Die 4 PCI-Konformitätsstufen im Überblick

Was sind die PCI-Konformitätsstufen?

Alle Dienstleister und Händler, die Kreditkarteninformationen speichern, übermitteln oder verarbeiten, müssen den PCI DSS einhalten. Ziel des PCI DSS ist es, Kreditkartenbetrug zu reduzieren und den Datenschutz zu verbessern. Die PCI-Konformität ist wichtig, um den Ruf eines Unternehmens zu wahren und Kundendaten zu schützen, indem Sicherheitsprobleme und Datenschutzverletzungen vermieden werden.

Es gibt vier PCI DSS-Konformitätsstufen für Händler, basierend auf der Anzahl der Kartentransaktionen, die sie jedes Jahr verarbeiten:

• Stufe 1: Unternehmen, die über 6 Millionen Kartentransaktionen pro Jahr abwickeln
• Stufe 2: Unternehmen, die zwischen 1 und 6 Millionen Kartentransaktionen pro Jahr verarbeiten
• Stufe 3: Unternehmen, die zwischen 20.000 und 1 Million Kartentransaktionen pro Jahr abwickeln
• Stufe 4: Unternehmen, die weniger als 20.000 Kartentransaktionen pro Jahr abwickeln

Die PCI-DSS-Konformitätsstufen werden vom PCI Security Standards Council (SSC) definiert, einem Konsortium großer Kreditkartenunternehmen wie Visa, Mastercard, American Express, JCB und Discover. Unternehmen mit den PCI-Konformitätsstufen 2–4 können anstelle eines externen Audits einen Selbstbewertungsfragebogen (SAQ) ausfüllen.

Hinweis: Die in diesem Artikel und auf dieser Seite behandelten Informationen dienen ausschließlich der allgemeinen Information über wirtschaftliche, rechtliche und andere Themen. Sie stellen keine Rechtsberatung dar und dürfen nicht als solche verstanden werden. Die Informationen in diesem Artikel werden „wie besehen“ und ohne jegliche ausdrückliche oder stillschweigende Garantien oder Zusicherungen bereitgestellt. Wir geben keine Garantien oder Zusicherungen in Bezug auf den Inhalt dieses Artikels und lehnen jegliche Haftung für Handlungen, die in Bezug auf den Inhalt dieses Artikels vorgenommen oder unterlassen wurden, ausdrücklich ab. Die Informationen in diesem Artikel ersetzen keine Rechtsberatung durch einen Rechtsanwalt oder Anwalt. Bei konkreten Fragen zu Rechtsfragen wenden Sie sich bitte an Ihren Anwalt oder einen anderen Rechtsanwalt. Dieser Artikel kann Links zu verschiedenen Websites Dritter enthalten. Diese Links dienen ausschließlich der Benutzerfreundlichkeit; wir unterstützen oder empfehlen die Informationen auf Websites Dritter nicht.

Empfohlene Lektüre:Was ist SIEM, warum ist es wichtig und 13 Schlüsselfunktionen.

PCI SSC: Die Autorität hinter den PCI-Compliance-Levels

Das PCI Security Standards Council (SSC) wurde mit dem Ziel gegründet, die Datensicherheit für Zahlungskarteninformationen zu verbessern. Die Organisation stellt Frameworks, Tools, Mess- und Supportressourcen bereit, um Unternehmen dabei zu unterstützen, die Sicherheit von Karteninhaberinformationen zu gewährleisten.

PCI DSS ist ein vom SSC erstellter Standard, der den Rahmen für einen vollständigen Datensicherheitsprozess für Zahlungskarten bietet, einschließlich der Prävention und Erkennung von Sicherheitsvorfällen sowie entsprechender Reaktionen darauf.

Zu den von PCI SSC bereitgestellten Tools und Ressourcen gehören:

• Schriftliche Ressourcen, einschließlich der Liste der qualifizierten Sicherheitsgutachter (QSAs), des zertifizierten Sicherheitsgutachters für Zahlungsanwendungen (PA-QSA) und der zugelassenen Scan-Anbieter (ASV)
• Selbstbewertungsfragebögen (SAQ), mit denen Organisationen ihre Compliance-Bereitschaft bewerten und der PCI SSC-Behörde Bericht erstatten können
• Sicherheitsanforderungen für PIN-Transaktionsgeräte mit spezifischen Sicherheitsanweisungen für jeden Gerätetyp
• Das PA-DSS und verifizierte Zahlungsanwendungen

Beachten Sie, dass SAQs nur für die Stufen 2 bis 4 relevant sind. Sie sind in verschiedenen Formen verfügbar, um den Anforderungen verschiedener Händlerumgebungen gerecht zu werden. Der SAQ besteht aus einer Reihe von Ja-/Nein-Fragen für jede anwendbare PCI-Konformitätsanforderung.

Was sind die 4 PCI-Konformitätsstufen?

Die PCI-Konformitätsstufen basieren auf der Anzahl der Transaktionen. Eine Transaktion wird unabhängig von der geografischen Region wie folgt definiert:

• Kreditkartenbasierte Transaktion
• Keine Kartentransaktion
• E-Commerce-Transaktion

PCI DSS-Konformitätsstufe 4

Gilt für: Händler, die jährlich mehr als 6 Millionen Kartentransaktionen abwickeln, beispielsweise große Einzelhändler, die in mehreren Ländern tätig sind.

Für Stufe 1 müssen Händler einen externen Prüfer hinzuziehen. Externe Audits werden von qualifizierten Sicherheitsgutachtern (QSAs) durchgeführt. Diese Prüfer müssen vom PCI SSC zugelassen sein, um eine gründliche Vor-Ort-Prüfung der Praktiken des Unternehmens durchführen und so die Einhaltung der Vorschriften sicherstellen zu können.

Der QSA definiert den Umfang des Audits, überprüft die schriftlichen Aufzeichnungen und Datenspeicher des Unternehmens und stellt die PCI-Konformität fest. Anschließend dokumentiert der Auditor die Ergebnisse in einem Compliance-Bericht (ROC).

Zu den zusätzlichen Anforderungen für Händler der Stufe 1 gehören:

• Vierteljährlicher Netzwerkscan– Diese Scans sind eine Art kleineres Audit und werden von zugelassenen Scan-Anbietern (ASVs) durchgeführt. Netzwerkscans können remote durchgeführt werden und sind nicht so detailliert wie vollständige jährliche Bewertungen.
• Formular zur Konformitätsbescheinigung– Hier können Sie der PCI SSC-Behörde die Compliance-Bemühungen Ihres Unternehmens erläutern. Im Gegensatz zu externen Audits wird die Konformitätsbescheinigung von internen Mitarbeitern verfasst und eingereicht.

PCI DSS-Konformitätsstufe 2

Gilt für: Organisationen, die zwischen 1 und 6 Millionen Transaktionen pro Jahr verarbeiten. Beispielsweise kleine und mittlere Unternehmen (KMU), die in aktiven Handelsgebieten oder über Staats- oder Provinzgrenzen hinweg tätig sind.

Händler des PCI DSS Level 2 müssen einen Compliance-Bericht (ROC) einreichen. Dieser wird jedoch durch eine interne Evaluierung und nicht durch ein externes Audit durchgeführt. Die interne Evaluierung orientiert sich am Self Assessment Questionnaire (SAQ) des PCI SSC.

Händler der Stufe 2 müssen zwar keinen QSA einbeziehen, müssen aber dennoch nachweisen, dass sie alle PCI-Compliance-Richtlinien umgesetzt haben. Wie Händler der Stufe 1 müssen sie:

• Führen Sie vierteljährliche Netzwerkscans durch, die von ASVs durchgeführt werden
• Reichen Sie eine Konformitätsbescheinigung ein.

PCI DSS-Konformitätsstufe 3

Gilt für: Händler, die jährlich zwischen 20.000 und 1 Million Transaktionen abwickeln. Zum Beispiel kleine und mittlere Unternehmen, die in einem lokalen Gebiet tätig sind.

Händler mit PCI DSS Level 3 müssen kein externes Audit durchführen und keinen Compliance-Bericht (ROC) einreichen. Sie können dies jedoch freiwillig tun, um ihr Ansehen bei den Kunden zu verbessern oder die Sicherheit ihrer Karteninhaberdaten zu gewährleisten.

Ansonsten gelten für sie die gleichen Anforderungen wie für Level-2-Händler:

• Jährlicher Selbstbewertungsfragebogen
• Vierteljährlicher Scan des Netzwerks über einen ASV
• Konformitätsbescheinigung (AOC)

PCI DSS-Konformitätsstufe 4

Gilt für: Alle Händler, die weniger als 20.000 E-Commerce-Transaktionen pro Jahr abwickeln, und alle anderen Händler – unabhängig vom Akzeptanzkanal – die bis zu 1 Million Visa-Transaktionen pro Jahr abwickeln.  Zum Beispiel ein kleines lokales Unternehmen.

Im Gegensatz zu höheren PCI-Konformitätsstufen sind für Händler der PCI DSS-Stufe 4 keine Audits erforderlich, sie müssen kein ROC einreichen und benötigen möglicherweise keine AOC-Formulare.

Organisationen auf dieser Ebene stehen vor allem vor der Aufgabe, die PCI-Anforderungen ihrer Bank zu erfüllen. Zu ihren Anforderungen gehören typischerweise:

• Wir setzen ausschließlich qualifizierte Integratoren und Wiederverkäufer (QIRs) für die Installation, Integration und Wartung von Point-of-Sale-Geräten und -Anwendungen ein.

• Führen Sie jährlich einen Selbstbewertungsfragebogen (SAQ) durch
• Führen Sie vierteljährliche Netzwerkscans mit einem ASV durch

Tipps vom Experten

Steve Moore ist Vice President und Chief Security Strategist bei Exabeam. Er entwickelt Lösungen zur Bedrohungserkennung und berät Kunden zu Sicherheitsprogrammen und der Reaktion auf Sicherheitsverletzungen. Er ist Moderator des „The New CISO Podcast“, Mitglied des Forbes Tech Council und Mitbegründer von TEN18 bei Exabeam.

Meiner Erfahrung nach gibt es hier Tipps, wie Sie sich besser auf ein PCI DSS-Audit vorbereiten und es bestehen und gleichzeitig Ihre Sicherheitslage verbessern können:

Beginnen Sie mit einer umfassenden Überprüfung des Umfangs

Stellen Sie sicher, dass die Karteninhaberdatenumgebung (CDE) genau definiert ist. Ein falscher Umfang führt zu Compliance-Verstößen oder unnötigem Prüfungsaufwand. Berücksichtigen Sie bei Ihrer Überprüfung auch Datenflüsse, verbundene Systeme und Dienste von Drittanbietern.

Nutzen Sie während des Audits eine rollenbasierte Dokumentation

Stellen Sie maßgeschneiderte Dokumentationen für verschiedene Audit-Rollen (z. B. IT-Administrator, Geschäftsführer) bereit, um die konsequente Anwendung von Kontrollen nachzuweisen. Rollenbasierte Materialien vereinfachen die Kommunikation mit dem Auditor.

Einführung einer kontinuierlichen Compliance-Überwachung

Behandeln Sie PCI nicht als einmaliges Ereignis. Nutzen Sie Tools wie SIEM und Konfigurationsmanagement, um die Compliance das ganze Jahr über zu überwachen und potenzielle Probleme bereits vor dem Audit zu erkennen.

Erstellen Sie ein Beweisarchiv

Zentralisieren Sie Nachweise wie Richtlinien, Verfahren, Systemkonfigurationen und Überwachungsprotokolle. Nutzen Sie Tools, die automatisch prüffähige Berichte erstellen, um Zeit bei der Beweiserhebung zu sparen.

Testen Sie die Zugriffskontrollen vor dem Audit

Stellen Sie sicher, dass alle Zugriffskontrollen (z. B. geringste Berechtigungen, eindeutige IDs und Zwei-Faktor-Authentifizierung) wie erforderlich funktionieren. Testen Sie regelmäßig, dass keine unnötigen Konten Zugriff auf CDE-Ressourcen haben.

PCI DSS-Levels für Dienstanbieter

Welche Möglichkeiten haben Sie, wenn Sie keine Händler-ID besitzen und nicht auf einen PCI DSS-zugelassenen Zahlungsabwickler angewiesen sind?

So definiert der PCI SSC einen Dienstanbieter:

Unternehmen, die nicht als Zahlungsmarke klassifiziert sind und an der Übertragung, Speicherung oder Verarbeitung von Karteninhaberinformationen beteiligt sind. Dies umfasst auch Unternehmen, die Dienstleistungen anbieten, die die Sicherheit von Karteninhaberinformationen beeinträchtigen oder kontrollieren können.

Hier sind die zwei Ebenen für Dienstanbieter. Sie werden nach der Menge der von ihnen verarbeiteten Transaktionen kategorisiert:

• Level 1– mehr als 300.000 Transaktionen jährlich
• Stufe 2– weniger als 300.000 Transaktionen pro Jahr

Wenn Ihr Unternehmen als Dienstleister (unabhängig von Ihrer Ebene) tätig ist, sollten Sie über die Durchführung eines PCI Level 1 Audits, auch PCI ROC genannt, nachdenken. Dies sollte über ein QSA erfolgen, das den Status der PCI-Konformität Ihres Unternehmens bestätigt und feststellt, ob Sie alle erforderlichen Schritte zur PCI-Konformität durchgeführt haben.

Wenn Sie alle Anforderungen erfüllen, wird Ihnen ein AOC ausgestellt, das Sie jedem vorlegen können, der Ihre PCI-Compliance-Position überprüfen möchte.

Dienstanbieter, die keine 300.000 Transaktionen verarbeiten, können SAQ-D ausfüllen (dies ist der SAQ, den Dienstanbieter gemäß PCI SSC ausfüllen können).

So bestehen Sie Ihr PCI DSS-Audit

Für Händler der Stufe 1 ist zur Erstellung eines Konformitätsberichts (ROC) ein Vor-Ort-Audit durch einen externen qualifizierten Sicherheitsgutachter (QSA) erforderlich.

Für Händler der Stufe 2 wird der ROC von einem internen Sicherheitsgutachter erstellt. Ein Audit kann bis zu zwei Jahre dauern, da der PCI DSS-Standard 12 Ziele und 281 Richtlinien umfasst. Eine Selbstbewertung ist schneller, kann aber je nach Ressourcen und der Möglichkeit, Berichte und Risikostatus für Ihr Netzwerk und Ihre Anwendungen zu sammeln, ebenfalls bis zu einem Jahr dauern.

Ein Audit umfasst eine Vielzahl von Bewertungen und Tests, darunter:

• Testen der Kontrolle einer Organisation über ihre Karteninhaberdatenumgebung (CDE) und POS-Geräte
• Bewertung der Zugangskontrollen, einschließlich des physischen Zugangs
• Bewertung des Sicherheitsniveaus von IT-Anbietern
• Überprüfung der Wirksamkeit der Netzwerksegmentierung
• Identifizieren von Anwendungen, die Zahlungsinformationen verarbeiten
• Auswerten, ob, wo und wie Karteninformationen gespeichert werden
• Sicherstellen der Datenverschlüsselung

Dies ist nur eine unvollständige Liste der gängigsten Evaluierungen. Glücklicherweise ist PCI DSS stark standardisiert und gibt klar an, was zur Umsetzung der einzelnen Anweisungen zu tun ist. Bei der Vorbereitung auf ein Audit oder eine Selbstbewertung können Sie den Prozess beschleunigen und Kosten senken, indem Sie die folgenden Schritte befolgen:

1. Definieren Sie den Umfang– ermitteln Sie, welche Richtlinien für Ihre Organisation relevant sind und welche Bewertungen für die einzelnen Abteilungen oder Systeme innerhalb der Organisation relevant sind.
2. Minimieren Sie den Umfang– eine einfache Möglichkeit, Ihren Umfang zu reduzieren, besteht darin, eine Firewall um das CDE herum einzurichten, die es isoliert und die PCI-Untersuchung auf die Systeme hinter der Firewall beschränkt.
3. Bestimmen Sie, wie die PCI DSS-Anforderungen erfüllt werden– erstellen Sie ein Dokument zur Risikobewertung, ermitteln Sie die Risiken der Nichteinhaltung und wenden Sie die erforderlichen Kontrollmaßnahmen an, um diese zu beheben.
4. Testen Sie Ihre Kontrollen– tun Sie dies vor und nach Ihrem jährlichen Audit oder Ihrer Evaluierung. Die PCI DSS-Konformität ist ein fortlaufender Prozess und erfordert jederzeit Wachsamkeit.
5. Beweissicherung– Alle Audits erfordern eine vollständige Dokumentation Ihrer Prozesse, Kontrollen und Sicherheitsmaßnahmen. Bereiten Sie diese im Voraus vor, um Zeit zu sparen.

PCI-Konformität mit Exabeam

Exabeam Fusion SIEM, eine Cloud-basierte Lösung, kombiniert konventionelles SIEM-Protokollmanagement mit einem ergebnisorientierten Ansatz durch präskriptive Workflows und vorgefertigte, bedrohungsspezifische Inhalte, um Bedrohungserkennung, -untersuchung und -reaktion (TDIR) schneller zu lösen. Vorgefertigte Integrationen mit Hunderten von Sicherheitstools von Drittanbietern kombinieren schwache Signale anderer Produkte mit dem Verlauf normaler Verhaltensmuster, um Bedrohungen zu finden, die von anderen Tools übersehen wurden. Die Automatisierung von Triage-, Untersuchungs- und Reaktionsaktivitäten über eine einzige, zentrale Steuerungsebene steigert die Produktivität der Analysten und verkürzt die Reaktionszeiten.

Exabeam Fusion SIEM: Umfassende Compliance-Protokollierung für PCI DSS-Compliance

Fusion SIEM enthält vordefinierte PCI DSS-Compliance-Berichte wie „Fehlgeschlagene VPN-Anmeldungen“ und „Remote-Sitzungs-Timeouts“, sodass Sie Auditoren die Compliance leicht nachweisen können. Exabeam Cloud Archive kann online durchsuchbare Daten bis zu zehn Jahre lang speichern und erfüllt so die Aufbewahrungsanforderungen interner Compliance-Beteiligter und externer Auditoren.

Automatisierte, schnelle Bedrohungserkennung

Die schnelle Erkennung von Bedrohungen ist eine zentrale PCI-DSS-Anforderung. Exabeam ermittelt kontinuierlich das normale Verhalten aller Benutzer und Entitäten im Netzwerk und kombiniert dazu Daten von Endpoint Detection and Response (EDR)-Tools, Network Detection and Response (NDR)-Tools, Cloud-Sicherheitstools, Identitäts- und Zugriffsmanagementlösungen und mehr. Abweichungen vom Normalverhalten – ob von Endbenutzer- oder Servicekonten – sowie Datei- oder verdächtige Server- und Cloud-Zugriffe werden gekennzeichnet und mit einem Risikowert versehen. Alle Vorfälle und Warnungen im gesamten Netzwerk werden automatisch in Zeitleisten organisiert, die den Sicherheitsteams Kontext für die Untersuchung und das Ergreifen von Maßnahmen bieten. So können Analysten Insider-Bedrohungen, kompromittierte Konten, Datenverlust und mehr schnell erkennen.

PCI DSS legt Wert auf kontinuierliche Kontoüberwachung – insbesondere für privilegierte Benutzer und Drittanbieter mit Sonderzugriff – und Exabeam unterstützt diese Mission. Fusion SIEM hilft SOC-Analysten, riskante Aktivitäten im Zusammenhang mit der Finanzberichterstattung schnell und präzise zu identifizieren, unabhängig davon, wo sie auftreten. Exabeam erfasst Protokolldaten aus unterschiedlichen Domänen (z. B. Cloud, Datenbank, E-Mail, Anwendung) und fügt sie zu einer schlüssigen Aktivitätskette zusammen, um die Transparenz für Analysten zu verbessern. Insbesondere zur Erkennung von Datenmanipulationen verfügt Exabeam über integrierte Dateiüberwachungsmodelle, die jede dateibezogene Aktion verfolgen – einschließlich des Erstzugriffs, des Anhängens von Daten an eine E-Mail, des Herunterladens oder sogar des Schreibens auf ein USB-Laufwerk.