Die 12 PCI DSS-Anforderungen im Überblick

Was sind die PCI DSS-Anforderungen?

Der Payment Card Industry Data Security Standard (PCI DSS) ist ein Datensicherheitsstandard für Unternehmen, die Zahlungskartendaten verarbeiten. Die Anforderungen des PCI DSS wurden vom PCI Security Standards Council erstellt und werden von diesem überwacht.

Der PCI DSS umfasst 12 Anforderungen zur Implementierung von Sicherheitsmaßnahmen, die den Schutz von Kreditkarteninformationen gewährleisten und für den Nachweis der PCI-Konformität erforderlich sind. Alle Organisationen, die mit Zahlungskarten bei der Speicherung oder Verarbeitung für den Austausch von Waren oder Dienstleistungen arbeiten, wie z. B. Kredit- und Debitkarten, müssen die 12 Anforderungen entweder über eine Ausgleichskontrolle oder direkt einhalten.

Beachten Sie, dass einige Kompensationskontrollen möglicherweise nicht zulässig sind und individuell von einem PCI QSA genehmigt werden müssen. Wenn Ihr Unternehmen die PCI DSS 12-Anforderungen nicht einhält, kann dies zu einer Geldstrafe oder zum Entzug Ihrer Rechte zur Kreditkartenabwicklung führen.

Die in diesem Artikel enthaltenen Informationen dienen ausschließlich Bildungszwecken und enthalten lediglich allgemeine Informationen zu wirtschaftlichen, rechtlichen und anderen Themen. Es handelt sich nicht um Rechtsberatung und sollte auch nicht als solche verstanden werden. Die Informationen auf dieser Seite stellen möglicherweise nicht die aktuellsten rechtlichen oder sonstigen Informationen dar.

Die Informationen auf dieser Seite werden „wie besehen“ ohne jegliche ausdrückliche oder stillschweigende Garantien oder Zusicherungen bereitgestellt. Wir übernehmen keine Garantien oder Zusicherungen bezüglich der Informationen auf dieser Seite und lehnen jegliche Haftung für Handlungen, die auf Grundlage der Informationen in diesem Artikel durchgeführt oder unterlassen werden, ausdrücklich ab.

Der Inhalt dieses Artikels ersetzt nicht die Rechtsberatung durch einen professionellen Rechtsdienstleister oder Anwalt. Bei konkreten Fragen zu einer Rechtsangelegenheit wenden Sie sich bitte an Ihren professionellen Rechtsdienstleister oder Anwalt.

Dieser Artikel kann Links zu Websites Dritter enthalten. Diese Links dienen ausschließlich der Benutzerfreundlichkeit. Wir unterstützen oder empfehlen die Informationen oder Inhalte dieser Websites nicht.

Empfohlene Lektüre:Was ist SIEM, warum ist es wichtig und 13 Schlüsselfunktionen.

Müssen Sie PCI-konform sein?

Wenn Sie eine Organisation haben, die mit Debit- oder Kreditkartenzahlungen zu tun hat, sollten Sie den PCI DSS einhalten.

Karteninhaberdaten oder Kreditkartendaten bestehen aus der PAN oder Kartennummer zusammen mit dem Ablaufdatum, dem Namen des Karteninhabers oder dem Servicecode. PCI-Konformität ist auch erforderlich, um vertrauliche Authentifizierungsinformationen zu erhalten. Zu diesen vertraulichen Informationen gehören beispielsweise PINs, Magnetstreifen- oder Kartenchipdaten, Kartenvalidierungscodes und andere Details, die zur Validierung von Karteninhabern und zur Validierung von Zahlungskartentransaktionen verwendet werden.

Der PCI SSC hat vier Compliance-Stufen für Großhändler und zwei für Einzelhändler geschaffen. Die Stufe Ihrer Organisation bestimmt, ob Sie einem PCI-Audit durch einen QSA unterliegen oder ob Sie lediglich einen SAQ ausfüllen müssen.

Bußgelder für PCI-Compliance

PCI-Konformität ist zwar keine gesetzliche Vorschrift, doch die Nichteinhaltung stellt dennoch ein großes Problem dar. Unternehmen, die die PCI-Standards nicht erfüllen, müssen mit Risiken wie Datenlecks, Geldstrafen, Kartenersatzkosten, kostspieligen forensischen Audits und Geschäftsuntersuchungen sowie langfristigen Schäden an ihrem Markenimage und Ruf rechnen.

Die Nichteinhaltung des PCI-Standards zieht Strafen nach sich, auch wenn diese nicht allgemein bekannt sind. Verstößt ein Unternehmen beispielsweise gegen die PCI-Compliance-Standards, kann ein Kreditkartenanbieter einer akzeptierenden Bank eine Geldstrafe von 5.000 bis 100.000 US-Dollar pro Monat aufbrummen. Banken geben diese Gebühren in der Regel an den Verkäufer weiter, kündigen den Vertrag oder erhöhen die Transaktionsgebühren, wenn ein Verkäufer gegen die PCI-Anforderungen verstößt.

Neben den finanziellen Kosten können weitere Schäden für Ihr Unternehmen entstehen. Die Nichteinhaltung der PCI-Vorschriften kann negative Folgen haben, darunter:

• Verlust des Kundenvertrauens, Umsatz- und Ertragsrückgang und im Extremfall Geschäftsschließung
• Neuausstellungsgebühren für neue Zahlungskarten
• Ihrem Unternehmen ist möglicherweise die Annahme von Kreditkarten vollständig untersagt
• Betrug, der zu finanziellen Verlusten oder Schäden für Ihre Kunden führt
• Die späteren Compliance-Kosten sind höher
• Gerichtsgebühren, Vergleiche und Entscheidungen
• Karriereschäden für Positionen wie CISO, CIO, CEO, CFO

Tipps vom Experten

Steve Moore ist Vice President und Chief Security Strategist bei Exabeam. Er entwickelt Lösungen zur Bedrohungserkennung und berät Kunden zu Sicherheitsprogrammen und der Reaktion auf Sicherheitsverletzungen. Er ist Moderator des „The New CISO Podcast“, Mitglied des Forbes Tech Council und Mitbegründer von TEN18 bei Exabeam.

Meiner Erfahrung nach gibt es hier zusätzliche Strategien und Erkenntnisse, um Ihre Bemühungen zur PCI DSS-Konformität zu verbessern und Ihre Karteninhaberdatenumgebung (CDE) zu sichern:

Verwenden Sie Zero-Trust-Prinzipien für die Zugriffskontrolle

Setzen Sie eine strenge Identitätsprüfung für jeden Benutzer und jedes Gerät durch, der versucht, auf Ressourcen innerhalb des CDE zuzugreifen. Wenden Sie das Prinzip der geringsten Berechtigungen an, um sicherzustellen, dass Benutzer nur auf die Daten zugreifen können, die sie für ihre Aufgaben benötigen.

Automatisieren Sie die Dateiintegritätsüberwachung (FIM)

Implementieren Sie automatisierte Tools für FIM, um sicherzustellen, dass kritische Dateien und Systemkonfigurationen innerhalb der CDE unverändert bleiben. Dies vereinfacht die Einhaltung der PCI-Anforderungen zur Manipulationserkennung und beschleunigt die Reaktion auf Vorfälle.

Führen Sie Übungen zur Sicherheitsverletzungssimulation durch

Simulieren Sie regelmäßig Sicherheitsvorfälle (z. B. Ransomware- oder Phishing-Angriffe auf die CDE), um die Wirksamkeit Ihrer Sicherheitskontrollen, Mitarbeiterschulungen und Vorfallreaktionspläne zu testen.

Nutzen Sie KI-gestützte SIEM-Lösungen

Nutzen Sie fortschrittliche SIEM-Tools mit Machine-Learning-Funktionen, um Protokolldaten zu analysieren, Anomalien zu erkennen und Muster zu identifizieren, die auf eine Sicherheitsbedrohung hinweisen könnten. KI-gestützte Erkenntnisse können Fehlalarme reduzieren und echte Risiken in Echtzeit aufzeigen.

Implementieren Sie Mikrosegmentierung

Nutzen Sie über die traditionelle Netzwerksegmentierung hinaus die Mikrosegmentierung, um granulare Sicherheitszonen innerhalb des CDE zu erstellen. Dieser Ansatz begrenzt die laterale Bewegung im Falle einer Sicherheitsverletzung und isoliert wertvolle Assets.

PCI DSS-Konformitätsanforderungen

Nachfolgend fassen wir die wichtigsten Anforderungen des PCI DSS-Standards zusammen.

1. Installieren und behalten Sie eine Firewall zum Schutz der Karteninhaberdaten

Sorgen Sie für Netzwerksicherheit, indem Sie eine Firewall installieren und ordnungsgemäß konfigurieren, um die Datenumgebung des Karteninhabers zu schützen. Der Hauptzweck einer Firewall besteht darin, den Netzwerkverkehr durch restriktive Regeln zu regulieren. Eine Firewall wird am Netzwerkrand eingesetzt und bildet die erste Verteidigungslinie gegen Angreifer, die versuchen, in das Netzwerk einzudringen. PCI verlangt, dass Unternehmen ihre Firewall-Regeln zweimal jährlich überprüfen, um sicherzustellen, dass sie für die Sicherheit der Umgebung geeignet sind.

2. Starke Passwörter und sichere Konfiguration

Lassen Sie Geräte und Software niemals mit ihren Standardkennwörtern. Geräte wie Router und Kassensysteme (POS) sind besonders anfällig, da sie mit Standardbenutzernamen und -kennwörtern ausgeliefert werden, die Angreifern entweder bekannt oder leicht zu erraten oder zu knacken sind. Um PCI-konform zu sein, muss Ihr Unternehmen ein Inventar aller Geräte erstellen, die die Karteninhaberumgebung betreffen, und sicherstellen, dass alle über sichere Kennwörter und entsprechende Sicherheitseinstellungen verfügen.

3. Schützen Sie gespeicherte Karteninhaberdaten

Erstellen Sie eine umfassende Liste der Karteninhaberinformationen in Ihrem Unternehmen, geben Sie deren Speicherort und Aufbewahrungsdauer an. Alle Daten müssen durch Maßnahmen wie starke Verschlüsselung, Einweg-Hashing, Trunkierung oder Tokenisierung geschützt werden. Der PCI-Standard schreibt einen strengen Prozess für die Verwaltung von Verschlüsselungsschlüsseln vor. Wenn Sie Schwierigkeiten haben, den Speicherort von Kreditkartendaten herauszufinden, können Sie Tools zur Kartendatenermittlung verwenden, die Datenquellen nach primären Kontonummern (PAN) durchsuchen.

4. Verschlüsseln Sie die Übertragung von Karteninhaberdaten über öffentliche Netzwerke

Schützen Sie Karteninhaberdaten, indem Sie sie bei jeder Übertragung über ein offenes oder öffentliches Netzwerk verschlüsseln. Dazu gehören das öffentliche Internet, Mobilfunknetze wie GSM oder GPRS, Bluetooth usw. Sie müssen wissen, wann und wohin Ihr Unternehmen Karteninhaberdaten überträgt, und sicherstellen, dass diese mit einem sicheren Protokoll wie Transport Layer Security (TLS) oder Secure Shell (SSH) verschlüsselt werden.

5. Verwenden und aktualisieren Sie regelmäßig Antivirensoftware

Installieren Sie Antivirensoftware auf allen Computersystemen im Karteninhaberdatenumfeld und aktualisieren Sie diese regelmäßig. Auch POS-Geräte sollten mit Antivirensoftware ausgestattet sein und regelmäßig von Ihrem Unternehmen oder dem POS-Anbieter gescannt werden. Führen Sie außerdem Kontrollen durch, die vor verdächtigen Aktivitäten wie unbekannten Dateien warnen, auch wenn diese nicht mit bekannten Malware-Signaturen übereinstimmen.

6. Erstellen und behalten Sie sichere Systeme und Anwendungen

Installieren Sie Software-Patches und -Updates auf allen Systemen, sobald diese verfügbar sind. Darüber hinaus sollten Sie aktiv nach Schwachstellen in Softwaresystemen suchen, diese nach Schweregrad einstufen und beheben. Wenn Ihr Unternehmen Software entwickelt, muss jeder neue oder geänderte Code auf bekannte Schwachstellen geprüft und auf unsichere Programmierpraktiken oder unbekannte Schwachstellen untersucht werden.

7. Beschränken Sie den Zugriff auf Karteninhaberdaten auf das „Need-to-know“-Prinzip

Karteninhaberdaten sollten, auch wenn sie sicher gespeichert sind, innerhalb Ihres Unternehmens nur eingeschränkt zugänglich sein. Mitarbeiter, die für die Ausführung einer Aufgabe Zugriff benötigen, sollten nur für die dafür erforderliche Zeit Zugriff haben – das sogenannte „Need-to-know“-Prinzip. Wenn ein Mitarbeiter oder Dritte Karteninhaberdaten anfordert und nicht dazu berechtigt ist, sollte die Anfrage abgelehnt werden.

Bei der Zugriffskontrolle sollte berücksichtigt werden, ob der anfragende Agent autorisiert ist und ob er die Daten im aktuellen Kontext tatsächlich benötigt.

8. Eindeutige IDs für jede Person mit Computerzugriff

Weisen Sie jeder Person, die Zugriff auf Computersysteme in der Karteninhaberumgebung hat, eine eindeutige Kennung zu. Immer wenn jemand auf geschützte Daten zugreift, sollte ein Datensatz vorhanden sein, der die Aktivität auf eine benannte Person zurückführt.

Eine weitere Voraussetzung ist die Zwei-Faktor-Authentifizierung. Dabei müssen Benutzer beispielsweise etwas angeben, das sie kennen (ein Passwort) und etwas, das sie besitzen (z. B. ein Sicherheitstoken), um Zugriff zu erhalten. Der PCI-Standard empfiehlt die Verwendung von RADIUS- oder TACACS-Token, die besonders sicher sind.

9. Beschränken Sie den physischen Zugriff auf Karteninhaberdaten

Stellen Sie sicher, dass unbefugtes Personal keinen physischen Zugriff auf Geräte im Karteninhaberumfeld erhält. Dies gilt für alle – Mitarbeiter, externe Auftragnehmer oder Lieferanten sowie Gäste. Der Zugriff sollte auf Computersysteme, Geräte, Speichermedien, Papierkopien und alles andere beschränkt sein, was Karteninhaberdaten speichert oder den Zugriff darauf ermöglicht.

Dies erfordert eine strenge Zugangskontrolle zu den physischen Einrichtungen, die Protokollierung von Zutritt und Bewegungen innerhalb der Einrichtung sowie spezielles Sicherheitspersonal vor Ort. Karteninhaberdaten sollten sicher gespeichert und an einem externen Standort gesichert werden. Daten sollten vernichtet werden, sobald sie nicht mehr benötigt werden. Das Unternehmen muss über klare Verfahren verfügen, um festzulegen, wie Informationen nach der Zugriffsgenehmigung weitergegeben werden.

10. Verfolgen und überwachen Sie den Zugriff auf Netzwerk- und Karteninhaberdaten

Stellen Sie sicher, dass die Netzwerke in der Karteninhaberdatenumgebung über entsprechende Audit-Richtlinien verfügen, sodass alle Aktivitäten protokolliert und an einen Syslog-Server gesendet werden. PCI erfordert eine mindestens tägliche Überprüfung der Protokolle, um verdächtige Aktivitäten zu erkennen. Ein SIEM-System (Security Information and Event Monitoring Tools) kann die zentrale Speicherung, Analyse und Warnmeldung von Protokolldaten automatisieren.

PCI verlangt außerdem, dass Audit-Trails eine minimale Datenmenge enthalten und zeitsynchronisiert sind. Die Audit-Daten selbst müssen gegen Manipulation gesichert und 12 Monate lang aufbewahrt werden.

11. Testen Sie Sicherheitssysteme und -prozesse regelmäßig

Es reicht nicht aus, Sicherheitskontrollen und -verfahren einfach einzurichten und zu vergessen. IT-Umgebungen sind dynamisch, und täglich treten neue Bedrohungen und Schwachstellen auf. Daher müssen Sie Ihre Sicherheitsprozesse regelmäßig testen, um die Sicherheit Ihrer Systeme zu gewährleisten. PCI erfordert insbesondere regelmäßige Tests von:

• Unbefugter Zugriff auf Wireless Access Points (WAP)
• Scannen auf interne und externe Schwachstellen, einmal pro Quartal oder bei größeren Änderungen am Netzwerk
• Penetrationstests
• Einrichten von Intrusion Detection and Prevention Systemen (IDS/IPS)
• Einrichten der Dateiintegritätsüberwachung (FIM)

12. Eine Informationssicherheitsrichtlinie für alle Mitarbeiter einhalten

Ihr Unternehmen sollte über eine formelle, gut dokumentierte Sicherheitsrichtlinie verfügen, die die Sicherheitsverantwortlichkeiten aller Mitarbeiter im Zusammenhang mit der Karteninhaberumgebung klar darlegt. Mitarbeiter und andere Personen mit Zugriff auf die Karteninhaberumgebung müssen geschult werden und die Richtlinie zur Kenntnis nehmen.

Die Richtlinie muss jährlich auf Grundlage einer formellen Risikobewertung überprüft werden. Darüber hinaus verlangt PCI Hintergrundüberprüfungen der Mitarbeiter und einen dokumentierten Incident-Response-Prozess.

PCI DSS-Konformität mit Exabeam Fusion SIEM

Letztendlich geht es bei der PCI DSS-Konformität darum, Prüfern zu beweisen, was Sie tun – und Exabeam kann Ihnen dabei helfen. Während DLP-, Endpunkt-, Schwachstellen-Scanning-, Netzwerk- und Identitätsanbieter Ihnen Teile des Puzzles liefern, hilft Ihnen Exabeam Fusion SIEM alles zusammenzufügen, um ein vollständiges Bild des Angriffs zu erhalten. Es ergänzt Ereignisse und Warnungen mit Kontext und Risikobewertungen, um ein durchgängiges Bild der PCI DSS-Konformität zu erhalten.

Exabeam Fusion SIEM bietet Ihren Sicherheitsteams Berichte über entdeckte Schwachstellen in PCI-Systemen. Dieser Bericht analysiert detaillierte Daten von Schwachstellenscans, die von Firewalls, Routern, Switches und anderen Geräten generiert werden, die Schwachstellendaten generieren. Schwachstellenscans der Karteninhaberdatenumgebung decken potenzielle Schwachstellen in Netzwerken auf, die von böswilligen Personen erkannt und ausgenutzt werden könnten. Organisationen nutzen diesen Bericht, um bestimmte hochgradige und/oder kritische Schwachstellen in Karteninhabersystemen zu identifizieren, die behoben werden müssen.

Fusion SIEM analysiert auch Kreditkartendaten, die in IDS-, IPS- und DLP-Systemen übertragen oder gespeichert werden, um Einblick in potenziell unbefugte Übertragungen von Kreditkartendaten über das Netzwerk oder auf nicht autorisierte Wechseldatenträger zu erhalten. Kunden nutzen diesen Bericht, um die Quelle der Übertragung zu identifizieren, damit diese weiter untersucht und behoben werden kann. Die Karteninhaberdatenumgebung sollte mithilfe von IDS-, IPS- und DLP-basierten Technologien auf unbefugte ausgehende Übertragungen von Kreditkartendaten überwacht werden.

Von Anomalien bei Anmeldeinformationen und ungewöhnlichen Aktivitäten oder Bewegungen bis hin zum Zugriff auf oder der Übertragung von Kreditkartendaten bietet Exabeam einen klaren Überblick über den „Normalzustand“ aller Anmeldeinformationen, Datenbewegungen und Aktivitäten und trägt so dazu bei, Ihren SOC-Workflow und Ihre Reaktionen im Falle eines kompromittierten oder böswilligen Insiders zu optimieren und die laterale Bewegung von Malware oder Ransomware innerhalb Ihres Ökosystems zu erkennen.