Leitfaden zur PCI-Einhaltung
Der PCI-Datensicherheitsstandard wird weltweit von Finanzdienstleistern und anderen am Zahlungsverkehr beteiligten Unternehmen verwendet. Hier erfahren Sie, wie Sie die PCI-Konformität aufrechterhalten.
Wichtige Punkte
- Der PCI-Datensicherheitsstandard gilt für alle Unternehmen, die mit Kreditkartendaten umgehen.
- Die Einhaltung der PCI-Richtlinien erfordert die kontinuierliche Anwendung bewährter Verfahren der Cybersicherheit, um Identitätsdiebstahl und Kreditkartenbetrug zu verhindern.
- Die Nichteinhaltung der PCI-Standards kann nicht nur zu Geschäftseinbußen führen, sondern auch Gerichtsverfahren und Geldstrafen nach sich ziehen.
Um die besten Sicherheitspraktiken zu standardisieren und Kreditkartenbetrug zu bekämpfen, wurde der PCI Security Standards Council im Jahr 2006 von American Express, Discover, JCB International, Mastercard und Visa Inc. gegründet. Ziel der Gruppe, die inzwischen Hunderte von Mitgliedern zählt, war es, eine Reihe strenger Sicherheitspraktiken festzulegen, um das gesamte Zahlungssystem vor Betrug und Diebstahl zu schützen.
Das ist keine leichte Aufgabe. Jedes Jahr werden Milliarden von Datensätzen missbraucht. Viele davon enthalten Finanz- und Kreditkartendaten, denn damit lässt sich natürlich Geld verdienen.
Um sich vor Identitätsdiebstahl und Kreditkartenbetrug zu schützen, muss jeder Schritt in der Aufbewahrungskette von Finanz- und Transaktionsdaten abgesichert werden. Deshalb ist die Einhaltung der PCI-Richtlinien nicht nur für Händler und Finanzdienstleister so wichtig, sondern auch für alle Unternehmen, die diese Art von Daten verarbeiten oder speichern könnten.
Was ist PCI-Konformität?
PCI-Konformität bezieht sich auf die Einhaltung des Payment Card Industry Data Security Standard (PCI DSS). Die PCI-Konformität gilt also für jedes Unternehmen jeder Größe, das Kreditkartenzahlungen akzeptiert. Jedes Unternehmen, das Kreditkartendaten entgegennimmt, speichert, verarbeitet oder überträgt, muss also PCI-konform sein.
Die PCI-Sicherheitsstandards umfassen vor allem technologische Sicherheitspraktiken und -lösungen zum Schutz von Zahlungskontodaten während des gesamten Lebenszyklus von Zahlungen. Die Standards umfassen Praktiken für Händler, Einzelhändler, Dienstleistungsanbieter und Finanzdienstleister sowie Anforderungen für Entwickler und alle Anbieter, die an der Erstellung oder Unterstützung von Zahlungsprodukten und -lösungen beteiligt sind. Die PCI-Konformität erstreckt sich also von der Hardware an den Verkaufsstellen bis hin zu Online-Warenkörben, Datenbanken, Netzwerken und der Übertragung aller damit verbundenen Daten.
"Das Ziel besteht im Wesentlichen darin, sicherzustellen, dass keine unbefugte Person in der Lage ist, an diese Daten zu gelangen", betont Shane Harris, Senior Director of Product Management bei Mimecast.
Warum ist PCI Compliance Management wichtig?
Verletzungen des Schutzes privater und persönlicher Daten können nicht nur Verbraucher und große Finanzdienstleister betreffen, sondern auch Unternehmen jeder Größe. Wird die PCI-Konformität nicht beachtet, kann dies zu Datenlecks und Angriffen führen, die von Geschäftseinbußen bis hin zu Geldstrafen und Klagen reichen.
Die Cybersicherheit ist nur so gut wie das schwächste Glied in der Kette. Deshalb kann eine fehlende PCI-Konformität dem Ruf eines Unternehmens schaden und es sogar daran hindern, mit anderen Unternehmen Geschäfte zu machen. Zahlungsabwickler können zum Beispiel die Einhaltung der Vorschriften als Teil ihrer vorgeschriebenen Berichterstattung an die Zahlungskartenunternehmen anfordern. Potenzielle Partner verlangen oft eine Bestätigung der PCI-Konformität als Voraussetzung für den Abschluss von Geschäftsvereinbarungen. Und Kunden von Technologieplattformen, die Online-Transaktionen erleichtern, können einen Nachweis der PCI-Konformität verlangen, um zu zeigen, dass die Plattform Daten auf sichere Weise verarbeitet.
Darüber hinaus hilft die Einhaltung des PCI-Standards Unternehmen, andere Angriffe zu verhindern, indem sie bewährte Verfahren zur Erkennung, Verhinderung und Behebung von Datenschutzverletzungen anwenden. Die Einhaltung des PCI-Datensicherheitsstandards hilft Unternehmen auch bei der Einhaltung damit verbundener Gesetze zur Datensicherheit und zum Schutz der Privatsphäre, wie z. B. der europäischen Datenschutzgrundverordnung (GDPR) und dem kalifornischen Verbraucherschutzgesetz (CCPA).
Schließlich trägt die Einhaltung des PCI-Datensicherheitsstandards dazu bei, Unternehmen vor Angriffen zu schützen, die zusätzliche Rechtskosten, Vergleiche, Geldstrafen, Urteile und sogar den Entzug der Berechtigung zur Annahme von Zahlungskarten nach sich ziehen können.
Die 12 Anforderungen der PCI-Konformität
Hier sind die wichtigsten Anforderungen, wie sie vom PCI Security Standards Council festgelegt wurden, [1] mit zusätzlichen Beiträgen von Experten:
- Firewalls: Installieren und warten Sie eine Firewall-Konfiguration, um Karteninhaberdaten zu schützen. Firewalls sind die erste Verteidigungslinie gegen Cyberangriffe auf Netzwerke und Server.
- Passwörter: Verwenden Sie keine vom Hersteller vorgegebenen Standardwerte für Systempasswörter und andere Sicherheitsparameter. Die Passwörter für Software, Dienste und Geräte wie Router sollten regelmäßig geändert werden.
- Datenspeicherung: Schützen Sie die gespeicherten Karteninhaberdaten. Alle Kartendaten sollten verschlüsselt werden, und die primären Kontonummern (PAN) sollten regelmäßig überprüft werden, um sicherzustellen, dass keine unverschlüsselten Daten offengelegt werden. Sicherheitscodes und PIN-Nummern sollten nach der Authentifizierung nicht mehr gespeichert werden.
- Datenübertragung: Verschlüsseln Sie die Übertragung von Karteninhaberdaten über offene, öffentliche Netze. Die gesamte damit verbundene Kommunikation sollte verschlüsselt werden, um zu verhindern, dass Kriminelle die Zahlungsdaten abfangen können.
- Software: Schützen Sie alle Systeme vor Malware und aktualisieren Sie regelmäßig Antiviren-Software oder -Programme. Die Verwendung aktueller Antivirensoftware ist für alle Geräte erforderlich, die mit PAN interagieren und/oder PAN speichern.
- Systeme: Entwickeln und pflegen Sie sichere Systeme und Anwendungen. Alle Software und Dienste, nicht nur Cybersicherheitssoftware, sollten regelmäßig gepatcht und aktualisiert werden, um bekannte Schwachstellen zu beseitigen.
- Datenzugriff: Beschränken Sie den Zugang zu Karteninhaberdaten auf das, was Sie wissen müssen. Prüfen und dokumentieren Sie regelmäßig alle Mitarbeiter und Dritte, die Zugang zu sensiblen Daten haben.
- Systemzugang: Identifizieren und authentifizieren Sie den Zugang zu Systemkomponenten. Für jedes Konto mit Zugang sollten eindeutige IDs verwendet werden, die Passwortverschlüsselung, Authentifizierung und Zeitlimits für die Anmeldung beinhalten.
- Physischer Zugang: Beschränken Sie den physischen Zugang zu Karteninhaberdaten. Alle Datenspeicher und zugehörigen Netzwerkeinrichtungen sollten gesichert werden, einschließlich des Einsatzes von Überwachungssystemen, und alle Papierunterlagen sollten an einem verschlossenen Ort aufbewahrt werden.
- Überwachung: Verfolgen und überwachen Sie alle Zugriffe auf Netzwerkressourcen und Karteninhaberdaten. Jeder dieser Zugriffe sollte mit Protokollierungssystemen aufgezeichnet werden, die die Benutzeraktivitäten im Falle einer Datenverletzung nachverfolgen.
- Tests: Regelmäßige Tests von Sicherheitssystemen und -prozessen. Systeme und Netzwerke sollten routinemäßig auf potenzielle Schwachstellen gescannt werden.
- Richtlinie: Führen Sie eine Richtlinie ein, die die Informationssicherheit für alle Mitarbeiter regelt. Alle Sicherheitspraktiken sollten dokumentiert werden, und es sollten Richtlinien für die Schulung der Mitarbeiter und die Reaktion auf Bedrohungen festgelegt werden.
Was bedeutet es, PCI DSS-konform zu sein?
Die Einhaltung des PCI DSS entspricht dem Payment Card Industry Standard (PCI DSS), der für Unternehmen jeder Größe gilt, die Kreditkartenzahlungen akzeptieren. Jedes Unternehmen, das Kreditkartendaten entgegennimmt, speichert, verarbeitet oder überträgt, muss PCI DDS-konform sein.
Wie kann ich meine PCI-Konformität überprüfen?
Es gibt zwei Hauptmethoden, um die PCI-Konformität zu überprüfen. Sie können verpflichtet werden, vierteljährliche Schwachstellen-Scans durchzuführen und einen jährlichen Fragebogen zur Selbsteinschätzung auszufüllen, um nachzuweisen, dass Ihr Unternehmen die PCI-Richtlinien einhält. Oder Ihr Unternehmen muss einen zertifizierten Sicherheitsgutachter beauftragen, der jährliche Audits in Ihrem Unternehmen durchführt. Welches Maß an Validierung erforderlich ist, hängt in der Regel von der Anzahl der jährlich von einem Unternehmen abgewickelten Transaktionen ab, wobei Unternehmen mit weniger als 6 Millionen Transaktionen weniger genau geprüft werden müssen.
Acquiring-Banken (Banken, die Kredit- und Debitkartenzahlungen abwickeln) können jedoch zusätzliche Anforderungen an Händler oder E-Commerce-Websites stellen, da Banken und andere Finanzdienstleistungsunternehmen im Falle eines Betrugs das meiste Geld verlieren können. Sie sind es auch, die vom PCI Security Standards Council mit Geldstrafen belegt werden (Berichten zufolge bis zu 10.000 Dollar pro Tag), wenn die Vorschriften nicht eingehalten werden. [2]
Wie kann ich meine PCI-Konformität aufrechterhalten?
Nach der PCI-Validierung sind die Unternehmen verpflichtet, jährliche Selbstbewertungen und regelmäßige Überprüfungen durchzuführen, um die Einhaltung der Vorschriften zu gewährleisten. Der PCI-Rat empfiehlt zum Beispiel vierteljährliche Schwachstellen-Scans, bei denen drahtlose Netzwerke auf nicht autorisierte Geräte gescannt, interne Netzwerke auf Schwachstellen getestet und Datenbanken überprüft werden, um sicherzustellen, dass alle PCI-Daten verschlüsselt sind. [3]
Zusätzliche Überprüfungen von öffentlich zugänglichen Diensten und Anwendungen sind ebenfalls ein integraler Bestandteil der PCI-Compliance-Praktiken, einschließlich Penetrationstests für Webanwendungen . Zusätzliche Überprüfungen der Einstellungen von Firewalls, Routern und anderen Geräten sind erforderlich. Außerdem sollten die Mitarbeiter jährlich eine Schulung zum Sicherheitsbewusstsein absolvieren.
Es sei auch darauf hingewiesen, dass der PCI Security Standards Council die Sicherheitsmaßnahmen ständig überarbeitet und aktualisiert, um neuen Bedrohungen zu begegnen. So wie Unternehmen nach Ansicht von Experten mit aktuellen Software-Patches auf dem Laufenden bleiben sollten, sollten sie auch die Ratschläge und Änderungen des PCI Security Standards Council beachten.
Strafen für Verstöße gegen die PCI-Compliance
Im Falle eines PCI-Verstoßes reichen die Sanktionen von Änderungen der Vertragsbedingungen bis hin zu schweren Geldstrafen. Einige Kartenunternehmen erhöhen die Anforderungen an die Einhaltung der Vorschriften, indem sie beispielsweise verlangen, dass ein Unternehmen, das bisher nur Selbstbeurteilungen vornehmen musste, sich nun vollständigen Prüfungen unterzieht, unabhängig davon, wie wenige Transaktionen pro Jahr verarbeitet werden.
Bei schwerwiegenderen Verstößen kann ein Kartenunternehmen einem Händler die Annahme von Kreditkartenzahlungen untersagen. Für einige Unternehmen würde dies die Schließung des Unternehmens bedeuten, was in der Tat eine schwere Strafe darstellt.
Die Nichteinhaltung der PCI-Richtlinien verstößt zwar nicht gegen ein bestimmtes Gesetz, aber die erwerbende Bank kann gegen ein Unternehmen, das die Richtlinien nicht einhält, Geldbußen und Strafen verhängen. Eine Auflistung der Bußgelder pro Verstoß ist zwar nicht öffentlich zugänglich, aber die Strafen reichen Berichten zufolge von 5.000 Dollar bis zu Zehntausenden von Dollar pro Monat. Diese Strafen wurden verhängt, um die Einhaltung der Vorschriften durchzusetzen und die betrügerischen Abbuchungen auszugleichen, für die die Kartenunternehmen letztlich aufkommen müssen.
Bewährte Praktiken der PCI SSC Datensicherheitsstandards
Zu den bewährten Praktiken der PCI SSC-Datensicherheitsstandards gehören:
- Installation und Wartung einer Firewall-Konfiguration zum Schutz von Karteninhaberdaten.
- Regelmäßige Aktualisierung von Passwörtern und Vermeidung von Standardpasswörtern, die von Anbietern bereitgestellt werden.
- Die Verschlüsselung aller Kartendaten und primären Kontonummern (PAN) sollte regelmäßig überprüft werden, um sicherzustellen, dass keine unverschlüsselten Daten offengelegt werden. Sicherheitscodes und PIN-Nummern sollten nach der Authentifizierung nicht gespeichert werden.
- Verschlüsselte Übertragung von Karteninhaberdaten über offene, öffentliche Netze. Die gesamte damit verbundene Kommunikation wird verschlüsselt, um zu verhindern, dass Kriminelle die Zahlungsdaten abfangen.
- Schützen Sie alle Systeme vor Schadsoftware und aktualisieren Sie regelmäßig Antivirensoftware oder -programme. Die Verwendung aktueller Antivirensoftware ist für alle Geräte erforderlich, die mit PAN interagieren und/oder PAN speichern.
- Entwicklung und Pflege sicherer Systeme und Anwendungen. Alle Software und Dienste, nicht nur die Cybersicherheitssoftware, werden regelmäßig gepatcht und aktualisiert, um bekannte Schwachstellen zu beseitigen.
- Beschränken Sie den Zugang zu den Daten der Karteninhaber nach dem Kriterium "Kenntnis erforderlich". Regelmäßige Überprüfung und Dokumentation aller Mitarbeiter und Dritter, die Zugang zu sensiblen Daten haben.
- Identifizieren und authentifizieren Sie den Zugang zu Systemkomponenten. Für jedes Konto mit Zugriff werden eindeutige IDs verwendet, die Passwortverschlüsselung, Authentifizierung und Zeitlimits für die Anmeldung umfassen.
- Beschränkung des physischen Zugriffs auf Karteninhaberdaten. Alle Datenspeicher und zugehörigen Netzwerkeinrichtungen sind gesichert, einschließlich des Einsatzes von Überwachungssystemen, und alle Papierunterlagen werden an einem verschlossenen Ort aufbewahrt.
- Verfolgung und Überwachung aller Zugriffe auf Netzressourcen und Karteninhaberdaten. Jeder dieser Zugriffe wird mit Protokollierungssystemen aufgezeichnet, die die Benutzeraktivitäten im Falle einer Datenverletzung nachverfolgen.
- Regelmäßige Prüfung der Sicherheitssysteme und -verfahren. Systeme und Netzwerke werden routinemäßig auf potenzielle Schwachstellen untersucht.
- Beibehaltung einer Richtlinie, die die Informationssicherheit für alle Mitarbeiter regelt. Alle Sicherheitspraktiken werden dokumentiert, und es werden Richtlinien für die Schulung der Mitarbeiter und die Reaktion auf Bedrohungen festgelegt.
Die Quintessenz
Der PCI-Datensicherheitsstandard wurde ursprünglich entwickelt, um das Ökosystem der Kreditkartenzahlungen zu schützen. Als solcher betraf er zunächst nur Händler und Finanzunternehmen direkt. Mit der zunehmenden digitalen Vernetzung von Unternehmen ist die Einhaltung des PCI-Standards jedoch für eine größere Anzahl von Unternehmen relevant geworden. "Denn wenn Ihr Unternehmen Kundendaten vor Ort hat", betont Harris von Mimecast, "dann ist Sicherheit das A und O."
[1] " PCI-Sicherheitsstandards ," PCI Security Standards Council
[2] " Bußgelder für die Einhaltung der PCI-Richtlinien verstehen: Wer ist für die Durchsetzung von PCI zuständig? ", Help Net Security
[3] "How to Maintain PCI Compliance Following Your First QSA Assessment", PCI Compliance Guide
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!