Der Payment Card Industry Data Security Standard (PCI-DSS) besteht aus einer Reihe von Compliance-Standards, die Richtlinien zum Schutz von Zahlungs- und Finanzdaten von Verbrauchern enthalten. Unternehmen, die Zahlungsdaten von Verbrauchern speichern, sind verpflichtet, den PCI-DSS einzuhalten, da sie sonst im Falle eines Verstoßes hohe Strafen riskieren. Es werden daher Sicherheitsrichtlinien angeboten, die Organisationen befolgen müssen, um die Standards zu erfüllen.
Was ist eine PCI-DSS-Bescheinigung?
Um zu beweisen, dass ein Unternehmen wirklich PCI-DSS-konform ist, muss es eine PCI-DSS-Zertifizierung erhalten, die nachweist, dass es die vorgegebenen Richtlinien erfüllt. Die Finanzunternehmen, die die Kreditkarten kontrollieren, legen die einzuhaltenden Standards fest, und angesichts der Geschwindigkeit, mit der sich die IT-Sicherheitslandschaft weiterentwickelt, treffen sie sich regelmäßig, um ihre Sicherheitsrichtlinien zu überprüfen und ihre Anforderungen zu ändern. Der PCI-DSS definiert eine Reihe von Regeln, die Organisationen befolgen müssen, um zertifiziert zu werden. Einige der für die PCI-DSS-Zertifizierung erforderlichen Praktiken sind:
- Installation von Firewalls, sofern erforderlich
- Verschlüsselung von Daten, die zu und von Anbietern gesendet werden
- Installation eines Antivirenprogramms auf allen Geräten des Unternehmens
- Überwachung von Zugriffsanfragen auf Netzwerkressourcen
- Berechtigungsprüfungen für Kreditkarteninhaber
Konformitätsstufen des Payment Card Industry Data Security Standard
Da nicht alle Anbieter das gleiche Geschäftsvolumen und die gleichen Netzwerkressourcen haben, sieht der PCI-DSS unterschiedliche Konformitätsstandards vor, die sich nach dem Niveau des Anbieters richten. Die Stufen werden durch das Volumen der Visa-Kreditkartentransaktionen bestimmt. Alle Anbieter sind verpflichtet, den PCI-DSS einzuhalten, unabhängig von ihrer Größe, aber die Stufe, zu der sie gehören, bestimmt die Schritte, die sie unternehmen müssen, um die Anforderungen zu erfüllen.
PCI-DSS Stufe 1
Diejenigen, die mehr als sechs Millionen Visa-Transaktionen pro Jahr verarbeiten, gehören zur Stufe 1. Dabei handelt es sich in der Regel um große, weltweit tätige Unternehmen, doch kann Visa einen Anbieter nach eigenem Ermessen einstufen, um das Risiko zu verringern. Einmal im Jahr wird die Einhaltung der Vorschriften von einem Visa-Auditor geprüft, und Anbieter der Stufe 1 müssen einen PCI-Compliance-Scan durch eine autorisierte Stelle durchführen lassen.
PCI-DSS Stufe 2
Jeder Anbieter mit einem jährlichen Visa-Transaktionsvolumen von einer Million bis sechs Millionen. Diejenigen, die der Stufe 2 angehören, müssen einen Selbstbewertungsfragebogen (SAQ) einreichen, um die Einhaltung der Anforderungen der Stufe 2 zu gewährleisten, und sich vierteljährlich einer PCI-Konformitätsprüfung unterziehen.
PCI-DSS Stufe 3
Anbieter mit einem Volumen von 20.000 bis einer Million Visa-E-Commerce-Transaktionen pro Jahr. Verkäufer der Stufe 3 müssen einen Selbstbewertungsfragebogen (SAQ) einreichen, um nachzuweisen, dass sie die Anforderungen der Stufe 3 erfüllen, und darüber hinaus vierteljährliche PCI-Compliance-Scans durchführen.
PCI-DSS Stufe 4
Wenn die Zahl der Visa-Transaktionen im elektronischen Handel weniger als 20.000 pro Jahr oder bis zu einer Million Standard-Visa-Transaktionen pro Jahr beträgt, gehören die Verkäufer zu Level 4. Um die Anforderungen der Stufe 4 zu erfüllen, müssen sie einen Selbstbewertungsfragebogen (SAQ) einreichen und vierteljährliche PCI-Compliance-Scans durchführen.
PCI-DSS-Anforderungen
Während die meisten Compliance-Vorschriften in der Regel größere Infrastrukturänderungen und die Einführung spezieller Sicherheitstools erfordern, enthält der PCI-DSS nur wenige, aber sehr wichtige Anforderungen. Jegliche Fehler oder Nachlässigkeiten bei den Anforderungen können schwere Strafen nach sich ziehen. Daher ist es für Unternehmen von entscheidender Bedeutung, die PCI-DSS-Richtlinien durch geeignete Kontrollen einzuhalten.
Kreditkartenunternehmen stellen 12 Anforderungen an Unternehmen, um PCI-DSS-konform zu bleiben. Zweck der Standards ist der Schutz der Daten von Kreditkarteninhabern, so dass die Anforderungen im Wesentlichen den Schutz sensibler Informationen vor Cyber-Bedrohungen betreffen. Alle Änderungen an den Anforderungen werden vom Sicherheitsrat bekannt gegeben und veröffentlicht, so dass die Unternehmen sie jährlich überprüfen müssen, um sicherzustellen, dass die Anforderungen weiterhin erfüllt werden.
Die 12 Anforderungen des PCI-DSS sind:
1 – Installieren Sie Firewalls und konfigurieren Sie sie so, dass sie gefährlichen Datenverkehr blockieren
Die meisten Unternehmen haben sicherlich bereits eine Firewall in ihrem Netz, die als Barriere zwischen der internen Infrastruktur und dem externen Internet dient. Aber in größeren und stärker strukturierten Netzwerken, in denen vielleicht auch öffentliches WLAN angeboten wird und die verschiedenen Abteilungen getrennt werden müssen, sind zusätzliche Firewalls erforderlich. Um beispielsweise die Daten von Kreditkarteninhabern zu schützen, sollte eine Firewall eingesetzt werden, um die Finanzabteilung und ihre Daten von der Verkaufsabteilung zu trennen.
2 – Verwenden Sie nicht die von den Geräteherstellern bereitgestellten Standard-Systempasswort
Um die Arbeit der Netzwerkadministratoren zu erleichtern, wird jedes Netzwerkgerät bereits funktionstüchtig mit einem vom Hersteller festgelegten Standardpasswort geliefert. Diese Passwörter werden jedoch öffentlich verteilt, wodurch die Netzwerkressourcen für Hacker zugänglich werden. Nach dem Anschluss eines Geräts an das Netzwerk muss der Administrator als Erstes das Passwort in ein neues sicheres Passwort ändern, das schwer zu erraten, aber leicht zu merken ist.
3 – Schutz der gespeicherten Finanzdaten der Verbraucher
Es mag offensichtlich erscheinen, aber nicht alle Unternehmen speichern Kreditkartendaten, und nicht alle ergreifen Maßnahmen, um eine angemessene Sicherheit zu gewährleisten. So müssen beispielsweise Kreditkartendaten verschlüsselt werden, wenn sie in einer Datenbank gespeichert werden, und niemand innerhalb des Unternehmens sollte freien Zugang zu ihnen haben. Jede Zugriffsanfrage sollte überwacht werden, und es sollte ein Prüfprotokoll geführt werden, das im Falle eines Verstoßes eingesehen werden kann.
4 – Finanzdaten, die in öffentlichen Netzen übertragen werden, müssen verschlüsselt werden
Im Internet und in öffentlichen Netzen müssen Finanzdaten verschlüsselt werden, damit sie nicht abgehört werden können. Nutzer geben ihre Kreditkartendaten auf einer E-Commerce-Website ein, und diese Informationen müssen verschlüsselt werden. Der Verkäufer sendet die Kreditkartendaten an einen Prozessor, und auch dieser muss verschlüsselt sein. Einige Unternehmen, die besser strukturiert sind, verschlüsseln auch den Datenverkehr innerhalb des Unternehmensnetzes.
5 – Installieren Sie Antivirenprogramme und aktualisieren Sie sie regelmäßig
Auf allen Servern und Workstations des Unternehmens sollte ein Antivirenprogramm installiert sein. Noch besser ist es, wenn ein Antivirenprogramm auch auf allen mobilen Geräten installiert ist, die Kreditkartendaten speichern oder verarbeiten. Angesichts der wachsenden Beliebtheit von Smartphones sollten der Schutz aller Arten von Endgeräten und Investitionen in die mobile Sicherheit für Unternehmen, die Zahlungen über mobile Geräte akzeptieren, zur Priorität werden.
6 – Sich mit integrierten Datensicherungssystemen ausstatten
Die Systeme innerhalb des Netzes ändern sich ständig, und wenn das Unternehmen wächst, werden die Administratoren immer neue Systeme hinzufügen. Wenn ein neues System in der Unternehmensinfrastruktur installiert wird, muss es unter Berücksichtigung der Sicherheit integriert werden. Die neue Infrastruktur muss sicher sein, und jede Ressource muss so konfiguriert werden, dass die Sicherheit der Kreditkartendaten gewährleistet ist.
7 – Verwendung des Mindeststandards für den Datenzugriff
Benutzern sollte der Zugriff auf Kreditkartendaten nur dann gestattet werden, wenn dies zur Erfüllung ihrer Arbeitsaufgaben erforderlich ist. Kreditkartendaten sind dem Risiko von Insider-Bedrohungen ausgesetzt, so dass nur Mitarbeiter, die den Zugang zu ihnen unbedingt benötigen, um eine bestimmte Aufgabe zu erfüllen, die Erlaubnis erhalten sollten. In bestimmten Fällen wird ein Teil der Kreditkartennummer maskiert, um die Sicherheit zu erhöhen. So können die Mitarbeiter des Kundendienstes nur die letzten vier Ziffern der Kreditkarte sehen, während die Mitarbeiter der Rechnungsabteilung die vollständige Nummer sehen können, um den Kunden bei der Änderung der Kartennummer zu helfen.
8 – Verfolgung aller Anträge auf Zugriff auf Kreditkartendaten über die Benutzer-ID
Unabhängig davon, ob es sich um einen kompromittierten Account oder eine Insider-Bedrohung handelt, hinterlässt die Aufzeichnung von Zugriffsanfragen mit der Benutzer-ID eine nützliche Spur im Falle einer Untersuchung. Detektive und Polizeikräfte nutzen Audit-Trail, um den Täter einer Sicherheitsverletzung zu identifizieren, und auch in der Phase der Reaktion auf einen Vorfall sind sie wichtig, da sie dabei helfen, das Ausmaß des Schadens zu ermitteln und festzustellen, welche Verbraucher von einer Datenschutzverletzung betroffen waren.
9 – Beschränkung des physischen Zugangs zu Kreditkartendaten
Server, auf denen Kreditkartendaten gespeichert sind, müssen über angemessene physische Sicherheitsmaßnahmen verfügen. Bei Unternehmen, die Kreditkartendaten in der Cloud speichern, müssen die Cloud-Anbieter selbst den PCI-DSS einhalten. Jede Anfrage für den Zugriff auf die Infrastruktur muss protokolliert werden, damit es eine Spur für mögliche Audits und Untersuchungen gibt.
10 – Aufnahme und Überwachung von Zugriffsanfragen auf Netzwerkressourcen, auf denen Kreditkartendaten gespeichert sind
Die Überwachung des Zugriffs auf Daten ist eine gängige Forderung in vielen Vorschriften. Protokolle und Überwachung gehen im Bereich der Datensicherheit und des Datenschutzes Hand in Hand. Protokolle halten Zugriffsanfragen fest, während Überwachungswerkzeuge diese Ereignisse nutzen, um Anomalien zu identifizieren, die Benachrichtigungen an Administratoren auslösen. Die Überwachung dient den Analysten dazu, Vorfälle sofort zu erkennen und schnell zu reagieren, um sie einzudämmen und den Schaden zu begrenzen, der durch einen Verstoß entsteht.
11 – Sicherheitssysteme und -verfahren häufig testen
Es kann vorkommen, dass Sicherheitssysteme gelegentlich ausfallen oder nicht so funktionieren, wie sie sollten. Daher ist es wichtig, dass die Administratoren die Sicherheitskontrollen in der gesamten Infrastruktur regelmäßig überprüfen. Einige Unternehmen veranstalten sicherheitsorientierte Events, bei denen Mitarbeiter belohnt werden, die Schwachstellen in Systemen und Ressourcen finden. Zusätzlich zu den jährlichen Audits sollten die Administratoren regelmäßig die PCI-DSS-Compliance-Dokumentation prüfen, um sicherzustellen, dass sie immer konform sind.
12 – Dokumentieren die Sicherheitsrichtlinien und Verteilen an die Mitarbeiter
Mitarbeiter können Sicherheitsrichtlinien nicht befolgen, wenn sie diese nicht kennen. Der PCI-DSS verlangt von den Arbeitgebern, Sicherheitsrichtlinien zu erstellen und zu dokumentieren, damit die Mitarbeiter sich darauf beziehen können, um klar zu verstehen, was zu tun ist und wie mit Kundendaten korrekt umgegangen wird.
Welche Vorteile bringt der PCI-DSS?
Die Einhaltung des PCI-DSS-Standards ist zweifellos mit großem Aufwand verbunden, bringt aber auch in wirtschaftlicher Hinsicht viele Vorteile mit sich. Es liegt also in Ihrem Interesse, die Richtlinien und Sicherheitsanforderungen des PCI-DSS zu befolgen und alles zu tun, was zum Schutz der Karteninhaberdaten erforderlich ist.
Die Vorteile umfassen:
- Größeres Vertrauen seitens der Kunden. Wenn sie Zahlungen vornehmen, wollen die Kunden sicher sein, dass ihre Daten geschützt sind. Eine PCI-DSS-Zertifizierung zeigt, dass Ihr Unternehmen alles Notwendige tut, um Kreditkartendaten zu schützen.
- Verhinderung von Datenschutzverletzungen. Jedes Unternehmen, das sensible Daten wie Kreditkartendaten speichert, muss die Sicherheit an erste Stelle setzen. Der PCI-DSS hilft Unternehmen, Cyberangriffe zu verhindern und abzuwehren, die erheblichen Schaden und große finanzielle Verluste verursachen könnten.
- Einhaltung der globalen Standards. Der Payment Card Industry Security Standards Council (PCI SSC) umfasst die wichtigsten Kreditkartenunternehmen weltweit und bietet Updates zu den neuesten Trends im Bereich der Cybersicherheit. Einige Anbieter verlangen möglicherweise, dass Sie die PCI-DSS-Konformität einhalten, um mit ihnen Geschäfte zu machen.
- Das hilft bei der Implementierung geeigneter Sicherheitskontrollen. Es ist gar nicht so einfach, die zahllosen Sicherheitslösungen auf dem Markt zu entwirren, wenn Sie nicht über ein eigenes Cybersicherheitsteam verfügen. Das PCI-DSS-Rahmenwerk bietet in dieser Hinsicht Orientierung. Die Umsetzung des PCI-DSS gibt Administratoren auch Hinweise zu den Sicherheitskontrollen, die für einen wirksamen Schutz von Kreditkartendaten eingesetzt werden müssen.
- Er enthält Richtlinien für andere Compliance-Standards. Die meisten Unternehmen müssen sich an mehrere Compliance-Standards halten. Die Anwendung der PCI-DSS-Standards ermöglicht es dem Unternehmen, auch andere Standards einzuhalten. So sind die PCI-DSS-Rahmenbedingungen beispielsweise auch für die Einhaltung von HIPAA und GDPR wichtig.
Nichteinhaltung des PCI-DSS
Die Nichteinhaltung des PCI-DSS hat schwerwiegende Folgen. Eine Datenschutzverletzung kann ein Unternehmen Millionen von Euro kosten, um den Schaden zu beheben und die Kosten für Rechtsstreitigkeiten aufgrund von Sammelklagen zu decken. Die fünf wichtigsten Folgen sind:
- Monatliche Strafen: Eine nicht konforme Infrastruktur stellt ein Risiko für die Kreditkartendaten der Verbraucher dar. Deshalb sieht der PCI-DSS saftige monatliche Strafen für Verstöße vor, die je nach Stufe des Anbieters zwischen 5.000 und 100.000 US-Dollar pro Monat liegen.
- Systemkompromittierung und Datenschutzverletzungen: Unzureichende Sicherheitssysteme lassen Raum für Schwachstellen, die von Cyber-Kriminellen ausgenutzt werden, um in Daten einzudringen, was zu wirtschaftlichen Schäden führt, die Millionen von Euro erreichen können. Außerdem führen sie zu langwierigen Untersuchungen, zum Verlust des Kundenvertrauens und wahrscheinlich zu Rechtsstreitigkeiten.
- Klagen: Die schwerwiegendsten Verstöße führen dazu, dass sich die Kunden in echten Sammelklagen organisieren, um eine Entschädigung für die erlittenen Schäden zu erhalten. Die Unternehmen müssen auch die Kosten für die Rechtsberatung und etwaige Rückvergütung übernehmen, die vor Gericht zugesprochen werden.
- Schädigung des Unternehmensrufs: Wenn ein Unternehmen dafür bekannt ist, dass es der Sicherheit wenig Aufmerksamkeit schenkt, werden sich die Kunden an einen Wettbewerber wenden. Der daraus resultierende Imageschaden wirkt sich negativ auf die Loyalität und das Vertrauen der Kunden aus.
- Wirtschaftliche Verluste: Durch die Abwanderung von Kunden zu Konkurrenten verliert das Unternehmen Einnahmen, die durch die Kosten des Rechtsstreits noch mehr geschmälert werden.
Best Practice zur Einhaltung des PCI-DSS
Die meisten PCI-DSS Best Practices folgen den Anforderungen, aber Unternehmen haben die Möglichkeit, zusätzliche Richtlinien zu implementieren, um die Sicherheit zu erhöhen. Hier sind einige zusätzliche Praktiken, die Sie berücksichtigen sollten:
- Halten Sie die Software auf dem neuesten Stand: Die Entwickler geben regelmäßig Updates heraus, die Sicherheitsprobleme in ihrer Software beheben. Daher ist es wichtig, immer Sicherheitsupdates und Patches anzuwenden, um die Infrastruktur nicht angreifbar zu machen.
- Tokenisierung von Kreditkartendaten: Der Prozess der Tokenisierung ähnelt der Verschlüsselung. Dabei werden sensible Daten durch nicht sensible Daten ersetzt, wobei nur die Elemente der ursprünglichen Daten erhalten bleiben, die für die Kontinuität des Geschäftsbetriebs unerlässlich sind.
- Weisen Sie jedem Benutzer und jeder Ressource eine eindeutige ID zu: Administratoren weisen Benutzern eindeutige IDs zu, aber auch jede Komponente, die auf Daten zugreift, sollte eine eindeutige ID haben, um Zugriffsanfragen verfolgen zu können.
- Schutz von Passwörtern: Verpflichten Sie alle Benutzer, ihre Passwörter sicher zu speichern. Wir empfehlen die Verwendung von Passwortmanagern, um die Sicherheit der Passwörter zu gewährleisten.
- Software für Penetrationstests und Netzwerkkonfigurationen: Wenn Sie einen „White Hat Hacker“ damit beauftragen, Ihre Infrastruktur zu testen, können Sie Sicherheitslücken und Schwachstellen in Ihrem Netzwerk und Ihrer Software aufdecken und Gegenmaßnahmen ergreifen, um diese zu beheben.
Wie 365TRUST kann Ihnen helfen
365TRUST bietet zahlreiche Lösungen, die es Unternehmen ermöglichen, die PCI-DSS-Compliance zu erreichen und aufrechtzuerhalten, die Einhaltung von Datenschutzanforderungen in einer Vielzahl von Branchen zu gewährleisten, wie z. B. PCI, HIPAA und GDPR, sowie Ihre sensibelsten Geschäftsdaten wie geistiges Eigentum, juristische Dokumente und M&A-Vereinbarungen zu schützen. Unsere Datenschutz-Tools und -Ressourcen gewährleisten die Sicherheit von Verbraucherdaten und schützen sie vor Angriffen.
Die Einhaltung der Vorschriften ist wichtig für die Kontinuität des Geschäftsbetriebs, auch wenn die Einhaltung der Vorschriften allein nicht ausreicht, um Ihr Unternehmen vollständig vor allen Bedrohungen zu schützen. Unternehmen müssen in der Regel mehrere Vorschriften einhalten, und 365TRUST hilft Ihnen, das richtige Gleichgewicht zwischen Compliance und Sicherheit zu finden.