PCI-Sicherheit: 7 Schritte zur PCI-Konformität

Wenn Ihr Unternehmen Kreditkartenzahlungen abwickelt, müssen Sie den PCI DSS einhalten. Die PCI-Sicherheitsstandards umfassen zwölf Anforderungen, die zwar einfach erscheinen, sich jedoch in Hunderte detaillierter Unteranforderungen unterteilen.

Die Einhaltung der PCI-Sicherheitsstandards erfordert die Einführung und Einhaltung strenger Informationssicherheitsrichtlinien. Erfahren Sie, was PCI-Compliance bedeutet. Inklusive einer Checkliste und grundlegender Schritte, die Ihnen dabei helfen, PCI-Compliance zu erreichen.

Empfohlene Lektüre:Was ist SIEM, warum ist es wichtig und 13 Schlüsselfunktionen.

Was ist PCI-Konformität?

PCI steht für Payment Card Industry. Der PCI DSS (Payment Card Industry Data Security Standard) ist eine von Kreditkartenunternehmen und Händlern unterstützte Initiative, die eine einheitliche Strategie zum Schutz der Daten von Kreditkartennutzern bietet. Ziel der Initiative ist die Bekämpfung von Kreditkartenbetrug und damit verbundenen Sicherheitsverletzungen.

3 Säulen der PCI-Sicherheitsstandards

PCI DSS gilt für alle Unternehmen, unabhängig von ihrer Größe, die Kreditkartenzahlungen akzeptieren. Die PCI-Sicherheitsstandards basieren auf drei Hauptpfeilern:

1. Fokus auf Kreditkartendaten– Unternehmen, die direkt mit Kreditkartendaten arbeiten, müssen über 300 Anforderungen des PCI-Sicherheitsstandards erfüllen (organisiert in 12 übergeordnete Anforderungen). Unternehmen, die nicht direkt mit Kartendaten arbeiten, müssen weniger Sicherheitsanforderungen erfüllen, da sensible Daten von Dritten verarbeitet und nicht vom Unternehmen selbst gespeichert werden.
2. Schutz gespeicherter Daten– Unternehmen, die Karteninhaberdaten speichern, sollten Systeme, die mit Karteninhaberdaten interagieren, von anderen Geschäftsvorgängen trennen. Andernfalls müssen sie auf allen ihren Plattformen Sicherheitsmaßnahmen nach dem PCI-Sicherheitsstandard anwenden.
3. Jährliche Validierung– Unternehmen, die mit Kreditkarten arbeiten, müssen jährlich ein PCI-Validierungsformular ausfüllen. Faktoren, die die PCI-Validierung beeinflussen, sind unter anderem die Anzahl der jährlich verarbeiteten Transaktionen und ob es zu einem Verstoß gekommen ist. Andere Parteien können ein Unternehmen auffordern, sein Validierungszertifikat vorzulegen.

PCI-Konformitätsstufen

Es gibt vier PCI-Konformitätsstufen. Die Zuordnung eines Unternehmens zu einer Stufe erfolgt anhand der Anzahl der jährlich verarbeiteten Transaktionen. Die Zahlen können je nach Kreditkartenunternehmen leicht variieren:

• Stufe 1– über 6 Millionen Transaktionen oder ein Unternehmen, bei dem ein Verstoß aufgetreten ist
• Level 2– zwischen 1 und 6 Millionen Transaktionen
• Stufe 3– zwischen 20.000 und 1 Million Internet-Transaktionen
• Stufe 4– weniger als 20.000 Internettransaktionen oder weniger als 1 Million physische Kartentransaktionen

Unternehmen der Stufe 1 müssen jährlich ein internes Audit und vierteljährlich einen PCI-Scan durch einen externen, zugelassenen Anbieter durchführen lassen. Nach Abschluss des Audits liegt es in der Verantwortung des Unternehmens, seine Schwachstellen zu beheben. Unternehmen der Stufen 2–4 müssen jährlich eine Selbsteinschätzung anhand eines speziellen Fragebogens durchführen. Möglicherweise müssen sie auch vierteljährlich einen PCI-Scan durchführen.

Tipps vom Experten

Steve Moore ist Vice President und Chief Security Strategist bei Exabeam. Er entwickelt Lösungen zur Bedrohungserkennung und berät Kunden zu Sicherheitsprogrammen und der Reaktion auf Sicherheitsverletzungen. Er ist Moderator des „The New CISO Podcast“, Mitglied des Forbes Tech Council und Mitbegründer von TEN18 bei Exabeam.

Meiner Erfahrung nach können Ihnen die folgenden Tipps dabei helfen, die PCI-Konformität effektiv zu erreichen und aufrechtzuerhalten:

Optimieren Sie den PCI-Umfang durch Änderungen im Geschäftsablauf

Bewerten und minimieren Sie die Gefährdung Ihres Unternehmens durch Karteninhaberdaten, indem Sie Punkt-zu-Punkt-Verschlüsselung (P2PE) einsetzen und Zahlungsprozessoren von Drittanbietern nutzen. Dadurch minimieren Sie die Anzahl der Systeme in Ihrem PCI-Bereich und reduzieren Komplexität und Risiko.

Implementieren Sie Echtzeitüberwachung für PCI-Schlüsselkontrollen

Nutzen Sie die Automatisierung, um die Einhaltung wichtiger PCI-Kontrollen wie Firewall-Konfigurationen, Zugriffsprotokolle und Verschlüsselungsstandards zu überwachen. Implementieren Sie Warnmeldungen, um Abweichungen sofort zu erkennen und schnell Abhilfe zu schaffen.

Führen Sie regelmäßig eine Datenflusszuordnungsübung durch

Gehen Sie über die anfängliche Abbildung der Kreditkartendatenflüsse hinaus. Aktualisieren Sie diese Abbildung jährlich oder nach jeder wesentlichen Systemänderung, um sicherzustellen, dass nicht versehentlich neue Pfade für vertrauliche Daten erstellt werden.

Einführung sicherer Softwareentwicklungspraktiken

Wenn Ihr Unternehmen Anwendungen zur Verarbeitung von Zahlungsdaten entwickelt, integrieren Sie die PCI DSS-Anforderungen in Ihren Softwareentwicklungszyklus (SDLC). Verwenden Sie Tools für statische und dynamische Anwendungssicherheitstests (SAST/DAST).

Investieren Sie in einen starken Change-Management-Prozess

Stellen Sie sicher, dass alle Änderungen an PCI-bezogenen Systemen strengen Test- und Genehmigungsprozessen unterzogen werden, um die versehentliche Einführung nicht konformer Konfigurationen oder Schwachstellen zu vermeiden.

So werden Sie PCI-konform: Die 12 Anforderungen der PCI-Sicherheitsstandards

Um PCI-konform zu werden, müssen Sie die zwölf PCI-Compliance-Anforderungen erfüllen, die in 300 Unteranforderungen unterteilt sind. Die folgenden PCI-Compliance-Anforderungen umfassen Sicherheitssysteme, organisatorische Prozesse, Tests und Richtlinien, die zum Schutz der Karteninhaberdaten beitragen können.

Die 12 PCI-Konformitätsanforderungen sind nachfolgend zusammengefasst:

1. Unterhalten Sie eine Firewall– schützt die Karteninhaberdaten innerhalb des Unternehmensnetzwerks
2. Passwörter müssen eindeutig sein– ändern Sie Passwörter regelmäßig, verwenden Sie keine Standardkennwörter
3. Schützen Sie gespeicherte Daten– implementieren Sie physische und virtuelle Maßnahmen, um Datenlecks zu vermeiden
4. Verschlüsseln Sie die Übertragung von Karteninhaberdaten über öffentliche Netzwerke– Daten müssen verschlüsselt werden, und Sie sollten niemals Kartenvalidierungsdaten speichern
5. Antivirus– verwenden Sie auf allen Systemen, auf denen vertrauliche Daten gespeichert sind, ein Antivirusprogramm und aktualisieren Sie es regelmäßig.
6. Entwickeln und warten Sie sichere Systeme und Anwendungen– suchen Sie aktiv nach Schwachstellen und beheben Sie diese
7. Beschränken Sie den Zugriff auf Karteninhaberdaten– sensible Daten sollten nur denjenigen zugänglich sein, die sie kennen müssen, um die Anfälligkeit zu verringern
8. Zugriff auf Systemkomponenten einschränken– Systeme mit sensiblen Daten sollten nur mit Authentifizierung und eindeutiger Benutzeridentifikation zugänglich sein
9. Beschränken Sie den physischen Zugriff auf Karteninhaberdaten
10. Verfolgen und überwachen Sie den Zugriff auf Netzwerkressourcen und Karteninhaberdaten– um einen Prüfpfad bereitzustellen und bei der Untersuchung von Verstößen zu helfen.
11. Sicherheitssysteme und -prozesse regelmäßig testen– Schwachstellen identifizieren und beheben
12. Sicherheitsrichtlinie– pflegen Sie eine klare Richtlinie, die die Informationssicherheit für alle Mitarbeiter berücksichtigt

Checkliste zur PCI-Sicherheitskonformität

Befolgen Sie diesen Prozess, um sicherzustellen, dass Ihr Unternehmen PCI-konform ist:

1. Bestimmen Sie das PCI-Level– ermitteln Sie die Anzahl der Transaktionen, die Sie jährlich verarbeiten, und vergleichen Sie diese dann mit den Anforderungen der einzelnen Kreditkartenunternehmen, die Sie unterstützen möchten.
2. Bilden Sie den Fluss der Karteninhaberdaten ab– einschließlich Anwendungen, Systemen und Personen, die mit Kreditkartendaten arbeiten. Alle Kreditkartenzahlungsplattformen und Speichersysteme, die Kartendaten speichern, müssen einbezogen werden. Dies geschieht in der Regel mit Unterstützung des IT-Personals.
3. Füllen Sie den Selbstbewertungsfragebogen (SAQ) aus– der SAQ dient zur Validierung der PCI-Konformität. Er prüft, ob Ihr Unternehmen alle 12 oben aufgeführten Anforderungen (organisiert in 6 cControl mMeasures) erfüllt. Jede Anforderung ist in kleinere Schritte unterteilt. Ihr Unternehmen muss alle Anforderungen erfüllen, um konform zu sein. Wenn Sie ein PCI Level 1-Unternehmen sind, wird ein PCI-zertifizierter Prüfer Ihre Konformität validieren.
4. Füllen Sie die Konformitätsbescheinigung (AOC) aus. Dieses Dokument ist je nach PCI-Konformitätsstufe Ihres Unternehmens unterschiedlich. Die AOC stellt sicher, dass Sie alle PCI-Konformitätsschritte erfüllen.
5. Führen Sie einen Schwachstellenscan durch– Sie können zugelassene Scan-Anbieter (ASVs) beauftragen, nach Sicherheitslücken zu suchen und sicherzustellen, dass Sie alle Standards erfüllen. Anhand der Ergebnisse Ihres SAQ können Sie entscheiden, ob Sie einen ASV benötigen.
6. Dokumente einreichen– Sie müssen möglicherweise Dokumente wie AOC-, SAQ- und ASV-Berichte an Banken, Kreditkartenunternehmen usw. einreichen.
7. Überwachung– Ihr Unternehmen, die Infrastruktur und die gespeicherten Daten können sich mit jedem Sicherheitsscan ändern. Daher ist es notwendig, die Einhaltung der Vorschriften das ganze Jahr über kontinuierlich zu überwachen. Es sollte ein Sicherheitsteam geben, das für die Überwachung und Reaktion auf Schwachstellen und Bedrohungen verantwortlich ist.

PCI DSS-Zertifizierung vs. Compliance: Was ist der Unterschied?

Die PCI-Zertifizierung ist im Wesentlichen dasselbe wie die Compliance-Zertifizierung. Ihr Unternehmen muss die gleichen 12 Anforderungen entsprechend Ihrem PCI-Level erfüllen. Der Unterschied besteht darin:

• Die PCI-Konformität ist freiwillig und basiert auf einer Selbsteinschätzung oder einer einfachen externen Bewertung, die weniger als einen Monat dauert.
• Die PCI-Zertifizierung ist ein viel längerer Prozess, der bis zu 6 Monate dauern kann und eine eingehende Untersuchung durch einen Qualified Security Assessor (QSA) beinhaltet, um festzustellen, ob Ihr Unternehmen jede einzelne der Hunderte von Unteranforderungen des PCI-DSS-Standards erfüllt.

Benötigen Sie eine vollständige PCI-Zertifizierung?

Wenn Sie ein PCI Level 1-Unternehmen sind, ja. Andernfalls sind Sie nicht verpflichtet, eine PCI-Zertifizierung durchzuführen, können dies aber freiwillig tun. Viele Unternehmen lassen sich PCI zertifizieren, um das Vertrauen von Kunden und anderen Dritten in ihre Informationssicherheitsstandards zu stärken.

Vorteile der PCI DSS-Konformität

Die PCI DSS-Konformität bietet einige wesentliche Vorteile:

• Senkt das Risiko– PCI-Compliance schützt Unternehmen vor Sicherheitsverletzungen. Laut einer Studie von Verizon ist die Wahrscheinlichkeit, dass konforme Unternehmen einen Sicherheitsverletzungsversuch erfolgreich überstehen, um 50 % höher.
• Erhöht das Kundenvertrauen– Kunden kaufen, insbesondere im Internet, eher bei Unternehmen, die in Datensicherheit investieren und PCI-konform sind.
• Vermeidet zusätzliche Kosten. Im Falle eines Verstoßes kann Ihr Unternehmen von der Bank mit einer Geldstrafe belegt werden, und Sie müssen möglicherweise Kreditkarten ersetzen oder Kunden entschädigen. Weniger Verstöße bedeuten ein geringeres Risiko von Geldstrafen. Im Falle eines Verstoßes werden Sie auf PCI Level 1 hochgestuft und müssen eine vollständige, kostspielige Zertifizierung durchführen.
• Entspricht Branchenstandards– Die PCI DSS-Konformität stellt sicher, dass Unternehmen überall die gleichen hohen Sicherheitsstandards anwenden. Durch die Einhaltung eines Standards stellen Sie sicher, dass Ihre Informationssicherheit branchenweit auf einem akzeptablen Niveau liegt.