Wenn Sie jemals Ihre Kreditkarteninformationen auf einer Website eingeben mussten, hatten Sie mit dem PCI DSS zu tun. Das Payment Card Industry Security Standards Council hat diese Reihe von Sicherheitsstandards zum Schutz von Kreditkartendaten erstellt.
PCI Compliance ist eine Voraussetzung für jedes Unternehmen, das Kreditkarteninformationen verarbeitet, speichert oder überträgt.
In diesem Artikel finden Sie einen Überblick über den PCI DSS (Payment Card Industry Data Security Standard) und erfahren , was Unternehmen tun müssen, um die Kriterien einzuhalten. Erörtert werden auch die Auswirkungen einer Nichteinhaltung auf Kunden und Händler.
Unter dem Payment Card Industry Data Security Standard (PCI DSS) versteht man eine Reihe von Anforderungen, damit Unternehmen, die Kreditkarteninformationen verarbeiten, speichern oder übertragen, eine sichere Umgebung aufrechterhalten. Dazu gehören eine Firewall, sichere Passwörter und andere Sicherheitsmaßnahmen.
Der PCI DSS wurde als Reaktion auf die steigende Zahl von Datenschutzverletzungen geschaffen, bei denen Kreditkarteninformationen gestohlen und missbraucht werden. Durch die Einführung dieses Standards hofft das Payment Card Industry Security Standards Council (PCI SSC), die Menge gestohlener Kreditkarteninformationen zu reduzieren.
Zur Verwaltung des PCI DSS haben MasterCard, Visa, JCB, Discover und American Express den PCI Security Standards Council (PCI SSC) gegründet. Es ist ein unabhängiges Gremium, das Organisationen Anleitung und Unterstützung bietet, wie sie die Anforderungen des Standards erfüllen können.
Obwohl das Payment Card Institute im Jahr 2004 gegründet wurde, reichen die Wurzeln der heutigen Zahlungssicherheitsstandards noch weiter zurück.
Als das Internet Ende der 1990er Jahre an Bedeutung gewann, folgte bald das Online-Shopping. Diese Neuentwicklung stieß sowohl bei Händlern als auch bei Verbrauchern auf großen Zuspruch. Betrüger waren jedoch auch nicht weit.
Es wurde schnell klar, dass die bestehenden Sicherheitsvorkehrungen nicht ausreichten, um Kundendaten in einem so großen Umfang zu schützen. Als Reaktion darauf hat Visa das Cardholder Information Security Program (CISP) eingerichtet. Ziel war es, Einzelhändlern Sicherheitsanforderungen für die Abwicklung von Kreditkartentransaktionen bereitzustellen.
Darauf folgten das Site Data Protection (SDP)-Programm von MasterCard und die Data Security Operating Policy (DSOP) von American Express. Diese Initiativen trugen dazu bei, den Weg für einen einheitlichen Sicherheitsstandard für alle Zahlungskartenunternehmen zu ebnen.
Während Discover und American Express diesem Beispiel folgten, erschwerte das Fehlen einheitlicher Sicherheitsstandards bei allen Kartenunternehmen die Gewährleistung eines einheitlichen Schutzniveaus. Daher wurde 2006 das Payment Card Industry Security Standards Council gegründet und der PCI DSS geschaffen.
Die Entwicklung des PCI DSS wurde seit seiner Einführung im Jahr 2004 fortgesetzt. Mit fortschreitender Technologie steigt auch der Bedarf an besseren Sicherheitsmaßnahmen zum Schutz von Kundendaten.
Aus diesem Grund wird der Standard regelmäßig aktualisiert, um sicherzustellen, dass er weiterhin relevant und wirksam gegen moderne Bedrohungen ist. Im Laufe der Jahre gab es mehrere Änderungen am Standard, einschließlich eines Schwerpunkts auf Verschlüsselungs- und Authentifizierungskontrollen.
Version 1.2 des Sicherheitsprotokolls wurde im Oktober 2008 eingeführt, um Best Practices für die Sicherung drahtloser Netzwerke und die Verwendung von Antivirensoftware zu skizzieren. Im Oktober 2010 folgte die Version 2.0, die das Konzept eines Penetrationstests einführte und Verschlüsselungsverfahren verstärkte.
2018 wurden die PCI-DSS-Versionen 3.2 und 3.2.1 veröffentlicht. PCI DSS 3.2.1 enthält zusätzliche Anforderungen für Dienstanbieter zum Schutz von Karteninhaberdaten, wenn sie über das Internet übertragen oder auf Mobilgeräten gespeichert werden. Außerdem müssen Unternehmen eine sichere Umgebung aufrechterhalten, indem sie ihre Sicherheitssysteme regelmäßig testen.
Die aktuelle Version ist PCI DSS 4.0, die am 31. März 2022 vom PCI SSC veröffentlicht wurde. Sie enthält neue Anforderungen für die sichere Softwareentwicklung und einen Schwerpunkt auf den Schutz von Karteninhaberdaten innerhalb und außerhalb des Unternehmens. Es bietet auch mehr Klarheit über Verschlüsselung und Zugriffskontrollen.
Um Daten in der Zahlungskartenbranche zu schützen, hält das PCI Security Standards Council hohe Standards für Händler aufrecht. Diese enthalten Spezifikationen zu Tools, Frameworks, Messungen und Support-Ressourcen, die Unternehmen dabei unterstützen, Karteninhaberinformationen jederzeit zu sichern.
Diese Standards betreffen Prävention, Erkennung und Reaktion auf Sicherheitsbedrohungen. Zur Unterstützung bietet PCI SSC die folgenden Tools:
Der PCI SSC hat sechs Ziele mit 12 Anforderungen, die Unternehmen beachten müssen, um die Compliance zu erreichen und aufrechtzuerhalten. Dafür müssen sie die folgenden Aufgaben ausführen, die in der PCI-Compliance-Checkliste aufgeführt sind.
Das erste Ziel der PCI Compliance-Checkliste ist der Aufbau und die Wartung eines sicheren Netzwerks. Schließlich ist dies die Grundlage für die Zahlungskartensicherheit Ihres Unternehmens. Die beiden Anforderungen, die unter dieses Ziel fallen, sind:
Wenn es um Cybersicherheit geht, sind Firewalls ein fester Bestandteil. Firewalls bilden die erste Verteidigungslinie gegen unerwünschten Datenverkehr und verhindern, dass böswillige Hacker auf die Netzwerke Ihres Unternehmens zugreifen.
Dank ihrer Wirksamkeit bei der Verhinderung von unerwünschtem Datenverkehr ist die Verwendung und Wartung einer Firewall eine wichtige Compliance-Anforderung für den PCI DSS.
Leider schützen viele Unternehmen ihre Router, Modems, Kassensysteme (POS) und andere Produkte von Drittanbietern nicht. Diese Geräte werden normalerweise mit generischen Passwörtern geliefert, auf die jeder leicht zugreifen kann.
Nach dem Einrichten der Firewall ist es wichtig, die Standardkennwörter und Sicherheitseinstellungen zu ändern. Dies trägt zum Schutz vor Personen bei, die die Standardanmeldeinformationen oder -einstellungen kennen oder erraten könnten.
Neben dem Ändern der Passwörter ist es wichtig, diese regelmäßig zu aktualisieren und zu gewährleisten, dass nur autorisierte Benutzer Zugriff haben. Um dies zu erreichen, müssen Sie starke Authentifizierungssysteme wie Zwei-Faktor- oder Multi-Faktor-Authentifizierung implementieren.
Erstellen Sie zur Aufrechterhaltung der Compliance eine Liste aller Geräte und Software, für deren Zugriff eine Art Passwort oder Sicherheitsmaßnahme erforderlich ist. Dieses Geräte-/Kennwortverzeichnis sollte regelmäßig aktualisiert werden, und andere grundlegende Vorsichtsmaßnahmen (z. B. häufiges Ändern von Kennwörtern) sollten getroffen werden.
Der Schutz von Karteninhaberdaten ist das zweite Ziel der PCI Compliance. Es wird auch als Datenschutz und Verschlüsselung bezeichnet. Wenn es um den Schutz von Karteninhaberinformationen geht, müssen Sie zwei Anforderungen erfüllen:
Wenn Unternehmen Karteninhaberdaten verarbeiten, speichern oder übertragen, müssen sie zusätzliche Vorkehrungen treffen, um diese zu schützen. Dazu gehört die sichere Speicherung von Daten und die Verwendung von Verschlüsselung, wann immer dies möglich ist.
PCI SSC empfiehlt ein zweifaches System zum Schutz von Karteninhaberinformationen. Dabei werden die Daten mit Algorithmen verschlüsselt. Darüber hinaus sollten die verwendeten Verschlüsselungsschlüssel ebenfalls verschlüsselt sein.
Platzieren Sie beispielsweise alle gespeicherten Karteninhaberdaten auf einem separaten sicheren Server, auf den nur diejenigen zugreifen können, die sie benötigen. Verschlüsseln Sie außerdem alle Übertragungen von Karteninhaberdaten über öffentliche Netzwerke.
Um Ihre Daten sicher zu halten, sollten Sie Ihre primären Kontonummern (PAN) regelmäßig scannen und pflegen.
Zum Schutz von Karteninhaberdaten bei der öffentlichen Übermittlung (z. B. wenn ein Kunde eine Online-Bestellung aufgibt) sollten Unternehmen sichere Protokolle verwenden, wie z. B. die vom PCI DSS spezifizierten.
Beispielsweise müssen Websites über ein SSL-Zertifikat (Secure Socket Layer) oder TLS-Zertifikat (Transport Layer Security) verfügen, das aktuell und validiert ist. Dies trägt dazu bei, die sensiblen Daten der Kunden beim Einkaufen zu schützen.
Darüber hinaus sollten Sie den Zugriff auf Karteninhaberdaten auf diejenigen beschränken, die ihn benötigen. Dies bedeutet, ein sicheres System von Benutzerkonten zu erstellen, die regelmäßig überwacht und aktualisiert werden.
Diese Maßnahmen tragen dazu bei, sensible Kundendaten vor jedem zu schützen, der versuchen könnte, sie während der Übertragung abzufangen oder zu stehlen.
Das dritte Ziel ist die Verwendung eines Schwachstellen-Management-Programms. Dabei werden Netzwerke auf Sicherheitslücken überwacht, getestet und schnellstmöglich behoben. Es gibt zwei Anforderungen, die Sie unter dem dritten Ziel einhalten müssen. Diese sind:
Es ist wichtig, auf allen Computern und Anwendungen, die Karteninhaberdaten verarbeiten, speichern oder übertragen, Antivirus-Software zu installieren und auf dem neuesten Stand zu halten. Dies hilft dabei, bösartige Software zu erkennen und von Ihren Systemen zu entfernen.
Darüber hinaus ist für jedes Gerät, das PAN speichert oder mit ihm interagiert, eine Antivirus-Lösung erforderlich. Sie sollten auch die Software regelmäßig aktualisieren, damit sie auf dem neuesten Stand ist.
Außerdem müssen Unternehmen ihre Netzwerke und Anwendungen regelmäßig auf Sicherheitslücken scannen. Dies bedeutet, dass sie einen zugelassenen Scanning-Anbieter (ASV) mit dem vierteljährliche Scan ihrer externen Netzwerke beauftragen.
Software und Systeme müssen regelmäßig mit den neuesten Sicherheitspatches aktualisiert werden. Dadurch wird sichergestellt, dass Sicherheitslücken schnell behoben werden, bevor sie ausgenutzt werden.
Sie müssen auch alle neuen Anwendungen testen, bevor sie veröffentlicht werden, um sicherzustellen, dass sie keine Lücken oder Schwachstellen aufweisen, die möglicherweise ausgenutzt werden könnten.
Wenn Ihr Programm zur Verwaltung von Schwachstellen eingerichtet ist, ist es an der Zeit, mit dem vierten Ziel fortzufahren: Implementierung strenger Zugriffskontrollmaßnahmen. Das bedeutet, den Zugriff auf Karteninhaberdaten basierend auf der Rolle des Benutzers einzuschränken. Unter diesem Ziel gibt es drei Anforderungen:
Stellen Sie sicher, dass nur diejenigen Zugriff auf die Karteninhaberdaten erhalten, die ihn wirklich benötigen. Das bedeutet, strenge Zugriffskontrollmaßnahmen zu implementieren, und sicherzustellen, dass Benutzerkonten häufig überwacht und aktualisiert werden.
Eine Möglichkeit, dies zu erreichen, ist die Datenverfügbarkeit nach dem Need-to-Know-Prinzip. Unabhängig vom Titel sollten Mitarbeiter nur dann auf Daten zugreifen können, wenn sie es müssen. Darüber hinaus sollten Sie laut PCI DSS die Rollen dokumentieren und regelmäßig aktualisieren, die Zugriff auf sensible Daten benötigen.
Ein wesentlicher Bestandteil der Datensicherheit ist zu wissen, wer wann auf Daten zugreift. Wenn also Mitarbeiter mit Zugriff auf sensible Daten gemeinsame Anmeldeinformationen verwenden, ist es schwierig festzustellen, wer eigentlich auf die Daten zugegriffen hat.
Erstellen Sie stattdessen eindeutige IDs für jeden Benutzer, sodass nur autorisiertes Personal Zugriff hat. Dies trägt auch dazu bei, unbefugten Zugriff oder Manipulation von Karteninhaberdaten zu verhindern.
Der physische Zugriff auf Karteninhaberdaten muss ebenfalls eingeschränkt und überwacht werden. Dies bedeutet die Einrichtung physischer Sicherheitsmaßnahmen wie verschlossene Türen, sichere Schränke und Bereiche mit eingeschränktem Zugang.
Sie sollten auch Maßnahmen zur Überwachung und Protokollierung physischer Zugriffsversuche und zur Sperrung von Benutzerkonten einbeziehen, wenn Mitarbeiter das Unternehmen verlassen.
Es reicht nicht aus, über eine großartige Infrastruktur und Systeme zu verfügen. Sie müssen Ihre Netzwerke regelmäßig überwachen und testen. Und genau das beinhaltet Ziel 5. Die beiden Anforderungen unter diesem Ziel umfassen:
Ein Protokolleintrag ist für alle Aktivitäten erforderlich, bei denen es um primäre Kontonummern (PAN) und Karteninhaberdaten geht. Das am weitesten verbreitete Sicherheitsproblem tritt jedoch auf, wenn Personen nicht über die richtige Dokumentation verfügen oder keine ordnungsgemäßen Aufzeichnungen über den Zugriff auf vertrauliche Informationen führen.
Um die Vorschriften einzuhalten, müssen Sie nachverfolgen, wie Daten in Ihr Unternehmen gelangen und wie oft Personen darauf zugreifen müssen. Sie benötigen außerdem eine Software, die alle Aktivitäten auf Genauigkeit protokolliert.
Unter diesem Ziel müssen Sie ein Tool für Sicherheitslückenscan verwenden, das von einem Approved Scanning Vendor (ASV) bereitgestellt wird. Der ASV scannt Ihre Netzwerke und Anwendungen, um Sicherheitsprobleme oder Schwachstellen zu identifizieren.
Durch regelmäßig Scans erhalten Sie die Sicherheit, dass Ihre Systeme auf dem neuesten Stand sind und Ihr Schwachstellen-Management-Programm PCI DSS-konform ist.
Schließlich geht es bei Ziel 6 darum, eine Richtlinie zu pflegen, die sich mit der Informationssicherheit befasst. Es enthält eine Anforderung:
Das Erstellen und Pflegen einer Informationssicherheitsrichtlinie ist die letzte Anforderung von PCI DSS. Diese Richtlinie sollte Regeln, Verfahren und Rollen in Bezug auf die Datensicherheit definieren. Es sollte auch ansprechen, wie vertrauliche Informationen gespeichert, übertragen und verwendet werden sollen.
Diese Richtlinie sollte auf dem neuesten Stand sein und vom Vorstand genehmigt werden. Sie sollte auch regelmäßig überprüft werden, um sicherzustellen, dass sie noch den geltenden Vorschriften und bewährten Verfahren der Branche entspricht.
Der Payment Card Industry Data Security Standard betrifft alle Unternehmen, die Kreditkartendaten von Kunden sammeln, speichern oder übertragen. Dazu gehören Händler, Zahlungsabwickler, Banken und Dienstleister.
Unternehmen müssen jedem der fünf Zahlungskartenunternehmen einen Nachweis der PCI-Konformität vorlegen, um Zahlungen von Kunden verarbeiten zu können. Andernfalls können Bußgelder, Rechtsstreitigkeiten oder andere Strafen verhängt werden.
Die PCI-DSS-Anforderungen erstrecken sich auf die physische und digitale Infrastruktur eines Unternehmens. Alle an der Abwicklung von Zahlungen beteiligten Personen müssen ebenfalls den Standard einhalten.
Kunden spielen eine wichtige Rolle für den Erfolg der PCI-Compliance. Als Unternehmen müssen Sie sicherstellen, dass Kunden die mit Kartenzahlungen verbundenen Risiken kennen und wissen, welche Schritte Sie für ihren Schutz unternehmen.
Durch die Einhaltung der Vorschriften können Unternehmen gewährleisten, dass die Daten ihrer Kunden und ihre Kartenzahlungen sicher sind. Dies kann vertrauensbildend wirken und dazu beitragen, eine positive Beziehung zwischen dem Unternehmen und seinen Kunden aufzubauen.
Der Payment Card Industry Data Security Standard (PCI DSS) hilft Unternehmen jeder Größe beim sicheren Umgang mit Kreditkarteninformationen. Trotz seiner Komplexität ist die Compliance von entscheidender Bedeutung und lässt sich einfacher erreichen als zunächst angenommen – insbesondere mit den richtigen Tools.
Sobald Sie dies tun, profitieren Sie u. a. wie folgt:
Letztendlich trägt die Einhaltung von PCI DSS zum Schutz von Kundendaten bei, weil sie zeigt, dass Ihr Unternehmen die Informationssicherheit ernst nimmt. Dies kann sich positiv auf die Kundenbindung und -gewinnung auswirken und zu höheren Umsätzen und Gewinnen führen.
Die Nichteinhaltung des Payment Card Industry Data Security Standard (PCI DSS) betrifft Kunden und Händler.
Für Kunden bedeutet sie, dass ihre Daten gefährdet sind, was zu Identitätsdiebstahl oder finanziellen Verlusten führen kann. Für Händler kann die Nichteinhaltung zu Bußgeldern durch Zahlungskartenunternehmen, rechtlichen Schritten und Reputationsschäden führen.
Es ist wichtig zu beachten, dass die Nichteinhaltung alle Beteiligten betrifft, nicht nur die Händler. Zum Schutz Ihrer Kunden und Ihres Unternehmens ist die Compliance mit den PCI-DSS-Anforderungen daher unbedingt erforderlich.
Unternehmen müssen für die Compliance eine Reihe von Best Practices befolgen, die vom Payment Card Industry Security Standards Council (PCI SSC) beschrieben werden. Dazu gehören:
Indem Sie die Best Practices des PCI SSC befolgen, können Sie sicherstellen, dass Ihr Unternehmen die neuesten Sicherheitsstandards einhält und die Daten Ihrer Kunden schützt.
Der Payment Card Industry Data Security Standard (PCI DSS) ist ein komplexer Satz von Sicherheitsnormen zum Schutz von Karteninhaberdaten von Kunden. Die Einhaltung mag kompliziert erscheinen, muss es aber nicht sein.
Mit den richtigen Tools und Prozessen können Sie die PCI Compliance schnell und einfach sicherstellen. Vor allem benötigen Sie den richtigen Partner. Und hier kommt Veritas ins Spiel. Wir verfügen über jahrelange Erfahrung bei der Unterstützung von Unterstützungen bei der Einhaltung von PCI und können Ihnen dabei helfen, dasselbe zu tun.
Wir bieten eine Reihe von Produkten an, die speziell für die Einhaltung von Vorschriften entwickelt wurden, sowie kundenspezifische Services, die auf Ihre Bedürfnisse zugeschnitten sind. Wenden Sie sich noch heute an uns und lassen Sie sich zeigen, wie Sie Ihre PCI-Anforderungen mühelos erfüllen können.
Zu den Veritas-Kunden zählen 95% der Fortune 100-Unternehmen, und NetBackup™ ist die erste Wahl für Unternehmen, die große Datenmengen schützen müssen.
Erfahren Sie, wie Veritas mit Tools und Services für die Datensicherung in Unternehmen Ihre Daten in virtuellen, physischen, Cloud- und Legacy-Workloads umfassend schützt.