Einführung: Was ist PCI DSS?
PCI DSS, oder der Payment Card Industry Data Security Standard, ist ein Satz von Informationssicherheitsstandards, der vom PCI SSC, dem Payment Card Industry Security Standards Council, verwaltet wird.
Das Ziel dieser Standards, die 2004 eingeführt wurden, besteht darin, Kartenbenutzer vor Datenklau und Betrug im Zusammenhang mit Kredit- und Debitkarten zu schützen.
Interessanterweise hat das PCI SSC keine rechtliche Befugnis, die Einhaltung zu erzwingen, es fordert jedoch, dass jedes Unternehmen, das eine Kartentransaktion verarbeitet, PCI DSS-konform ist.
Nicht nur die Kundendaten sind geschützt, wenn ein Unternehmen die PCI-Zertifizierung hat, sondern das Unternehmen kann auch seinen Ruf als zuverlässiger und sicherer Anbieter bei den Verbrauchern schützen.
Die Compliance eines Unternehmens wird regelmäßig überprüft, abhängig vom Volumen der Transaktionen, die das Unternehmen verarbeitet, gemäß den folgenden Stufen:
Stufe 1 - Compliance ist erforderlich für Unternehmen, die jährlich über 6 Millionen Transaktionen verarbeiten. Ihre Compliance wird durch eine Prüfung validiert, die jedes Jahr von einem autorisierten PCI-Prüfer durchgeführt wird. Unternehmen der Stufe 1 müssen auch einmal pro Quartal einen PCI-Scan durch einen zugelassenen Scan-Anbieter, oder ASV, durchführen lassen.
Stufe 2 - Compliance ist erforderlich für Unternehmen, die zwischen 1 und 6 Millionen Transaktionen pro Jahr verarbeiten. Diese Unternehmen müssen jedes Jahr einen Selbstbewertungsfragebogen, oder SAQ, ausfüllen sowie einen PCI-Scan jedes Quartal durchführen.
Stufe 3 - Compliance ist für Händler, die weniger als 1 Million, aber mehr als 20.000 E-Commerce-Transaktionen pro Jahr verarbeiten. Wie bei Stufe 2 müssen diese Unternehmen den jährlichen SAQ durchführen, sind jedoch nur unter bestimmten Umständen verpflichtet, vierteljährliche Scans durchzuführen.
Schließlich ist die Stufe 4 - Compliance für jeden Anbieter, der jährlich weniger als 20.000 E-Commerce-Transaktionen oder bis zu 1 Million reale Transaktionen verarbeitet. Auch hier ist ein jährlicher SAQ erforderlich, aber der vierteljährliche PCI-Scan erfolgt nach Bedarf.
PCI DSS-Anforderungen
Das PCI SSC hat 12 Anforderungen in sechs Kategorien definiert für Unternehmen, die Karteninhaberdaten verarbeiten und ein Zahlungsverarbeitungsnetzwerk unterhalten. Jedes Unternehmen, das die Compliance erreichen möchte, muss alle diese Anforderungen erfüllen.
1. Ein sicheres Netzwerk aufrechterhalten – Die erste Kategorie von Anforderungen bezieht sich auf die Aufrechterhaltung eines sicheren Netzwerks und erfordert, dass ein Unternehmen:
- Eine Firewall installiert und wartet
- Original, vom Kunden ausgewählte Passwörter für Kundendaten verwendet und keine vom Anbieter bereitgestellten Passwörter
2. Sicherung von Karteninhaberdaten – Die zweite Kategorie behandelt, wie Unternehmen Karteninhaberdaten sichern und erfordert, dass ein Unternehmen:
- Alle gespeicherten Karteninhaberdaten schützt
- Alle Daten verschlüsselt, die über öffentliche Netzwerke übertragen werden
3. Verwaltung von Schwachstellen – die dritte Kategorie befasst sich damit, wie ein Unternehmen Schwachstellen in seinem Netzwerk verwaltet und erfordert, dass ein Unternehmen:
- Antivirus-Software verwendet und regelmäßig aktualisiert
- Sichere Systeme und Anwendungen entwickelt und wartet
4. Zugangskontrolle – Die vierte Kategorie überwacht, wie Unternehmen den Zugang zu Daten kontrollieren und erfordert, dass ein Unternehmen:
- Den Geschäftszugang zu Karteninhaberdaten auf eine „Need-to-Know“-Basis beschränkt
- Jedem Geschäftsnutzer mit Computerzugang eine eindeutige ID zuweist
- Den physischen Zugang zu Karteninhaberdaten einschränkt
5. Überwachung und Testen des Netzwerks – Die fünfte Kategorie der Anforderungen befasst sich damit, wie ein Unternehmen sein Netzwerk überwacht und testet und erfordert, dass das Unternehmen:
- Alle Zugriffe auf Karteninhaberdaten und Ressourcen im Netzwerk verfolgt und überwacht
- Sicherheitssysteme und -protokolle regelmäßig testet
6. Sicherung von Informationen – Schließlich befasst sich die sechste Kategorie der PCI DSS-Anforderungen damit, wie ein Unternehmen Informationen sichert und erfordert, dass ein Unternehmen:
- Eine Richtlinie aufrechterhält, die spezifische Protokolle und Praktiken im Zusammenhang mit der Informationssicherheit anspricht
Wie man die PCI DSS-Zertifizierung erhält
Die Erlangung der PCI DSS-Zertifizierung ist ein mehrstufiger Prozess. Als ersten Schritt sollte ein Unternehmen seinen aktuellen Compliance-Status analysieren. Beurteilen Sie:
- Wie Sie Daten handhaben
- Wie Sie Kunden-Transaktionen verarbeiten
- Mit welchen Banken Sie zusammenarbeiten
- Ihr Transaktionsvolumen
Vergleichen Sie dies mit den allgemeinen PCI-Standards, um zu verstehen, wie das Unternehmen derzeit in Bezug auf diese Standards abschneidet.
Als nächstes sollte ein Unternehmen den Selbstbewertungsfragebogen (SAQ) ausfüllen, der ein regelmäßiger Bestandteil des PCI-Compliance-Prozesses ist. Es gibt verschiedene Versionen des SAQ, daher sollten Unternehmen sicherstellen, dass sie die Version verwenden, die für ihren Geschäftstyp richtig ist. Das Ausfüllen des SAQ wird weiterhin die Bereiche hervorheben, in denen ein Unternehmen Verbesserungen benötigt, um konform zu sein.
Als nächsten Schritt sollte ein Unternehmen die notwendigen Schritte unternehmen, um die Datensicherheit und die Transaktionssicherheit im Unternehmen zu verbessern. Dies kann die Zusammenarbeit mit einem Anbieter beinhalten, der Datentokenisierung verwendet, um die Kreditkartendaten der Kunden zu sichern.
Sind diese Verbesserungen umgesetzt, sollte ein Unternehmen eine formelle Compliance-Bescheinigung (AOC) vervollständigen und einreichen.
Wie beim SAQ werden auch hier verschiedene AOCs für unterschiedliche Geschäftstypen verwendet. Ein QSA kann dann eine Überprüfung der Compliance eines Unternehmens durchführen und einen Bericht zur Validierung der Compliance erstellen. Diese Dokumente können dann bei Kreditkartenunternehmen und Banken eingereicht werden, um die Compliance eines Unternehmens zu bestätigen.
PCI DSS Compliance-Checkliste / Fragebogen
Die folgende Checkliste kann einem Unternehmen dabei helfen zu bestimmen, ob es die Anforderungen des PCI DSS erfüllt:
- Ist das System, das Kundendaten speichert und überträgt, durch eine Firewall oder ähnliche Sicherheitsmaßnahmen geschützt?
- Führt das Unternehmen regelmäßige Wartungen und Upgrades dieser Firewall durch?
- Werden starke Passwörter anstelle von Standardpasswörtern verwendet?
- Schützt das Unternehmen die Karteninhaberdaten in internen Systemen mit ausreichenden Sicherheitskontrollen?
- Sind die Karteninhaberdaten während der Übertragung gesichert, einschließlich der Verwendung genehmigter Verschlüsselungsmethoden und des Schutzes in offenen Netzwerken?
- Welche Antivirensoftware verwendet das Unternehmen? Ist sie angesichts der hohen Anforderungen an die Sicherheit von Karteninhaberdaten ausreichend?
- Wird jedes Virenschutzprogramm regelmäßig aktualisiert?
- Wie sicher sind Ihre Systeme und Anwendungen?
- Wie oft führt das Unternehmen Wartungen und Updates für Ihre Systeme und Anwendungen durch?
- Welche Pläne hat das Unternehmen, um die Systeme so zu sichern, dass sie den PCI DSS-Anforderungen entsprechen?
- Beschränkt das Unternehmen derzeit den internen Zugang zu Karteninhaberdaten?
- Begrenzen interne Einschränkungen für Kreditkartendaten den Zugang auf eine "Need-to-Know"-Basis?
- Überwiegt die Notwendigkeit, eine Aufgabe mit Karteninhaberdaten auszuführen, das Risiko für diese Daten?
- Verwenden alle Benutzer im Unternehmen eine eindeutige Benutzer-ID beim Einloggen ins System?
- Überwacht ein Systemadministrator die Berechtigungen und Kontrollen für diese Benutzer-IDs und verwaltet sie?
- Sind alle Berechtigungen mit der „Need-to-Know“-Datenrichtlinie abgestimmt?
- Werden alle Besuche in einer Einrichtung, die Systeme mit Kreditkartendaten enthält, protokolliert und überwacht?
- Welche Prozesse verwendet das Unternehmen, um sein Netzwerk zu überprüfen und die Datensicherheit zu gewährleisten?
- Werden verwendete Prozesse protokolliert und gespeichert, um eine gültige Prüfspur zu erstellen?
- Wie oft testet das Unternehmen Systeme auf Schwachstellen?
- Werden identifizierte Schwachstellen so schnell wie möglich behoben?
- Werden neue Software oder Konfigurationen bei ihrer Einführung auf Schwachstellen geprüft?
- Überwacht das Unternehmen kritische Systemdateien regelmäßig, um sicherzustellen, dass sie nicht außerhalb des normalen Geschäftsbetriebs zugegriffen oder geändert wurden?
- Hat das Unternehmen eine Informationssicherheitsrichtlinie für das Unternehmen entwickelt und an alle Benutzer verteilt?
- Wird die Informationssicherheitsrichtlinie jährlich oder bei Systemänderungen überprüft?
- Beinhaltet die Informationssicherheitsrichtlinie Abschnitte, die PCI-Compliance und Dienstanbieter ansprechen?
- Hat das Unternehmen im Falle eines Sicherheitsvorfalls einen Notfallplan?
Fazit
PCI DSS-konform zu werden, mag für einige Unternehmen überwältigend erscheinen, ist aber eine Notwendigkeit.
Es ist ein relativ geradliniger Prozess, wenn er systematisch angegangen wird, und die Nachteile der Nichtkonformität überwiegen bei weitem die Kosten und Mühen, die Konformität zu erreichen.
Unternehmen, die den PCI-Anforderungen nicht entsprechen, können sanktioniert werden und verlieren die Möglichkeit, Zahlungen online zu akzeptieren, was den Hauptumsatzstrom eines Unternehmens unterbricht. Wenn der finanzielle Tod eines Unternehmens möglich ist, scheint es klar, dass PCI-Compliance für jedes Unternehmen eine Priorität sein sollte.