PCI-DSS-Compliance

Einzelhändler und Online-Shops sind ein beliebtes Ziel für Hacker. Und das aus gutem Grund. Denn ein erfolgreicher Einbruch in ein Zahlungskartensystem kann ihnen einen enormen finanziellen Gewinn bringen. Doch trotz der Risiken haben Händler immer noch Schwierigkeiten, die Anforderungen an die Sicherheit von Zahlungskarten zu erfüllen – laut dem Verizon Payment Security Report 2020 sind derzeit nur 27,9 % der Unternehmen in der Lage, die vollständige Compliance der Daten der Zahlungskartenbranche aufrechtzuerhalten Sicherheitsstandard (PCI DSS) . Gleichzeitig nimmt die Zahl der Karten- und kontaktlosen Zahlungen weiter zu, da sich die Vorlieben der Verbraucher zunehmend zugunsten von Plastik, mobilen Geldbörsen und Online-Shopping ändern.

Darüber hinaus befindet sich auch der Einzelhandel mitten in einer digitalen Revolution, da er seine Anwendung von statischer Hardware vor Ort auf eine komplexe, skalierbare und elastische Cloud-basierte Infrastruktur migriert. Diese neuen dynamischen Computerumgebungen erfordern eine Verlagerung des Schwerpunkts von herkömmlichen Cybersicherheitsmethoden hin zum Schutz individueller Workloads, API-Sicherheit und Konfigurationsmanagement.

In diesem Beitrag werden die Compliance-Anforderungen des PCI-DSS und die Auswirkungen, die sie auf Zahlungskartensysteme haben, die in modernen Hybrid-Cloud- und Multi-Cloud-Umgebungen gehostet werden, erörtert. Also fangen wir an.

Kostenlose Testversion E-BOOK HERUNTERLADEN

Was ist PCI DSS?

Der PCI-DSS ist ein Informationsverarbeitungsstandard, der einen Rahmen zum Schutz von Zahlungskartentransaktionen und Karteninhaberdaten vor Betrügern bietet.

 

Es legt eine Reihe grundlegender Maßnahmen fest, die Sie ergreifen müssen, um das Risiko einer Gefährdung der Karteninhaberdaten zu minimieren.

 

Der Standard gilt für jedes Unternehmen oder jede Organisation, die Kartenzahlungen akzeptiert oder verarbeitet. Betroffen sind also vor allem Einzelhandelsunternehmen und alle Unternehmen, die Soft- oder Hardware zur Abwicklung von Transaktionen bereitstellen.

 

Es unterscheidet sich erheblich von Datenschutzgesetzen wie der Datenschutz-Grundverordnung (DSGVO), die auch den Einzelhandel und die E-Commerce-Branche betreffen.

 

Beispielsweise handelt es sich beim PCI-DSS um einen sicherheitsorientierten Standard. Im Gegensatz dazu ist Sicherheit nur ein Teil der Datenschutzbestimmungen, die auch Aspekte des Datenschutzes abdecken, etwa Datenschutzhinweise auf Websites, die Zustimmung zur Aufnahme von Kundendaten in Mailinglisten und Auskunftsanfragen von Verbrauchern.

 

Das PCI-DSS wurde auch vom Payment Card Industry Security Standards Council (PCI SSC) entwickelt – einer Verwaltungsorganisation, die aus kommerziellen Zahlungsnetzwerk-Abwicklern besteht. Datenschutzgesetze werden jedoch von staatlichen Stellen verwaltet – auf staatlicher, nationaler oder internationaler Ebene.

Compliance und Strafen

Das PCI-DSS legt verschiedene Wege zur Compliance fest, die jeweils einer von vier verschiedenen Compliance-Stufen zugeordnet sind. Die Anzahl der Transaktionen, die Sie pro Jahr verarbeiten, bestimmt Ihren individuellen Compliance-Level.

 

Zahlungskartenunternehmen können nach eigenem Ermessen Bußgelder wegenCompliance des PCI-DSS verhängen. Darüber hinaus stellt ein Verstoß gegen das PCI-DSS wahrscheinlich auch einen Verstoß gegen geltende Datenschutzgesetze wie die DSGVO oder den California Consumer Privacy Act (CCPA) dar. Und möglicherweise auch staatliche Gesetze, wie zum Beispiel Minnesotas Plastic Card Security Act.

 

Im Falle eines Verstoßes drohen Ihnen daher eine Vielzahl unterschiedlicher Geldstrafen und Sanktionen.

Was sind die 12 Anforderungen der PCI-DSS- Compliance?

Die PCI-DSS-Compliance spezifiziert zwölf technische und betriebliche Anforderungen wie folgt.

1. Installieren und pflegen Sie eine Firewall-Konfiguration zum Schutz der Karteninhaberdaten

Eine Firewall ist Ihre erste Verteidigungslinie und verhindert anhand einer Reihe vorkonfigurierter Regeln, dass potenziell bösartiger Datenverkehr in Ihr Netzwerk gelangt.

 

Allerdings reichen herkömmliche perimeterbasierte Firewalls nicht mehr aus, um Ihre Cloud-Ressourcen zu schützen, da es keine klare Grenze zwischen Ihren Benutzern und dem internen Netzwerk gibt.

 

Um dieses Problem zu lösen, benötigen Sie eine Cloud-Firewall. Diese funktioniert ähnlich wie eine herkömmliche Firewall, wurde jedoch speziell an die verteilte Natur der Cloud angepasst, wo Anwendungen in diskrete Komponenten aufgeteilt werden, die über Ihre Netzwerkumgebung verteilt sind.

2. Verwenden Sie keine vom Anbieter bereitgestellten Standardeinstellungen für Systemkennwörter und andere Sicherheitsparameter

Anbieter von Routern, POS-Systemen und zugehörigen Komponenten versehen ihre Geräte mit Standardbenutzernamen, Passwörtern und Konfigurationen, um die Installation und Einrichtung so schnell und einfach wie möglich zu gestalten.

 

Dies stellt ein leichtes Ziel für Cyberkriminelle dar.

 

Diese Werkseinstellungen stehen Betrügern leicht zur Verfügung, die sie ausnutzen, um sich Zugang zum internen Netzwerk zu verschaffen und Karteninhaberdaten zu stehlen. Verwenden Sie daher nur Ihre eigenen, eindeutigen Anmeldeinformationen und Konfigurationen, um Hackern fernzuhalten.

 

Achten Sie auch darauf, andere Standardkonfigurationen zu verwenden, z. B. Zugriffsberechtigungen. CloudSecOps-Teams müssen sicherstellen, dass ihre Anwendungs- und Cloud-Workloads nicht zu freizügig sind und nur das erforderliche Maß an Zugriff auf sensible Ressourcen gewähren, um die Angriffsfläche zu reduzieren.

3. Schützen Sie gespeicherte Karteninhaberdaten

Der beste Weg, Karteninhaberinformationen zu schützen, besteht einfach darin, die Speicherung vollständig zu vermeiden. Wenn Sie es jedoch aus geschäftlichen oder rechtlichen Gründen benötigen, sollten Sie Maßnahmen ergreifen, um es unleserlich zu machen.

 

Die gebräuchlichste und praktischste Methode hierfür ist die Verschlüsselung Ihrer Daten. Um PCI-DSS zu entsprechen, muss jede solche Verschlüsselung den branchenüblichen AES-256-Algorithmus verwenden.

 

Bedenken Sie jedoch, dass Ihre Daten nur so sicher sind wie die Schlüssel, mit denen Sie sie verschlüsseln. Daher müssen Sie auch Ihre Verschlüsselungsschlüssel mithilfe eines effektiven Schlüsselverwaltungssystems schützen.

 

Außerdem ist es wichtig, sich zunächst ein klares Bild davon zu machen, welche Karteninhaberdaten Sie überhaupt speichern – typischerweise durch den Einsatz von Datenerkennungstools und einer Bestandsaufnahme Ihrer Datenbestände.

4. Verschlüsselte Übertragung von Karteninhaberdaten über ein offenes, öffentliches Netzwerk

Stellen Sie sicher, dass Sie jede Ihrer Cloud- und lokalen Umgebungen richtig konfigurieren, um Karteninhaberdaten mithilfe von Transport Layer Security (TLS) zu verschlüsseln, wo sie über das Internet zwischen den verschiedenen Teilen Ihres Zahlungskarten-Ökosystems übertragen werden. Erwägen Sie die Investition in eine umfassende Cloud Netzwerk-Sicherheitslösung für öffentliche und hybride Clouds

 

Bedenken Sie auch, dass Zahlungen über mobile Geräte besonders gefährdet sind. Stellen Sie daher sicher, dass jedes drahtlose Netzwerk ein sicheres Passwort und das neueste verfügbare WLAN-Sicherheitsprotokoll verwendet.

5. Verwenden und aktualisieren Sie regelmäßig Antivirensoftware oder -programme

Ihre Antivirensoftware (AV) sollte in der Lage sein, alle Umgebungen zu schützen, in denen Ihr Zahlungskartensystem gehostet wird – in Ihrer Hybrid-Cloud- oder Multi-Cloud-Infrastruktur.

 

Es ist jedoch auch wichtig, sich der Einschränkungen von AV-Software bewusst zu sein.

 

Es haben sich neue und ausgefeiltere Arten von Bedrohungen entwickelt, die auf die Cloud-basierte Bereitstellung abzielen. Daher benötigen Sie jetzt ein breiteres Spektrum an Sicherheitsansätzen zum Schutz der Karteninhaberdaten, wie z. B. Cloud-Sicherheit Posture Management (CSPM) und Cloud-Workload-Schutz.

6. Entwickeln und pflegen Sie sichere Systeme und Anwendungen

Der Zweck von Anforderung 6 besteht darin, sicherzustellen, dass Sie Sicherheit in Ihre Anwendungsentwicklungs- und Lebenszyklusprozesse integrieren. Dazu gehört die Unterstützung sicherer Codierungspraktiken durch Schulungen, Richtlinien und Checklisten sowie regelmäßige Überprüfungen aller internen oder benutzerdefinierten Anwendungscodes.

 

Es deckt auch das Patch-Management ab, wobei die Bestimmungen des PCI-DSS vorsehen, dass Sie kritische Patches für Software von Drittanbietern innerhalb eines Monats nach der Veröffentlichung installieren müssen, um die Compliance aufrechtzuerhalten.

7. Beschränken Sie den Zugriff auf Karteninhaberdaten nach geschäftlichem Wissensbedarf

Sie sollten die Anzahl der Personen, die auf die Daten des Karteninhabers zugreifen können, auf ein absolutes Minimum begrenzen und nur Personen dies ermöglichen, die einen legitimen geschäftlichen Bedarf haben.

 

Der praktischste Weg hierfür ist die Implementierung eines rollenbasierten Zugriffskontrollsystems (RBAC) , das den Zugriff auf sensible Ressourcen wie Karteninhaberdaten nach dem Prinzip der geringsten Rechte gewähren soll.

8. Weisen Sie jeder Person mit Computerzugriff eine eindeutige ID zu

Jeder autorisierte Benutzer Ihrer Systeme sollte über eine eindeutige ID und ein eindeutiges Passwort verfügen. Dadurch ist sichergestellt, dass Sie jederzeit die Identität aller Personen kennen, die auf Karteninhaberdaten zugreifen.

 

Bedenken Sie auch, dass das PCI-DSS nur noch Benutzern mit Administratorrechten den Fernzugriff mittels Zwei-Faktor-Authentifizierung (2FA) ermöglicht.

9. Beschränken Sie den physischen Zugriff auf Karteninhaberdaten

Wenn Sie Anwendung in der öffentlichen Cloud hosten, übertragen Sie die Verantwortung für die physische Sicherheit Ihrer Server auf Ihren Cloud-Dienstanbieter. Sie sind jedoch weiterhin dafür verantwortlich, die physische Sicherheit Ihres Endgeräts zu gewährleisten.

 

Daher sollten Sie Maßnahmen ergreifen, um unbefugten Zugriff auf Zahlungsgeräte und Arbeitsplätze zu verhindern, indem Sie Maßnahmen wie Videoüberwachung, Sicherheitsrichtlinien und -verfahren, Personalschulung, zeitbasierte Sperrkontrollen und sicherstellen, dass die Bildschirme nicht für die Öffentlichkeit sichtbar sind.

10. Verfolgen und überwachen Sie den gesamten Zugriff auf Netzwerkressourcen und Karteninhaberdaten

Durch die Protokollierung und Überwachung des Zugriffs auf Ihr Zahlungskartensystem können Sie die ersten Anzeichen verdächtiger Aktivitäten erkennen und erhalten Warnungen und Erkenntnisse, wenn etwas schief geht.

 

Die Anforderungen in diesem Bereich haben sich von der bloßen Sichtbarkeit zur Beobachtbarkeit weiterentwickelt, um nicht nur den Überblick über alle Ihre Kartenverarbeitungskomponenten zu behalten, sondern auch etwaige Probleme schnell zu erkennen und zu beheben. Um dies zu erreichen, müssen Sie möglicherweise nach Überwachungstools der neuen Generation suchen, die eine zentralisierte Sichtbarkeit Ihrer gesamten Hybrid-Cloud- und Multi-Cloud-Infrastruktur bieten.

11. Testen Sie regelmäßig Sicherheitssysteme und -prozesse

Ergänzend zu anderen Sicherheitsmaßnahmen wie AV-Scans und Patch-Management sollten Sie regelmäßig überprüfen, ob Ihr Zahlungskartensystem robust genug ist, um potenziellen Bedrohungen standzuhalten

 

Dabei werden automatisierte Tools wie das Schwachstelle-Scanning und manuelle Ansätze wie Penetrationstests zum Einsatz kommen. Weitere Testverfahren sollten regelmäßige Überprüfungen von Kartenlesern auf Skimming-Software und Prozesse zur Identifizierung nicht autorisierter drahtloser Zugangspunkte umfassen. Bei Bedarf sollten Sie entsprechende Abhilfemaßnahmen ergreifen.

12. Pflegen Sie eine Richtlinie, die sich mit der Informationssicherheit für Mitarbeiter und Auftragnehmer befasst

Eine gut dokumentierte und gut kommunizierte Informationssicherheitsrichtlinie wird dazu beitragen, das Bewusstsein der Mitarbeiter für die Risiken für Karteninhaberdaten und ihre Verantwortung für deren Schutz zu schärfen.

 

Relevante Richtlinien und Verfahren sollten auch in Mitarbeiterhandbücher, Vereinbarungen mit Drittanbietern, Risikobewertungen und Reaktionspläne für Vorfälle integriert werden.

Über die PCI-DSS- Compliancehinaus

PCI-DSS- Compliance ist eine Notwendigkeit für jedes Unternehmen, das Kartenzahlungen akzeptiert. Dies zeigt zwar, dass Sie die grundlegenden Anforderungen für den Umgang mit Karteninhaberdaten erfüllt haben, garantiert jedoch nicht unbedingt den vollständigen Schutz.

 

Darüber hinaus haben die digitale Transformation und die Cloud-Migration die Sicherheitsziele verschoben. Sie müssen also über das Abhaken von Kästchen und traditionelle Sicherheitsmethoden hinausblicken.

 

Dies erfordert neue Lösungen, die an die komplexe und dynamische Natur der Hybrid-Cloud- und Multi-Cloud-Bereitstellung angepasst sind.

 

Sie sollten beispielsweise eine Cloud Workload Protection Platform (CWPP) in Betracht ziehen, die einzelne Anwendungen sowie die sie unterstützenden Prozesse und Ressourcen schützt. Sie sollten dies durch eine Cloud-Sicherheit Posture Management (CSPM) -Lösung ergänzen, die Sicherheitsrisiken durch kontinuierliche Überwachung und Benchmarking von Konfigurationen anhand von Best Practices und Compliance-Anforderungen erkennen kann.

 

Und Sie sollten Karteninhaber auch vor den neuen und immer raffinierteren Bedrohungen von heute mit einer Lösung schützen, die Sicherheitsfunktionen für Cloud-Netzwerke bietet.

 

Vor allem sollten Sie nach Tools suchen, die einen kontinuierlichen Schutz bieten, anstatt nur einmal im Jahr Compliance zu erreichen – mit einheitlicher Transparenz über alle Komponenten Ihres Zahlungskartensystems von einer einzigen Glasscheibe aus.

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Mit der weiteren Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserem Cookies Hinweis.
OK