PCI-Compliance

Sorgen Sie selbst bei verwirrenden PCI DSS-Anforderungen für Compliance, indem Sie zeitsparende Lösungen nutzen, die Ihnen helfen, Kunden zu schützen und Strafgebühren zu vermeiden.

Was ist PCI DSS?

Media
Image
Tablet with security check
Text

PCI DSS, oder der Datensicherheitsstandard der Zahlungskartenindustrie, ist eine umfassende Reihe von Anforderungen, die sicherstellen sollen, dass jedes Unternehmen, das Kreditkartendaten verarbeitet, speichert oder überträgt, dies in einer sicheren Umgebung tut. Die Anforderungen wurden festgelegt, um Verletzungen von Zahlungsdaten und Betrug mit Zahlungskarten zu verhindern.

Die PCI-Standards beziehen sich sowohl auf technische Lösungen als auch auf die betrieblichen Praktiken und Prozesse, die in den Systemen für Karteninhaberdaten enthalten oder mit diesen verbunden sind.

Ein unabhängiges Gremium, das PCI Security Standards Council (PCI SSC), das sich aus großen Zahlungsunternehmen wie Visa, MasterCard, American Express, Discover und JCB zusammensetzt, verwaltet und betreut diesen Standard. Die Durchsetzung der Einhaltung von PCI DSS liegt jedoch in der Verantwortung der einzelnen Payment Brands.

Der Rat bietet umfassende Standards und Unterstützung, um die Sicherheit sensibler Karteninhaberdaten zu gewährleisten. PCI DSS dient als Rahmen für Unternehmen, um einen Datensicherheitsprozess für den Zahlungsverkehr zu entwickeln und aufrechtzuerhalten, der die Vorbeugung, Erkennung und angemessene Reaktion auf Sicherheitsvorfälle umfasst.

Was beinhalten die PCI DSS-Sicherheitsstandards?

Text

Es gibt 12 Anforderungen für PCI DSS-Compliance, die den Schutz und die Sicherheit der Daten von Karteninhabern gewährleisten sollen. Die Herausforderung besteht darin, alle diese Faktoren in Ihrer eigenen IT-Umgebung zu berücksichtigen. Diese Herausforderung wird häufig mit mehrschichtigen Sicherheitslösungen oder einer Suite von Datensicherheitslösungen angegangen.

Die 12 Herausforderungen von PCI DSS sind:

  1. Installieren und Pflegen einer Firewall-Konfiguration zum Schutz von Karteninhaberdaten.
  2. Keine vom Hersteller vorgegebenen Standardwerte für Systemkennwörter und andere Sicherheitsparameter verwenden.
  3. Schutz gespeicherter Daten von Karteninhabern.
  4. Verschlüsselung der Übertragung von Karteninhaberdaten über offene, öffentliche Netzwerke.
  5. Verwenden und regelmäßiges Aktualisieren von Antiviren-Software oder -Programmen.
  6. Entwickeln und Pflegen von Sicherheitssystemen und -anwendungen.
  7. Einschränken des Zugriff auf Daten von Karteninhabern durch „Need-to-know“-Ansatz.
  8. Zuweisen einer eindeutigen ID zu jeder Person mit Computerzugang.
  9. Einschränken des physischen Zugriffs auf Daten von Karteninhabern.
  10. Verfolgen und Überwachen des gesamten Zugriffs auf Ressourcen und Karteninhaberdaten.
  11. Regelmäßiges Testen von Sicherheitssystemen und -prozessen.
  12. Pflegen einer Richtlinie, die Informationssicherheit für alle Mitarbeiter regelt.

Pflegen einer Richtlinie, die Informationssicherheit für alle Mitarbeiter regelt.

Text

Jedes Unternehmen – vom kleinen Café bis hin zu weltweit tätigen Unternehmen – das Zahlungskarten oder Karteninhaberdaten akzeptiert, überträgt, verarbeitet oder speichert, muss PCI DSS-konform sein.  Es gibt jedoch Unterschiede im Grad der erforderlichen PCI-Compliance, die vom Transaktionsvolumen eines Unternehmens in einem bestimmten Jahr abhängen.

Welche unterschiedlichen Stufen der PCI-Compliance gibt es?

Während ALLE Unternehmen, die Karteninhaberdaten annehmen, übertragen, verarbeiten oder speichern, den Anforderungen des PCI DSS unterliegen, gibt es vier verschiedene Compliance-Stufen, die von den einzelnen Unternehmen verlangt werden. Diese basieren auf dem Transaktionsvolumen über einen Zeitraum von 12 Monaten:

Stufe 1:

Händler, die jährlich über 6 Millionen Kartentransaktionen verarbeiten

Stufe 2:

Händler, die jährlich 1 bis 6 Millionen Kartentransaktionen verarbeiten

Stufe 3:

Händler, die jährlich 20.000 bis 1 Million Kartentransaktionen verarbeiten

Stufe 4:

Händler, die jährlich weniger als 20.000 Kartentransaktionen verarbeiten

Text

Auf der höchsten Compliance-Stufe (Stufe 1) müssen Unternehmen ein externes Audit durch einen Qualified Security Assessor (QSA) Internal Security Assessor (ISA) durchführen lassen. Bei dieser Bewertung wird der Umfang der Zustimmung validiert, die Dokumentation überprüft, festgestellt, ob die PCI DSS-Anforderungen erfüllt werden, und eine Anleitung zur Einhaltung der Anforderungen gegeben. Anschließend wird ein Report on Compliance (RoC) eingereicht, um die Einhaltung der Anforderungen nachzuweisen.

Organisationen mit niedrigerer Compliance-Stufe (Stufe 2 bis 4) benötigen kein externes Audit, sondern können stattdessen einen Fragebogen zur Selbsteinschätzung (SAQ) ausfüllen. Unternehmen der Stufe 2 müssen auch einen RoC ausfüllen.

Fragenbogen zur Selbsteinschätzung ausfüllen

Checkliste für PCI DSS-Compliance

Es gibt eine Reihe von Strategien und konkreten Maßnahmen, die Unternehmen umsetzen können, um sicherzustellen, dass die Mitarbeiter, Prozesse und Technologien Ihres Unternehmens PCI DSS-konform sind. Betrachten Sie diese Liste als solide Grundlage und passen Sie sie an Ihre spezielle Situation und Bedürfnisse an:

  • Verfügen Sie über eine Firewall zum Schutz von Karteninhaberdaten in allen Systemen, die zur Speicherung, Verarbeitung oder Übertragung dieser Daten verwendet werden?
  • Wird sie regelmäßig aktualisiert und gepflegt? Haben Sie alle Standardkennwörter durch eindeutige, sichere Alternativen ersetzt?
  • Sind Kennwörter geschützt und werden sie sicher gespeichert, um die Risiken zu minimieren?
  • Gibt es Sicherheitskontrollen, um die in Ihren internen Systemen gespeicherten Daten zu schützen?
  • Sichern Sie die Daten von Karteninhabern während der Übertragung?
  • Verwenden Sie Verschlüsselung, um die Karteninhaberdaten zu schützen?
  • Sind die Daten geschützt, wenn sie in offenen Netzwerken übertragen werden oder sich im Ruhezustand befinden?
  • Kommen in Ihrem Unternehmen Antiviren-Software oder -Programme zum Einsatz?
  • Sind die Programme oder Software auf die neueste Version aktualisiert?
  • Prüfen Sie Ihre Software regelmäßig?
  • Sind die Systeme und Anwendungen in Ihrem Unternehmen gesichert und werden sie gewartet?
  • Müssen Sie Ihre Systeme und Anwendungen für PCI DSS-Compliance entwickeln?
  • Haben Sie den Zugriff auf Karteninhaberdaten innerhalb Ihrer internen Systeme eingeschränkt?
  • Ist der Zugriff auf der Basis von „Need-to-know“ oder „Need-to-Handle“ für die Erledigung der täglichen Aufgaben beschränkt?
  • Überwiegt die Notwendigkeit der Aufgabenerfüllung das Risiko, das mit dem Zugriff auf die Daten verbunden ist?
  • Haben Sie jedem Mitarbeiter Ihres Unternehmens eine eindeutige Benutzer-ID für den Computerzugang zugewiesen?
  • Verwaltet Ihr Systemadministrator die Berechtigungen/Zugangskontrollen für diese eindeutigen IDs?
  • Werden Ihre Zugriffs- und Berechtigungskontrollen nach dem „Need to Know“-Prinzip vergeben?
  • Schränken Sie den physischen Zugang zu Servern, Computern, Rechenzentren usw. ein, auf denen Karteninhaberdaten gespeichert, verarbeitet oder versendet werden können?
  • Erfassen und überwachen Sie alle Besucher von Bereichen in Ihrem Unternehmen, in denen ein Zugriff auf Karteninhaberdaten möglich ist?
  • Sind alle physischen Datenträger sicher aufbewahrt, um unberechtigten Zugriff zu verhindern?
  • Überprüfen Sie die Netzwerke Ihres Unternehmens regelmäßig, um einen Missbrauch zu verhindern?
  • Werden Ihre Überprüfungsprozesse für die gesetzlich vorgeschriebenen Prüfpfade protokolliert?
  • Testen Sie Ihre Systeme regelmäßig, um etwaige Schwachstellen zu entdecken, und werden gefundene Schwachstellen angemessen behoben und gewartet?
  • Testen Sie auf Sicherheitslücken, wenn neue Software installiert oder Konfigurationsänderungen vorgenommen werden?
  • Umfassen Ihre Tests auch interne und externe Netzwerk-Schwachstellen-Scans und das Testen auf potenzielle Angriffsmöglichkeiten?
  • Überwachen Sie kritische Systemdateien, um sicherzustellen, dass sie nicht verändert werden oder ein unberechtigter Zugriff erfolgt?

Pflege einer Datensicherheitsrichtlinie:

Wenn Sie in Ihrem Unternehmen eine Richtlinie verwenden, können Sie die PCI DSS-Compliance und die allgemeine Datensicherheit verbessern. Unternehmen können regelmäßige Schulungsprogramme und Weiterbildungsmaßnahmen zur Datensicherheit und insbesondere zur PCI DSS-Compliance entwickeln.

Interne Datensicherheitsrichtlinie

Verfügen Sie über eine aktuelle interne Datensicherheitsrichtlinie?

PCI DSS-Anforderungen

Deckt Ihre Richtlinie die PCI DSS-Anforderungen vollständig ab?

Änderungen an internen Systemen

Wird Ihre Richtlinie regelmäßig oder bei Änderungen an internen Systemen überprüft?

Verantwortlichkeiten für PCI-Compliance

Ist in Ihrer Richtlinie festgelegt, wie die Verantwortlichkeiten für die PCI-Compliance durch den Dienstleister ermittelt und überwacht werden?

Datenverletzungen

Gibt es einen ausführbaren Plan für die Reaktion auf einen Vorfall, der sofort umgesetzt werden kann, wenn Sie von einer Datenverletzung betroffen sind?

Lösungen für PCI-Compliance

Die Einhaltung der PCI DSS-Anforderungen wird durch eine Reihe von Sicherheitslösungen erleichtert, die in Ihrem Unternehmen zum Schutz sensibler Karteninhaberdaten eingesetzt werden können. Die Sicherheitssuite von Fortra bietet eine Reihe von Lösungen, die Ihnen helfen, Ihre PCI DSS-Verpflichtungen zu erfüllen und die Daten Ihrer Karteninhaber zu schützen.

Secure Collaboration

Die Secure Collaboration-Software von Fortra kann Dateien mit sensiblen PII- und PCI-Daten schützen, unabhängig davon, wo und wie sie weitergegeben werden. Unternehmen können den Zugriff auf diese Daten verschlüsseln und kontrollieren sowie die Daten verfolgen, prüfen und den Zugriff darauf widerrufen.

Wir können Sie bei PCI DSS-Compliance unterstützen. Reden wir darüber.

Kontaktieren Sie die Experten von Fortra für eine kostenlose 30-minütige Beratung darüber, welche Lösungen für Ihr Unternehmen am besten geeignet sind, wenn es um die Sicherung von PCI-Daten geht. Wir helfen Ihnen dabei, die richtigen Schutzebenen für PCI DSS-Compliance zu bestimmen.

Ihre PCI DSS-Beratung planen