Was ist eine PCI-Konformitätsbescheinigung (AoC)?

Eine PCI-Konformitätsbescheinigung (AoC) ist eine Erklärung einer Organisation, die ihre Einhaltung des Payment Card Industry Data Security Standard (PCI DSS) bestätigt. Eine AoC wird von einem qualifizierten Gutachter oder nach einer Selbsteinschätzung der Konformität ausgestellt und dient als Nachweis dafür, dass die notwendigen Sicherheitskontrollen und -maßnahmen zum Schutz der Karteninhaberdaten vorhanden sind.

Die Einreichung eines AoC ist der letzte Schritt auf dem Weg zur PCI-DSS-Konformität. Es enthält Details zur für das Unternehmen durchgeführten Konformitätsbewertung, den aktuellen Konformitätsstatus, die Bewertungsmethodik und die aktuell implementierten Sicherheitskontrollen. Ein AoC ist ein Jahr lang gültig. Danach muss sich das Unternehmen erneut einer Bewertung und Zertifizierung unterziehen.

Empfohlene Lektüre:Was ist SIEM, warum ist es wichtig und 13 Schlüsselfunktionen.

Wer braucht ein AoC?

Unternehmen, die an der Verarbeitung, Speicherung oder Übertragung von Kreditkarteninformationen beteiligt sind, müssen einen PCI-AoC vorlegen. Dazu gehören Händler jeder Größe, Dienstleister und andere Unternehmen, die Einfluss auf die Sicherheit von Zahlungskartentransaktionen haben. Wenn Sie mit Karteninhaberdaten arbeiten, ist die Bereitstellung eines AoC erforderlich, um im Rahmen des PCI DSS agieren zu können.

Wie erhält ein Unternehmen ein PCI AoC?

1. Einhaltung der PCI DSS-Standards

Das Unternehmen muss die Anforderungen des PCI-DSS-Standards verstehen und die festgelegten Sicherheitsmaßnahmen zum Schutz der Karteninhaberdaten implementieren. Zu diesen Maßnahmen gehören die Aufrechterhaltung eines sicheren Netzwerks, die Verschlüsselung der Karteninhaberdaten und die Durchführung regelmäßiger Sicherheitsbewertungen. Unternehmen müssen diese Kontrollen sorgfältig dokumentieren und so ihr Engagement für die Datensicherheit nachweisen.

2. Bestimmen Sie Ihr Compliance-Level und den Bewertungstyp

Der PCI DSS-Standard definiert vier Händlerebenen, jede mit ihren eigenen Anforderungen zur Erreichung der Konformität und zum Erhalt eines AoC:

• PCI DSS Compliance Level 1: Gilt für Händler, die jährlich mehr als 6 Millionen Kartentransaktionen abwickeln. Auf dieser Stufe müssen Händler ein externes Audit durch einen qualifizierten Sicherheitsprüfer (QSA) durchführen. Der Prüfer dokumentiert die Ergebnisse anschließend in einem Compliance-Bericht (RoC). Besteht der Händler den RoC, erstellt der QSA eine Konformitätsbescheinigung.
• PCI DSS Compliance Level 2: Gilt für Händler, die jährlich zwischen 1 und 6 Millionen Transaktionen abwickeln. Einige dieser Händler benötigen möglicherweise ein externes Audit durch einen QSA und einen RoC. Die meisten können jedoch eine interne Bewertung durchführen und einen Self Assessment Questionnaire (SAQ) einreichen. Basierend auf dem RoC oder SAQ können sie eine Konformitätsbescheinigung einreichen.
• PCI DSS-Konformitätsstufe 3: Gilt für Händler, die jährlich zwischen 20.000 und 1 Million Transaktionen abwickeln. Diese Händler müssen einen SAQ einreichen und können auf dieser Grundlage eine Konformitätsbescheinigung ausstellen.
• PCI DSS-Compliance Level 4: Gilt für Händler mit weniger als 20.000 Transaktionen pro Jahr. Organisationen dieser Stufe müssen vor allem die PCI-Anforderungen ihrer Bank erfüllen. Ein SAQ- und AoC-Formular kann erforderlich sein, muss aber nicht.

3. Fragebogen oder Compliance-Bericht einreichen

Nach dem externen Audit oder der internen Bewertung muss das Unternehmen einen Compliance-Bericht (Report on Compliance, RoC) bzw. einen Selbstbewertungsfragebogen (SAQ) einreichen. Diese Bewertungen bewerten die Einhaltung der PCI-DSS-Standards durch das Unternehmen. Das Ergebnis ist entweder die vollständige Einhaltung oder ein Plan zur Behebung von Mängeln.

Wenn es Bereiche gibt, in denen das Unternehmen die PCI DSS-Anforderungen nicht erfüllt, muss es seine Sicherheitsmaßnahmen verbessern und die Bewertung wiederholen. Wenn alle Probleme behoben sind, kann es schließlich die Konformitätsbescheinigung (Atestation of Compliance, AoC) einreichen.

Was ist ein qualifizierter Sicherheitsgutachter (QSA)?

Ein Qualified Security Assessor (QSA) ist ein vom PCI Security Standards Council zertifizierter Spezialist, der Organisationen anhand des Payment Card Industry Data Security Standard (PCI DSS) bewertet. Nur Händler auf PCI DSS Level 1 (und manchmal Level 2) sind verpflichtet, externe Audits mit einem QSA durchzuführen.

Der Zertifizierungsprozess für QSAs ist streng und erfordert umfassende Kenntnisse und Erfahrungen im Bereich Informationssicherheit. QSAs sind für die Durchführung umfassender Bewertungen der Sicherheitsmaßnahmen, -richtlinien und -verfahren eines Unternehmens verantwortlich, um sicherzustellen, dass diese den PCI DSS-Anforderungen entsprechen.

Ein QSA-Audit umfasst eine Kombination aus Dokumentenprüfung, Interviews und technischen Tests. Im Anschluss an die Bewertung erstellen die QSAs einen Compliance-Bericht (RoC), in dem sie ihre Ergebnisse detailliert darlegen und angeben, ob das Unternehmen die PCI-DSS-Standards erfüllt. Wenn alle geltenden PCI-Anforderungen erfüllt sind, erstellt der QSA eine Konformitätsbescheinigung (AoC), die die PCI-DSS-Konformität des Unternehmens bestätigt.

Tipps vom Experten

Steve Moore ist Vice President und Chief Security Strategist bei Exabeam. Er entwickelt Lösungen zur Bedrohungserkennung und berät Kunden zu Sicherheitsprogrammen und der Reaktion auf Sicherheitsverletzungen. Er ist Moderator des „The New CISO Podcast“, Mitglied des Forbes Tech Council und Mitbegründer von TEN18 bei Exabeam.

Meiner Erfahrung nach gibt es hier erweiterte Tipps zum Erhalten und Aufrechterhalten einer PCI-Konformitätsbescheinigung (AoC) mit minimalen Unterbrechungen:

Optimieren Sie den Umfang mit Präzision

Definieren Sie die Karteninhaberdatenumgebung (Cardholder Data Environment, CDE) klar und isolieren Sie sie durch Netzwerksegmentierung. Dies minimiert die Anzahl der betroffenen Systeme und reduziert den Aufwand für Bewertung und Compliance.

Voraudit mit internen Gutachtern

Führen Sie mithilfe Ihres Information Security Assessors (ISA) oder interner Teams ein detailliertes internes Voraudit durch. Dies hilft, Lücken zu identifizieren, ermöglicht die Behebung vor dem offiziellen Audit und spart Zeit bei der QSA-Prüfung.

Implementieren Sie eine automatisierte Beweissammlung

Nutzen Sie Automatisierungstools zum Erfassen von Protokollen, Konfigurationen und Kontrollnachweisen im Zusammenhang mit PCI-Anforderungen. Dies reduziert den manuellen Aufwand und stellt die zeitnahe Verfügbarkeit präziser Dokumentationen bei Audits sicher.

Erzwingen Sie eine kontinuierliche Kontrollvalidierung

Nutzen Sie Tools wie File Integrity Monitoring (FIM), SIEM-Lösungen und Schwachstellenscanner, um Ihre Sicherheitskontrollen kontinuierlich zu validieren. Die Echtzeitvalidierung stellt sicher, dass die Compliance das ganze Jahr über gewährleistet bleibt.

Richten Sie das Drittanbieterrisiko an der AoC-Compliance aus

Stellen Sie sicher, dass alle Drittanbieter, die Einfluss auf Ihr CDE haben, eigene AoCs oder ähnliche Bescheinigungen vorlegen. Überprüfen Sie regelmäßig deren Compliance-Status, um Compliance-Risiken zu vermeiden, die Ihr Unternehmen beeinträchtigen könnten.

Was ist im AoC-Dokument enthalten?

Hier ist eine Übersicht über die wichtigsten Abschnitte eines AoC.

Bewertungsumfang

Dieser Abschnitt beschreibt die spezifischen Systeme, Netzwerke und Prozesse, die im Rahmen der PCI DSS-Bewertung bewertet wurden. Er definiert die Grenzen der Bewertung und stellt sicher, dass alle Komponenten, die an der Verarbeitung, Speicherung oder Übertragung von Zahlungskartendaten beteiligt sind, abgedeckt sind.

Dieser Abschnitt hilft Unternehmen außerdem dabei, den Umfang ihrer Compliance-Bemühungen zu verstehen. Durch eine klare Definition des Umfangs können Unternehmen ihre Umgebungen besser verwalten und sichern und sich auf Bereiche konzentrieren, die für den Schutz von Karteninhaberdaten von entscheidender Bedeutung sind.

Compliance-Status

Dieser Abschnitt zeigt, ob die bewerteten Unternehmen die PCI DSS-Anforderungen erfüllen. Er liefert klare Hinweise zur Einhaltung der Vorschriften oder zeigt Bereiche auf, in denen Verbesserungsbedarf besteht. Für Unternehmen beschreibt dieser Abschnitt ihre Sicherheitslage und zeigt Erfolge und Verbesserungspotenziale im Hinblick auf die PCI-Standards auf.

Bewertungsmethodik

Dieser Abschnitt beschreibt die Verfahren und Tests zur Feststellung der PCI DSS-Konformität. Er enthält die Methoden, die von den Prüfern zur Überprüfung der Implementierung der erforderlichen Sicherheitskontrollen verwendet werden. Dies gibt einen Einblick in die Genauigkeit und Gründlichkeit der Bewertung und stellt sicher, dass die Bewertung umfassend war.

Sicherheitskontrolle

Dieser Abschnitt beschreibt die spezifischen Kontrollen und Maßnahmen, die das Unternehmen zur Einhaltung der PCI DSS-Anforderungen implementiert hat. Er zeigt, wie sensible Daten geschützt werden – von Verschlüsselung und Zugriffskontrollen bis hin zu Überwachungs- und Risikomanagementpraktiken. Dies gibt den Beteiligten einen klaren Überblick über die Sicherheitslage des Unternehmens.

Gutachterinformationen

Dieser Abschnitt enthält Details zu den Stellen, die die Bewertung durchgeführt haben. Dabei kann es sich um einen qualifizierten Sicherheitsgutachter (QSA), einen zugelassenen Scan-Anbieter (ASV) und/oder einen internen Sicherheitsgutachter (ISA) handeln. Geben Sie Ihre Anmeldeinformationen und Kontaktdaten an.

Wie lange ist eine Konformitätsbescheinigung gültig?

Ein PCI AoC ist ab Ausstellungsdatum ein Jahr lang gültig. Unternehmen müssen im Rahmen ihrer Sicherheitsstrategien regelmäßige Bewertungen einplanen. Die jährliche Validierung gewährleistet die kontinuierliche Einhaltung der Vorschriften und behebt alle Schwachstellen, die durch Änderungen in der Umgebung oder im Betrieb im Laufe des Jahres entstehen können.

Was müssen Sie bereitstellen, damit Ihre Beurteilung reibungslos verläuft?

Um den Prozess zur Erlangung einer PCI-Konformitätsbescheinigung (AoC) zu optimieren und die Bewertung so reibungslos wie möglich zu gestalten, müssen Unternehmen bestimmte Informationen und Unterlagen vorbereiten und bereitstellen. Folgendes benötigen Sie:

• Detaillierte Dokumentation Ihrer IT-Umgebung: Sie sollten über eine umfassende Dokumentation Ihrer IT-Infrastruktur verfügen, einschließlich Netzwerkdiagrammen, Datenflussdiagrammen und einer Bestandsaufnahme aller Systeme, die an der Verarbeitung, Speicherung oder Übertragung von Karteninhaberdaten beteiligt sind. Die Grenzen der Karteninhaberdatenumgebung (Cardholder Data Environment, CDE) sollten klar umrissen sein.
• Richtlinien und Verfahren: Bereiten Sie Ihre Informationssicherheitsrichtlinie, Zugriffskontrollrichtlinie, Ihren Vorfallreaktionsplan und alle anderen Verfahren im Zusammenhang mit den PCI DSS-Anforderungen vor und gewähren Sie Zugriff darauf.
• Nachweis der implementierten Kontrollen: Halten Sie Konfigurationseinstellungen, Screenshots, Protokolle oder andere Nachweise bereit, die die Einhaltung der PCI DSS-Anforderungen belegen. Ordnen Sie diese Nachweise systematisch entsprechend der jeweiligen Anforderung.
• Liste der Drittanbieter: Wenn Sie für die Verarbeitung, Speicherung oder Übertragung von Karteninhaberdaten auf Drittanbieter angewiesen sind, erstellen Sie eine Liste dieser Anbieter mit detaillierten Angaben zu den von ihnen angebotenen Diensten. Halten Sie außerdem Kopien aller Vereinbarungen bereit, die die PCI-DSS-Konformität dieser Anbieter bestätigen, da deren Konformität Ihre eigene beeinflusst.
• Selbstbewertungsfragebogen (SAQ): Ein SAQ kann zwar keine vollständige Bewertung ersetzen, er kann jedoch wertvolle Einblicke in Ihre Vorbereitung bieten und Bereiche aufzeigen, in denen Sie Stärken haben und sich verbessern können.

PCI DSS-Konformität mit Exabeam Fusion SIEM

Letztendlich geht es bei der PCI DSS-Konformität darum, Prüfern zu beweisen, was Sie tun – und Exabeam kann Ihnen dabei helfen. Während DLP-, Endpunkt-, Schwachstellen-Scanning-, Netzwerk- und Identitätsanbieter Ihnen Teile des Puzzles liefern, hilft Ihnen Exabeam Fusion SIEM alles zusammenzufügen, um ein vollständiges Bild des Angriffs zu erhalten. Es ergänzt Ereignisse und Warnungen mit Kontext und Risikobewertungen, um ein durchgängiges Bild der PCI DSS-Konformität zu erhalten.

Exabeam Fusion SIEM bietet Ihren Sicherheitsteams Berichte über entdeckte Schwachstellen in PCI-Systemen. Dieser Bericht analysiert detaillierte Daten von Schwachstellenscans, die von Firewalls, Routern, Switches und anderen Geräten generiert werden, die Schwachstellendaten generieren. Schwachstellenscans der Karteninhaberdatenumgebung decken potenzielle Schwachstellen in Netzwerken auf, die von böswilligen Personen erkannt und ausgenutzt werden könnten. Organisationen nutzen diesen Bericht, um bestimmte hochgradige und/oder kritische Schwachstellen in Karteninhabersystemen zu identifizieren, die behoben werden müssen.

Fusion SIEM analysiert auch Kreditkartendaten, die in IDS-, IPS- und DLP-Systemen übertragen oder gespeichert werden, um Einblick in potenziell unbefugte Übertragungen von Kreditkartendaten über das Netzwerk oder auf nicht autorisierte Wechseldatenträger zu erhalten. Kunden nutzen diesen Bericht, um die Quelle der Übertragung zu identifizieren, damit diese weiter untersucht und behoben werden kann. Die Karteninhaberdatenumgebung sollte mithilfe von IDS-, IPS- und DLP-basierten Technologien auf unbefugte ausgehende Übertragungen von Kreditkartendaten überwacht werden.

Von Anomalien bei Anmeldeinformationen und ungewöhnlichen Aktivitäten oder Bewegungen bis hin zum Zugriff auf oder der Übertragung von Kreditkartendaten bietet Exabeam einen klaren Überblick über den „Normalzustand“ aller Anmeldeinformationen, Datenbewegungen und Aktivitäten und trägt so dazu bei, Ihren SOC-Workflow und Ihre Reaktionen im Falle eines kompromittierten oder böswilligen Insiders zu optimieren und die laterale Bewegung von Malware oder Ransomware innerhalb Ihres Ökosystems zu erkennen.