Kurze Checkliste zur PCI-Konformität: Bereiten Sie sich auf Ihr nächstes Audit vor

Was ist eine PCI-Compliance-Checkliste?

Der Payment Card Industry Data Security Standard (PCI DSS) ist für alle Unternehmen, die Daten von Zahlungskarteninhabern speichern oder verarbeiten, verpflichtend. Die PCI-Konformität ist ein komplexer Prozess. Ihr PCI-Händlerlevel (1–4) bestimmt den Umfang Ihrer Audits – von Self Assessment Questionnaires (SAQ) bis hin zu einem vollständigen externen Audit, das umfangreiche Vorbereitungen erfordert.

Eine Checkliste zur PCI-Compliance unterstützt Sie bei der Organisation Ihrer PCI-Compliance-Bemühungen auf jeder Händlerebene. Mithilfe der Checkliste können Sie Bereiche identifizieren, die Aufmerksamkeit erfordern, und die Sicherheitskontrollen proaktiv gemäß den PCI-Anforderungen verbessern.

Hinweis: Die in diesem Artikel und an anderer Stelle auf dieser Website bereitgestellten Informationen dienen ausschließlich der allgemeinen Information und enthalten allgemeine Informationen zu rechtlichen, wirtschaftlichen und sonstigen Themen. Sie stellen keine Rechtsberatung dar und sollten auch nicht als solche behandelt werden. Die Informationen auf dieser Website stellen möglicherweise nicht die aktuellsten rechtlichen oder sonstigen Informationen dar. Die Informationen in diesem Artikel werden „wie besehen“ und ohne jegliche ausdrückliche oder stillschweigende Zusicherungen oder Gewährleistungen bereitgestellt. Wir geben keine Zusicherungen oder Gewährleistungen in Bezug auf die Informationen in diesem Artikel ab, und jegliche Haftung für Handlungen, die auf der Grundlage des Inhalts dieses Artikels vorgenommen oder unterlassen werden, wird hiermit ausdrücklich abgelehnt. Sie dürfen die Informationen in diesem Artikel nicht als Alternative zur Rechtsberatung durch Ihren Anwalt oder einen anderen professionellen Rechtsdienstleister verwenden. Wenn Sie konkrete Fragen zu Rechtsfragen haben, wenden Sie sich bitte an Ihren Anwalt oder einen anderen professionellen Rechtsdienstleister. Dieser Artikel kann Links zu Websites Dritter enthalten. Diese Links dienen lediglich der Benutzerfreundlichkeit für den Leser, Benutzer oder Browser; wir empfehlen oder billigen die Inhalte von Websites Dritter nicht.

Empfohlene Lektüre:Was ist SIEM, warum ist es wichtig und 13 Schlüsselfunktionen.

Müssen Sie PCI-konform sein?

Wenn Sie eine Organisation haben, die mit Debit- oder Kreditkartenzahlungen zu tun hat, sollten Sie den PCI DSS einhalten.

Karteninhaberdaten oder Kreditkartendaten bestehen aus der PAN oder Kartennummer zusammen mit dem Ablaufdatum, dem Namen des Karteninhabers oder dem Servicecode. PCI-Konformität ist auch erforderlich, um vertrauliche Authentifizierungsinformationen zu erhalten. Zu diesen vertraulichen Informationen gehören beispielsweise PINs, Magnetstreifen- oder Kartenchipdaten, Kartenvalidierungscodes und andere Details, die zur Validierung von Karteninhabern und zur Validierung von Zahlungskartentransaktionen verwendet werden.

Der PCI SSC hat vier Compliance-Stufen für Großhändler und zwei für Einzelhändler geschaffen. Die Stufe Ihrer Organisation bestimmt, ob Sie einem PCI-Audit durch einen QSA unterliegen oder ob Sie lediglich einen SAQ ausfüllen müssen.

Bußgelder für PCI-Compliance

PCI-Konformität ist zwar keine gesetzliche Vorschrift, doch die Nichteinhaltung stellt dennoch ein großes Problem dar. Unternehmen, die die PCI-Standards nicht erfüllen, müssen mit Risiken wie Datenlecks, Geldstrafen, Kartenersatzkosten, kostspieligen forensischen Audits und Geschäftsuntersuchungen sowie langfristigen Schäden an ihrem Markenimage und Ruf rechnen.

Die Nichteinhaltung des PCI-Standards zieht Strafen nach sich, auch wenn diese nicht allgemein bekannt sind. Verstößt ein Unternehmen beispielsweise gegen die PCI-Compliance-Standards, kann ein Kreditkartenanbieter einer akzeptierenden Bank eine Geldstrafe von 5.000 bis 100.000 US-Dollar pro Monat aufbrummen. Banken geben diese Gebühren in der Regel an den Verkäufer weiter, kündigen den Vertrag oder erhöhen die Transaktionsgebühren, wenn ein Verkäufer gegen die PCI-Anforderungen verstößt.

Neben den finanziellen Kosten können weitere Schäden für Ihr Unternehmen entstehen. Die Nichteinhaltung der PCI-Vorschriften kann negative Folgen haben, darunter:

• Verlust des Kundenvertrauens, Umsatz- und Ertragsrückgang und im Extremfall Geschäftsschließung
• Neuausstellungsgebühren für neue Zahlungskarten
• Ihrem Unternehmen ist möglicherweise die Annahme von Kreditkarten vollständig untersagt
• Betrug, der zu finanziellen Verlusten oder Schäden für Ihre Kunden führt
• Die späteren Compliance-Kosten sind höher
• Gerichtsgebühren, Vergleiche und Entscheidungen
• Karriereschäden für Positionen wie CISO, CIO, CEO, CFO

Tipps vom Experten

Steve Moore ist Vice President und Chief Security Strategist bei Exabeam. Er entwickelt Lösungen zur Bedrohungserkennung und berät Kunden zu Sicherheitsprogrammen und der Reaktion auf Sicherheitsverletzungen. Er ist Moderator des „The New CISO Podcast“, Mitglied des Forbes Tech Council und Mitbegründer von TEN18 bei Exabeam.

Meiner Erfahrung nach sind hier einige erweiterte Tipps, die Ihnen dabei helfen, eine effektive Checkliste zur PCI-Konformität zu erstellen und auszuführen und gleichzeitig die Sicherheit der Karteninhaberdaten zu gewährleisten:

Kategorisieren Sie Systeme während der Festlegung des Umfangs nach Risikostufen

Kategorisieren Sie beim Definieren der Cardholder Data Environment (CDE) verbundene Systeme basierend auf der Risikoexposition, um sicherzustellen, dass Hochrisikosysteme bei Sicherheitskontrollen und -überwachung Priorität erhalten.

Führen Sie eine detaillierte Bewertung vor dem Audit durch

Führen Sie vor einem offiziellen Audit oder der Einreichung eines SAQ eine interne Compliance-Prüfung durch, um Lücken zu identifizieren. Verwenden Sie automatisierte Tools, um Konfigurationen anhand der PCI-Anforderungen abzugleichen.

Durchsetzung von Richtlinien zur Datenminimierung

Reduzieren Sie proaktiv die Speicherung von Karteninhaberdaten, indem Sie vertrauliche Informationen tokenisieren oder die Speicherung gänzlich vermeiden. Definieren Sie strenge Richtlinien zur Datenaufbewahrung und erzwingen Sie die automatische Bereinigung.

Integrieren Sie Bedrohungsintelligenz in die Überwachung

Verbessern Sie Ihre SIEM-Funktionen durch die Einbindung externer Bedrohungsquellen, die speziell auf Zahlungskartenbetrug abzielen. Dies hilft, neue Angriffsvektoren für Zahlungssysteme zu identifizieren.

Erstellen Sie sichere Konfigurations-Baselines

Halten Sie PCI-konforme Basiskonfigurationen für Firewalls, Server und Geräte aufrecht. Überprüfen Sie diese Konfigurationen regelmäßig mithilfe automatisierter Tools, um nicht autorisierte Änderungen zu erkennen.

PCI DSS-Konformitätsanforderungen

Nachfolgend fassen wir die wichtigsten Anforderungen des PCI DSS-Standards zusammen.

1. Installieren und behalten Sie eine Firewall zum Schutz der Karteninhaberdaten

Sorgen Sie für Netzwerksicherheit, indem Sie eine Firewall installieren und ordnungsgemäß konfigurieren, um die Datenumgebung des Karteninhabers zu schützen. Der Hauptzweck einer Firewall besteht darin, den Netzwerkverkehr durch restriktive Regeln zu regulieren. Eine Firewall wird am Netzwerkrand eingesetzt und bildet die erste Verteidigungslinie gegen Angreifer, die versuchen, in das Netzwerk einzudringen. PCI verlangt, dass Unternehmen ihre Firewall-Regeln zweimal jährlich überprüfen, um sicherzustellen, dass sie für die Sicherheit der Umgebung geeignet sind.

2. Starke Passwörter und sichere Konfiguration

Lassen Sie Geräte und Software niemals mit ihren Standardkennwörtern. Geräte wie Router und Kassensysteme (POS) sind besonders anfällig, da sie mit Standardbenutzernamen und -kennwörtern ausgeliefert werden, die Angreifern entweder bekannt oder leicht zu erraten oder zu knacken sind. Um PCI-konform zu sein, muss Ihr Unternehmen ein Inventar aller Geräte erstellen, die die Karteninhaberumgebung betreffen, und sicherstellen, dass alle über sichere Kennwörter und entsprechende Sicherheitseinstellungen verfügen.

3. Schützen Sie gespeicherte Karteninhaberdaten

Erstellen Sie eine umfassende Liste der Karteninhaberinformationen in Ihrem Unternehmen, geben Sie deren Speicherort und Aufbewahrungsdauer an. Alle Daten müssen durch Maßnahmen wie starke Verschlüsselung, Einweg-Hashing, Trunkierung oder Tokenisierung geschützt werden. Der PCI-Standard schreibt einen strengen Prozess für die Verwaltung von Verschlüsselungsschlüsseln vor. Wenn Sie Schwierigkeiten haben, den Speicherort von Kreditkartendaten herauszufinden, können Sie Tools zur Kartendatenermittlung verwenden, die Datenquellen nach primären Kontonummern (PAN) durchsuchen.

4. Verschlüsseln Sie die Übertragung von Karteninhaberdaten über öffentliche Netzwerke

Schützen Sie Karteninhaberdaten, indem Sie sie bei jeder Übertragung über ein offenes oder öffentliches Netzwerk verschlüsseln. Dazu gehören das öffentliche Internet, Mobilfunknetze wie GSM oder GPRS, Bluetooth usw. Sie müssen wissen, wann und wohin Ihr Unternehmen Karteninhaberdaten überträgt, und sicherstellen, dass diese mit einem sicheren Protokoll wie Transport Layer Security (TLS) oder Secure Shell (SSH) verschlüsselt werden.

5. Verwenden und aktualisieren Sie regelmäßig Antivirensoftware

Installieren Sie Antivirensoftware auf allen Computersystemen im Karteninhaberdatenumfeld und aktualisieren Sie diese regelmäßig. Auch POS-Geräte sollten mit Antivirensoftware ausgestattet sein und regelmäßig von Ihrem Unternehmen oder dem POS-Anbieter gescannt werden. Führen Sie außerdem Kontrollen durch, die vor verdächtigen Aktivitäten wie unbekannten Dateien warnen, auch wenn diese nicht mit bekannten Malware-Signaturen übereinstimmen.

6. Erstellen und behalten Sie sichere Systeme und Anwendungen

Installieren Sie Software-Patches und -Updates auf allen Systemen, sobald diese verfügbar sind. Darüber hinaus sollten Sie aktiv nach Schwachstellen in Softwaresystemen suchen, diese nach Schweregrad einstufen und beheben. Wenn Ihr Unternehmen Software entwickelt, muss jeder neue oder geänderte Code auf bekannte Schwachstellen geprüft und auf unsichere Programmierpraktiken oder unbekannte Schwachstellen untersucht werden.

7. Beschränken Sie den Zugriff auf Karteninhaberdaten auf das „Need-to-know“-Prinzip

Karteninhaberdaten sollten, auch wenn sie sicher gespeichert sind, innerhalb Ihres Unternehmens nur eingeschränkt zugänglich sein. Mitarbeiter, die für die Ausführung einer Aufgabe Zugriff benötigen, sollten nur für die dafür erforderliche Zeit Zugriff haben – das sogenannte „Need-to-know“-Prinzip. Wenn ein Mitarbeiter oder Dritte Karteninhaberdaten anfordert und nicht dazu berechtigt ist, sollte die Anfrage abgelehnt werden.

Bei der Zugriffskontrolle sollte berücksichtigt werden, ob der anfragende Agent autorisiert ist und ob er die Daten im aktuellen Kontext tatsächlich benötigt.

8. Eindeutige IDs für jede Person mit Computerzugriff

Weisen Sie jeder Person, die Zugriff auf Computersysteme in der Karteninhaberumgebung hat, eine eindeutige Kennung zu. Immer wenn jemand auf geschützte Daten zugreift, sollte ein Datensatz vorhanden sein, der die Aktivität auf eine benannte Person zurückführt.

Eine weitere Voraussetzung ist die Zwei-Faktor-Authentifizierung. Dabei müssen Benutzer beispielsweise etwas angeben, das sie kennen (ein Passwort) und etwas, das sie besitzen (z. B. ein Sicherheitstoken), um Zugriff zu erhalten. Der PCI-Standard empfiehlt die Verwendung von RADIUS- oder TACACS-Token, die besonders sicher sind.

9. Beschränken Sie den physischen Zugriff auf Karteninhaberdaten

Stellen Sie sicher, dass unbefugtes Personal keinen physischen Zugriff auf Geräte im Karteninhaberumfeld erhält. Dies gilt für alle – Mitarbeiter, externe Auftragnehmer oder Lieferanten sowie Gäste. Der Zugriff sollte auf Computersysteme, Geräte, Speichermedien, Papierkopien und alles andere beschränkt sein, was Karteninhaberdaten speichert oder den Zugriff darauf ermöglicht.

Dies erfordert eine strenge Zugangskontrolle zu den physischen Einrichtungen, die Protokollierung von Zutritt und Bewegungen innerhalb der Einrichtung sowie spezielles Sicherheitspersonal vor Ort. Karteninhaberdaten sollten sicher gespeichert und an einem externen Standort gesichert werden. Daten sollten vernichtet werden, sobald sie nicht mehr benötigt werden. Das Unternehmen muss über klare Verfahren verfügen, um festzulegen, wie Informationen nach der Zugriffsgenehmigung weitergegeben werden.

10. Verfolgen und überwachen Sie den Zugriff auf Netzwerk- und Karteninhaberdaten

Stellen Sie sicher, dass die Netzwerke in der Karteninhaberdatenumgebung über entsprechende Audit-Richtlinien verfügen, sodass alle Aktivitäten protokolliert und an einen Syslog-Server gesendet werden. PCI erfordert eine mindestens tägliche Überprüfung der Protokolle, um verdächtige Aktivitäten zu erkennen. Ein SIEM-System (Security Information and Event Monitoring Tools) kann die zentrale Speicherung, Analyse und Warnmeldung von Protokolldaten automatisieren.

PCI verlangt außerdem, dass Audit-Trails eine minimale Datenmenge enthalten und zeitsynchronisiert sind. Die Audit-Daten selbst müssen gegen Manipulation gesichert und 12 Monate lang aufbewahrt werden.

11. Testen Sie Sicherheitssysteme und -prozesse regelmäßig

Es reicht nicht aus, Sicherheitskontrollen und -verfahren einfach einzurichten und zu vergessen. IT-Umgebungen sind dynamisch, und täglich treten neue Bedrohungen und Schwachstellen auf. Daher müssen Sie Ihre Sicherheitsprozesse regelmäßig testen, um die Sicherheit Ihrer Systeme zu gewährleisten. PCI erfordert insbesondere regelmäßige Tests von:

• Unbefugter Zugriff auf Wireless Access Points (WAP)
• Scannen auf interne und externe Schwachstellen, einmal pro Quartal oder bei größeren Änderungen am Netzwerk
• Penetrationstests
• Einrichten von Intrusion Detection and Prevention Systemen (IDS/IPS)
• Einrichten der Dateiintegritätsüberwachung (FIM)

12. Eine Informationssicherheitsrichtlinie für alle Mitarbeiter einhalten

Ihr Unternehmen sollte über eine formelle, gut dokumentierte Sicherheitsrichtlinie verfügen, die die Sicherheitsverantwortlichkeiten aller Mitarbeiter im Zusammenhang mit der Karteninhaberumgebung klar darlegt. Mitarbeiter und andere Personen mit Zugriff auf die Karteninhaberumgebung müssen geschult werden und die Richtlinie zur Kenntnis nehmen.

Die Richtlinie muss jährlich auf Grundlage einer formellen Risikobewertung überprüft werden. Darüber hinaus verlangt PCI Hintergrundüberprüfungen der Mitarbeiter und einen dokumentierten Incident-Response-Prozess.

PCI DSS-Konformität mit Exabeam Fusion SIEM

Letztendlich geht es bei der PCI DSS-Konformität darum, Prüfern zu beweisen, was Sie tun – und Exabeam kann Ihnen dabei helfen. Während DLP-, Endpunkt-, Schwachstellen-Scanning-, Netzwerk- und Identitätsanbieter Ihnen Teile des Puzzles liefern, hilft Ihnen Exabeam Fusion SIEM alles zusammenzufügen, um ein vollständiges Bild des Angriffs zu erhalten. Es ergänzt Ereignisse und Warnungen mit Kontext und Risikobewertungen, um ein durchgängiges Bild der PCI DSS-Konformität zu erhalten.

Exabeam Fusion SIEM bietet Ihren Sicherheitsteams Berichte über entdeckte Schwachstellen in PCI-Systemen. Dieser Bericht analysiert detaillierte Daten von Schwachstellenscans, die von Firewalls, Routern, Switches und anderen Geräten generiert werden, die Schwachstellendaten generieren. Schwachstellenscans der Karteninhaberdatenumgebung decken potenzielle Schwachstellen in Netzwerken auf, die von böswilligen Personen erkannt und ausgenutzt werden könnten. Organisationen nutzen diesen Bericht, um bestimmte hochgradige und/oder kritische Schwachstellen in Karteninhabersystemen zu identifizieren, die behoben werden müssen.

Fusion SIEM analysiert auch Kreditkartendaten, die in IDS-, IPS- und DLP-Systemen übertragen oder gespeichert werden, um Einblick in potenziell unbefugte Übertragungen von Kreditkartendaten über das Netzwerk oder auf nicht autorisierte Wechseldatenträger zu erhalten. Kunden nutzen diesen Bericht, um die Quelle der Übertragung zu identifizieren, damit diese weiter untersucht und behoben werden kann. Die Karteninhaberdatenumgebung sollte mithilfe von IDS-, IPS- und DLP-basierten Technologien auf unbefugte ausgehende Übertragungen von Kreditkartendaten überwacht werden.

Von Anomalien bei Anmeldeinformationen und ungewöhnlichen Aktivitäten oder Bewegungen bis hin zum Zugriff auf oder der Übertragung von Kreditkartendaten bietet Exabeam einen klaren Überblick über den „Normalzustand“ aller Anmeldeinformationen, Datenbewegungen und Aktivitäten und trägt so dazu bei, Ihren SOC-Workflow und Ihre Reaktionen im Falle eines kompromittierten oder böswilligen Insiders zu optimieren und die laterale Bewegung von Malware oder Ransomware innerhalb Ihres Ökosystems zu erkennen.