und den Konformitätsstufen. Darüber hinaus werden wir die wichtigsten Schritte erörtern, die erforderlich sind, um diese Vorschriften bestmöglich einzuhalten, eine Einhaltung, die für jedes Unternehmen, das eine Geldstrafe oder den Verlust der Lizenz für die Verwendung von Zahlungskarten vermeiden möchte, von wesentlicher Bedeutung ist.
Die 6 Ziele und 12 Anforderungen des PCI DSS
Der PCI DSS legt 12 Anforderungen fest, die in der Regel unter sechs Hauptzielen zusammengefasst werden:
1. Aufbau und Aufrechterhaltung eines sicheren Netzwerks
- Verwenden und pflegen Sie eine Firewall, um die sensiblen Daten der Karteninhaber zu schützen.
- Ändern und Modifizieren von Standardsicherheitsparametern, wie z. B. vom Hersteller bereitgestellte Passwörter.
2. Schutz der Karteninhaberdaten
- Verwenden Sie bei Bedarf Verschlüsselung, Hashing, Maskierung, Trunkierung und Löschung von Daten.
- Daten müssen bei der Speicherung oder Übertragung verschlüsselt werden, insbesondere bei der Nutzung öffentlicher Netze (unter Verwendung von Verschlüsselungsstandards wie SSH, TLS usw.).
3. Aufrechterhaltung eines Schwachstellenmanagements Programm
- Installieren Sie auf allen Systemen Antivirenprogramme und aktualisieren Sie diese ständig.
- Aktualisieren Sie jede Anwendung sofort mit den neuesten Sicherheits-Patches.
4. Umsetzung strenger Zugangskontrollmaßnahmen
- Beschränken Sie den Zugriff auf die Daten des Karteninhabers auf autorisiertes Personal auf einer Need-to-know-Basis.
- Weisen Sie jeder Person, die Zugriff auf das System und seine Komponenten hat, eine eindeutige ID zu.
- Beschränkung des physischen Zugangs zu Systemen, die sensible Karteninhaberdaten enthalten.
- Überwachen Sie alle Zugangspunkte, um einen falsch konfigurierten Zugang zu vermeiden, der zu einem Datenleck führen könnte.
5. Regelmäßige Überwachung und Prüfung der Netze
- Kontinuierliche Verfolgung aller Zugriffe auf Karteninhaberdaten und Netzwerkressourcen.
- Testen/überprüfen Sie regelmäßig jedes Sicherheitssystem, jede Anwendung und jeden Prozess, um Schwachstellen proaktiv aufzudecken.
- Integrierte Datensicherungssoftware.
6. Beibehaltung einer Informationssicherheitspolitik
- Für das gesamte Personal (Mitarbeiter, Lieferanten, Auftragnehmer usw.) muss eine Sicherheitspolitik einschließlich regelmäßige Hintergrundüberprüfungen, routinemäßige Sicherheitsunterweisungen usw.
Die drei Hauptaspekte der Verwaltung von PCI DSS
In der Praxis läuft die Verwaltung der PCI DSS-Konformität auf drei Hauptaspekte hinaus (die jeweils in Übereinstimmung mit den 12 oben genannten PCI DSS-Anforderungen erfolgen):
- Gewährleistung, dass sensible Kartendaten sicher erfasst, übertragen, verarbeitet und abgerufen werden (Verwendung einer Firewall, aktueller Antivirenprogramme, Änderung von Standardpasswörtern, Löschen von Daten bei Bedarf, Verwendung von Verschlüsselung, Hashing, Maskierung, Trunkierung, usw.).
- Speicherung sensibler Daten auf die sicherste Art und Weise (Verwendung einer Firewall und aktueller Antivirenprogramme, Verwendung von Verschlüsselung, Beschränkung des Zugriffs auf autorisiertes Personal mit einer eindeutigen ID auf einer Need-to-know-Basis, Beschränkung des physischen Zugriffs, usw.).
- Jährliche Inspektion und Validierung, um sicherzustellen, dass alle Sicherheitskontrollen vollständig und ordnungsgemäß durchgeführt werden (Durchführung von Audits durch Dritte, Prüfung/Scannen auf Schwachstellen, Durchführung von Sicherheitsumfragen usw.).
Erreichen der PCI DSS-Konformität – Die vier Stufen
Wie bereits erwähnt, gibt es vier Stufen der Einhaltung der Vorschriften (je nach Umfang und Art der vom Unternehmen verarbeiteten Transaktionen). Hier finden Sie einen vollständigen Leitfaden für die Einhaltung des PCI DSS in den einzelnen Stufen.
Stufe 1
Definition:
Unternehmen, die jährlich mehr als 6 Millionen Visa- oder MasterCard-Transaktionen und mehr als 2,5 Millionen American Express-Transaktionen abwickeln oder in der Vergangenheit eine Datenschutzverletzung hatten.
Jährlicher Bedarf
Einreichen:
- Ein jährlicher Bericht über die Einhaltung der Vorschriften (Report on Compliance, ROC), der von einem qualifizierten Sicherheitsgutachter (Qualified Security Assessor, QSA) oder von einem internen Prüfer erstellt wird, wenn er von einem leitenden Angestellten des Unternehmens unterzeichnet ist.
- eine Bescheinigung über die Einhaltung der Vorschriften (Attestation of Compliance, AOC) Form.
Vierteljährlicher Bedarf:
Führen Sie einen Netzwerk-Scan durch einen zugelassenen Scan-Anbieter (ASV) durch.
Stufe 2
Definition
Unternehmen, die jährlich zwischen 1 und 6 Millionen Zahlungskartentransaktionen auf allen Kanälen verarbeiten.
Jährlicher Bedarf
Einreichen:
- Ein Bericht über die Einhaltung der Vorschriften (Report on Compliance, ROC) oder ein Fragebogen zur Selbstbewertung (Self Assessment Questionnaire, SAQ) von einem qualifizierten Sicherheitsbewerter (Qualified Security Assessor, QSA) oder einem internen Bewerter, wenn dieser von einem Verantwortlichen des Unternehmens unterzeichnet wurde.
- Eine Bescheinigung über die Einhaltung der Vorschriften (AOC).
Vierteljährlicher Bedarf
Führen Sie vierteljährlich einen Netzwerk-Scan durch einen zugelassenen Scan-Anbieter (ASV) durch.
Stufe 3
Definition
Unternehmen, die jährlich 20.000 bis 1 Million Zahlungskartentransaktionen auf allen Kanälen verarbeiten.
Jährlicher Bedarf:
- Füllen Sie einen Selbstbewertungsfragebogen (SAQ) aus, der von einem Verantwortlichen des Unternehmens unterzeichnet ist.
- Einreichung einer Konformitätsbescheinigung (AOC) Form.
Vierteljährlicher Bedarf
Führen Sie einen Netzwerk-Scan durch einen zugelassenen Scan-Anbieter (ASV) durch.
Stufe 4
Definition
Unternehmen, die jährlich weniger als 20.000 Zahlungskartentransaktionen über alle Kanäle abwickeln.
Jährlicher Bedarf:
- Füllen Sie einen Selbstbewertungsfragebogen (SAQ) aus, der von einem Verantwortlichen des Unternehmens unterzeichnet ist.
- Einreichung einer Konformitätsbescheinigung (AOC) Form.
Vierteljährlicher Bedarf
Führen Sie einen Netzwerk-Scan durch einen zugelassenen Scan-Anbieter (ASV) durch.
Aufrechterhaltung der PCI DSS-Konformität – eine „To-Do-Liste“
Bisher haben wir erörtert, was PCI DSS ist und welche Bedeutung er hat, die 12 wichtigsten Sicherheitsanforderungen, die vier Stufen der Konformität und was zur Erfüllung dieser Anforderungen erforderlich ist. Jetzt ist es an der Zeit, über praktische Maßnahmen zu sprechen, die das Sicherheitspersonal (CISOs, InfoSec, Sicherheitsbeauftragte und Sicherheitsmanager in Unternehmen, Cybersicherheitsexperten usw.) ergreifen muss, um die PCI DSS-Konformität zu erreichen.
1. Erkennen und Zuordnen von Daten und Datenfluss
Der erste Schritt besteht darin, alle sensiblen Kreditkartendaten des Unternehmens zu lokalisieren und abzubilden (d. h. wo sie sich befinden und wie sie dorthin gelangen).
Prüfen und kartieren Sie alle Systeme, Anwendungen, Netzwerke und Prozesse im Unternehmen, die mit Kreditkartendaten interagieren (Zahlungsterminals vor Ort, Online-Shopping-Websites, Netzwerke, lokale und Cloud-Datenbanken, Telefonprotokolle, ERP- und CRM-Plattformen, Vertriebs-E-Mails usw.).
2. Durchführung einer Risikobewertung und Prüfung auf Schwachstellen
Nachdem der Standort und der Fluss der sensiblen Kreditkartendaten erfasst wurden, ist es an der Zeit, die Risiken und Schwachstellen zu bewerten.
Jede Systemkomponente, die solche Daten speichert, überträgt oder verarbeitet, sollte untersucht und analysiert werden. Es sollte eine umfassende Liste erstellt werden, in der die potenziellen Risiken für jede Komponente aufgeführt und ihre Anfälligkeit bewertet werden.
Auf der Grundlage dieser Liste muss das Sicherheitsteam entscheiden, wie die einzelnen Komponenten zu schützen sind, um die PCI DSS-Anforderungen bestmöglich zu erfüllen und gleichzeitig die Sicherheitsressourcen des Unternehmens zu berücksichtigen.
3. Testen, überwachen und aktualisieren
Alle relevanten Sicherheitssysteme, Systemkomponenten, Netze, Anwendungen, Prozesse, Protokolle (und deren Einhaltung) müssen regelmäßig getestet und ständig überwacht werden, um alte und neue Sicherheitslücken zu finden. Sicherheitswerkzeuge und -protokolle sollten ständig gewartet und aktualisiert werden, um neuen Bedrohungen bestmöglich zu begegnen.
4. Ständige Schulungen zur Einhaltung der Sicherheitsvorschriften und zum Sicherheitsbewusstsein
Einer der verwundbarsten Punkte in jedem System sind die menschlichen Bediener (von den Call-Center-Betreibern bis zum CISO und seinem Sicherheitsteam). Das sicherste Datenübertragungsprotokoll ist nutzlos, wenn es über ungeschützte E-Mails oder Textnachrichten umgangen wird. Die beste Antivirenanwendung wird beeinträchtigt, wenn sie nicht regelmäßig aktualisiert wird.
Daher ist es unerlässlich, ständig Sicherheitsunterweisungen zu alten und neuen Bedrohungen durchzuführen und das gesamte Personal zu schulen, damit es alle Sicherheitsanforderungen erfüllt.
Schlussfolgerung
Wie bereits erwähnt, ist die Einhaltung des PCI DSS für jeden Anbieter, der Zahlungskarten verwendet oder verarbeitet, von entscheidender Bedeutung, da eine Nichteinhaltung den Verlust des Rechts zur Verwendung von Zahlungskarten bedeutet.
Der PCI DSS beginnt und endet immer mit dem Faktor Mensch – Datenströme erkennen und abbilden, auf Risiken und Schwachstellen prüfen, testen, überwachen, aktualisieren und vor allem das Personal schulen und PCI DSS-Audits durchführen. All dies sind Maßnahmen, die regelmäßig und proaktiv von CISOs, InfoSec, Sicherheitsverantwortlichen und -managern in Unternehmen und ihren Teams durchgeführt werden müssen.
Dies ist genau der Punkt, an dem CybeReady die Szene betreten. CybeReadys End-to-End-Cybersicherheits-Trainingsplattform für Unternehmen verändert das Verhalten der Mitarbeiter, damit sie besser mit den Gefahren von Sicherheitsverletzungen umgehen können (unter Verwendung von Tools wie Sicherheitsbewusstseinstraining und Phishing-Simulationen).
Darüber hinaus helfen Tools wie AuditReady Ihrem Unternehmen, sich optimal auf die jährlichen/vierteljährlichen PCI DSS-Audits vorzubereiten.
Wenden Sie sich an Cybeready, um die Effektivität Ihres Sicherheitstrainings noch heute zu verbessern.
