PCI DSS-Einhaltung: Was ist PCI DSS, Anforderungen und Best Practices

In der heutigen, von der Digitalisierung geprägten Wirtschaft werden täglich mehrere Millionen Online-Kreditkartentransaktionen und Debitkartenzahlungen getätigt. Allein Visa verarbeitet 29 Millionen Online-Transaktionen pro Tag, und Unternehmen wie Mastercard und American Express verzeichnen ähnliche Zahlen. Neben E-Commerce-Websites und anderen Online-Geschäften umfasst das Ökosystem der Kartenverarbeitung auch Millionen von Transaktionen an Verkaufsstellen in physischen Räumlichkeiten.

Unabhängig davon, ob Zahlungskartendaten in Kassensystemen, auf mobilen Geräten, PCs, Servern oder Webanwendungen gespeichert werden, sind sie sowohl in Speichersystemen als auch bei der Übertragung an Dienstanbieter dem Risiko des Diebstahls ausgesetzt. Als Reaktion auf die Notwendigkeit, Karteninhaberdaten vor Diebstahl oder Verlust zu schützen, legt der Payment Card Industry Data Security Standard (PCI DSS) die grundlegenden technischen und betrieblichen Anforderungen für einen angemessenen Datenschutz fest. Hier finden Sie einen umfassenden Leitfaden zu PCI DSS, der Sie bei der Einhaltung der Vorschriften unterstützt.

Was ist PCI DSS und warum ist er wichtig für die Informationssicherheit?

• PCI DSS ist ein globaler Standard für die Informationssicherheit, der für alle Unternehmen gilt, die Karteninhaberdaten annehmen, übertragen oder speichern. Der Standard enthält 12 wichtige Sicherheitsanforderungen, die einzuhalten sind.
• Die zuletzt veröffentlichte Version der Norm ist v4.0, die am 31. März 2022 veröffentlicht wurde. Es gibt jedoch eine zweijährige Übergangsfrist bis zum 31. März 2024, in der die Version v3.2.1 aktiv bleibt.
• Das Payment Card Industry Security Standards Council (PCI SSC) veröffentlichte die erste Version des Standards im Jahr 2004 und vereinigte darin die Ansätze und Empfehlungen der Sicherheitsprogramme von fünf großen Kartenherstellern. Die fünf Mitglieder des PCI SSC sind American Express, Discover, JCB, MasterCard und Visa.
• Die Anforderungen des PCI DSS gelten sowohl für Händler als auch für Dienstleistungsanbieter. Ein Händler ist nach der Definition des PCI Security Standards Council jedes Unternehmen, das Kartenzahlungen für Waren oder Dienstleistungen annimmt, wobei die Kredit- oder Debitkarte das Logo eines der fünf Mitglieder des Councils trägt. Ein Dienstleister ist jedes Unternehmen (mit Ausnahme der fünf Zahlungsmarkenmitglieder des PCI SSC), das direkt an der Verarbeitung, Speicherung oder Übertragung von Karteninhaberdaten beteiligt ist.
• Die Einhaltung von PCI DSS wird vorgeschrieben, wenn Händler und Dienstleister einen Vertrag mit einer der fünf Kartenmarken abschließen. Mit anderen Worten: Sobald Sie Zahlungen über eine dieser fünf Kartenmarken akzeptieren, sind Sie vertraglich verpflichtet, die PCI DSS-Anforderungen einzuhalten.
• Die Nichteinhaltung der Standards, die der PCI DSS vorsieht, kann erhebliche Strafen nach sich ziehen. Diese Strafen sind in der Regel in dem Vertrag verankert, den Sie bei der Annahme von Kartenzahlungen mit einem Zahlungsdienstleister schließen.

Warum PCI DSS so wichtig ist, liegt an der Sensibilität der Kreditkarten- und Debitkartendaten. Die Hauptkontonummer (die lange Nummer, die auf der Vorderseite der Zahlungskarten eingeprägt ist), das Ablaufdatum, der Name des Karteninhabers und der Sicherheitscode müssen vor unbefugtem Zugriff geschützt werden.

Cyberkriminelle haben es auf diese Karteninhaberdaten abgesehen und versuchen unermüdlich, Schwachstellen in der IT-Abwehr von Unternehmen auszunutzen, um an diese Daten heranzukommen und sie zu exfiltrieren. In einer florierenden Untergrund-Cybercrime-Wirtschaft werden Millionen gestohlener Kreditkartendaten im Dark Web zum Verkauf angeboten. Oft stammen die gestohlenen Kreditkartendaten, die zum Verkauf stehen, aus früheren Datenschutzverletzungen, bei denen laxe Sicherheitskontrollen ausgenutzt wurden.

Wenn ein Unbefugter Zugang zu den Kartendaten einer Person erhält, kann er betrügerische Einkäufe tätigen oder sogar das Bankkonto des Opfers leeren. Die Anforderungen des PCI DSS sehen ein Mindestmaß an Cybersicherheitsmaßnahmen und -prozessen vor, um die Wahrscheinlichkeit von Sicherheitsverletzungen zu verringern, die zum Diebstahl von Kartendaten führen.

Die Einhaltung des PCI DSS ist zwar keine Garantie dafür, dass Sie nicht von Hackern angegriffen werden, aber es werden zumindest grundlegende Sicherheitsstandards erreicht.

4 Stufen der PCI-Konformität

Die Wege zur Überprüfung der Einhaltung der PCI-Standards hängen in erster Linie vom Volumen der Kartentransaktionen ab, die ein Händler pro Jahr abwickelt. Insgesamt gibt es vier Stufen für Händler (und zwei separate Stufen mit unterschiedlichen Anforderungen für Dienstleister).

Ein weiterer Faktor, der die Konformitätsstufe bestimmt, ist die Frage, ob Ihr Unternehmen in der Vergangenheit von einer Datenschutzverletzung oder einem anderen Cyberangriff betroffen war, bei dem Karteninhaberdaten kompromittiert wurden.

Die Mitglieder des PCI SSC, die Zahlungskartenmarken vertreten, verwenden das Transaktionsvolumen als Indikator für das Risiko. Mit anderen Worten: Je mehr Transaktionen ein Händler abwickelt, desto höher sind die wahrgenommenen Risiken und desto strenger ist der Weg zur Überprüfung der Konformität.

Es ist erwähnenswert, dass alle Kartenunternehmen ihre eigenen Compliance-Programme und entsprechende Händlerstufen haben. Diese Unterscheidung kann zu Verwirrung führen. Vereinfachend ist jedoch die Tatsache, dass Visa, MasterCard und Discover die gleichen Kriterien für alle Compliance-Stufen verwenden. Auch wenn American Express andere Kriterien anwendet und JCB nur drei Stufen kennt, gilt die allgemeine Regel, dass, wenn Sie eine bestimmte Händlerstufe für eine Kartenmarke erreicht haben, die gleiche Konformitätsstufe für alle fünf Marken gilt.

Ausgehend von der niedrigsten Stufe, die von den Kartenunternehmen festgelegt wurde, sind hier die vier Stufen der PCI-Konformität aufgeführt:

Stufe 4

Dies ist Ihre Konformitätsstufe, wenn Ihr Unternehmen weniger als 20.000 Visa- oder Mastercard-E-Commerce-Transaktionen pro Jahr oder insgesamt bis zu 1 Million Visa- oder Mastercard-Kreditkartentransaktionen pro Jahr über alle Kanäle verarbeitet. Sie müssen:

• Jedes Jahr einen Fragebogen zur Selbsteinschätzung (SAQ) ausfüllen
• eine vierteljährliche Netzwerküberprüfung durch einen zugelassenen Scan-Anbieter (ASV) durchführen lassen.
• Ausfüllen eines Formulars zur Bescheinigung der Konformität (AoC)

Stufe 3

Stufe 3 gilt, wenn Ihr Unternehmen jährlich zwischen 20.000 und einer Million Visa-, Mastercard- oder Maestro-Transaktionen im elektronischen Handel abwickelt. Für die Bestätigung der Konformität gelten die gleichen Verfahren wie für Stufe 4.

Stufe 2

Level 2 gilt für Unternehmen, die eine bis sechs Millionen Visa-, MasterCard- oder Discover-Transaktionen, 50.000 bis zweieinhalb Millionen American Express-Transaktionen oder weniger als eine Million JCB-Transaktionen verarbeiten. Die Validierungsverfahren sind:

• Ausfüllen eines jährlichen SAQ
• Durchführung eines vierteljährlichen Netzwerk-Scans mit einem ASV
• Ausfüllen eines AOC-Formulars

Stufe 1

Level 1 gilt, wenn Sie mehr als 6 Millionen Visa-, Mastercard- und Discover-Kartentransaktionen pro Jahr, 2,5 Millionen American Express-Transaktionen oder 1 Million JCB-Transaktionen verarbeiten. Sie müssen Level 1 auch dann erreichen, wenn Sie zuvor einen Verstoß hatten, bei dem Karteninhaberdaten kompromittiert wurden. Die Überprüfung der Einhaltung von Level 1 umfasst Folgendes:

• Einreichung eines jährlichen Konformitätsberichts (ROC) durch einen qualifizierten Sicherheitsgutachter (QSA) oder einen internen Sicherheitsgutachter
• Vierteljährliche ASV-Netzwerk-Scans

Wie schützt PCI DSS die Daten von Karteninhabern?

PCI DSS schützt die Daten von Karteninhabern durch:

• Verbot der Speicherung von sensiblen Authentifizierungsdaten (SAD) nach der Autorisierung, einschließlich Kartenmagnetstreifendaten, Kartenvalidierungscodes (CAV2/CVC2/CVV2/CID) und PIN-Codes.
• Anforderung, dass alle elektronisch gespeicherten SAD (vor der Autorisierung) durch Verschlüsselung auf der Grundlage starker Kryptographie geschützt werden müssen.
• Die eindeutige Kennung (PAN) jeder Karte muss unlesbar gemacht werden, wo auch immer sie gespeichert wird (z. B. auf Sicherungsgeräten, Wechselmedien, Servern). Ebenso müssen andere Kontodaten wie der Name des Karteninhabers, das Ablaufdatum und der Servicecode unlesbar gemacht werden, wenn sie zusammen mit der PAN gespeichert werden.
• Die Speicherung von Karteninhaberdaten ist nur dann zuzulassen, wenn eine legitime geschäftliche Notwendigkeit besteht.

12 Anforderungen der PCI DSS-Konformität

Nachfolgend finden Sie eine Übersicht über die 12 Anforderungen des PCI DSS, aktualisiert um alle Änderungen in Version 4.0. Diese 12 Compliance-Anforderungen lassen sich in sechs verschiedene Kategorien einteilen.

Aufbau und Instandhaltung eines sicheren Netzwerks und sicherer Systeme

Anforderung 1: Installation und Pflege von Netzwerksicherheitskontrollen – dies kann Firewalls, Cloud-Zugangskontrollen, softwaredefinierte Netzwerk-Tools und jedes andere System umfassen, das den Netzwerkverkehr prüft.

Anforderung 2: Sichere Konfigurationen für alle Systemkomponenten – Vermeiden Sie die Verwendung von Standardpasswörtern des Herstellers, entfernen Sie unnötige Konten und deaktivieren Sie nicht benötigte Dienste.

Schutz von Kontodaten

Anforderung 3: Gespeicherte Kontodaten schützen – Sicherheitsvorkehrungen zum Schutz von Karteninhaberdaten und sensiblen Authentifizierungsdaten während der Speicherung einrichten.

Anforderung 4: Schützen Sie Karteninhaberdaten mit starker Kryptografie bei der Übertragung über offene, öffentliche Netzwerke – wenn PAN-Daten über ein öffentliches Netzwerk wie das Internet oder drahtlose Technologien (Wi-Fi) übertragen werden, verschlüsseln Sie sie entweder vor der Übertragung, verschlüsseln Sie die Sitzung oder tun Sie beides, um maximalen Schutz zu gewährleisten.

Führen Sie ein Programm zur Verwaltung von Schwachstellen ein

Anforderung 5: Schützen Sie alle Systeme und Netzwerke vor bösartiger Software – dies erfordert die Einrichtung einer Reihe von Kontrollen, die vor allen Arten von Malware schützen. Wenn Ihre Antiviren-Software also nicht vor anderen Formen von Malware wie Trojanern, Rootkits und Ransomware schützt, sollten Sie sich nach Anti-Malware-Tools umsehen, die einen umfassenden Schutz bieten.

Anforderung 6: Entwickeln und pflegen Sie sichere Systeme und Software – Tools und Anwendungen, die in Ihrem IT-Ökosystem verwendet werden, führen Sie Schwachstellen-Scans durch, führen Sie Code-Reviews durch, wenden Sie Sicherheits-Patches an und befolgen Sie bewährte Verfahren zur sicheren Softwareentwicklung.

Implementierung strenger Zugangskontrollmaßnahmen

Anforderung 7: Beschränken Sie den Zugriff auf Systemkomponenten und Karteninhaberdaten nach dem Prinzip „Business Need to Know“ – für interaktive Konten, die mit einem bestimmten Benutzer verbunden sind und auf die Mitarbeiter, Anwendungen und Systemkonten zugreifen, stellen Sie sicher, dass Sie den Zugang mit den geringsten Privilegien versehen und die Konten regelmäßig auf unnötigen Zugang überprüfen.

Anforderung 8: Identifizierung von Benutzern und Authentifizierung des Zugriffs auf Systemkomponenten – Führen Sie Prozesse und Systeme ein, mit denen Sie in der Lage sind, Benutzer zu identifizieren und festzustellen, was sie tun. Eine wirksame Authentifizierung stellt sicher, dass Sie überprüfen können, ob die Benutzer die sind, die sie vorgeben zu sein.

Anforderung 9: Beschränkung des physischen Zugriffs auf Karteninhaberdaten – Schaffen Sie physische Barrieren und Kontrollen wie Schlösser und Sicherheitsausweise, die den unbefugten Zugriff auf Systeme in der Karteninhaberdatenumgebung einschränken.

Regelmäßige Überwachung und Prüfung der Netzwerke

Anforderung 10: Alle Zugriffe auf Systemkomponenten und Karteninhaberdaten protokollieren und überwachen – die Möglichkeit, Aktivitäten zu protokollieren und nachzuverfolgen, hilft bei der proaktiven Erkennung verdächtiger Muster und erleichtert zudem die Untersuchung nach einem Vorfall.

Anforderung 11: Testen Sie regelmäßig die Sicherheit von Systemen und Netzwerken – dies bedeutet, dass Sie regelmäßig Scans von drahtlosen Netzwerken, Schwachstellen-Scans von Zahlungsanwendungen und anderen Anwendungen, Penetrationstests und mehr durchführen, um die Sicherheit zu erhöhen.

Beibehaltung einer Informationssicherheitspolitik

Anforderung 12: Unterstützen Sie die Informationssicherheit mit organisatorischen Richtlinien und Programmen – Unterstützen Sie den Schutz von Daten mit Richtlinien und Programmen, einschließlich Plänen zur Reaktion auf Vorfälle, der Einrichtung einer bestimmten Rolle, die die Verantwortung für die Informationssicherheit übernimmt, der Durchführung von Programmen zur Sensibilisierung für Sicherheitsfragen und der Durchführung gezielter Risikoanalysen.

PCI DSS-Reaktionsplan für Zwischenfälle

Jede der 12 PCI DSS-Anforderungen hat mehrere Unteranforderungen, die mit ihr verbunden sind. Für die 12. Anforderung ist ein kritisches Element einer Informationssicherheitspolitik die Implementierung eines Reaktionsplans. Mit anderen Worten: Es geht nicht nur um die Verhinderung von Sicherheitsverletzungen, sondern auch um die Einrichtung von Prozessen zur Begrenzung des Schadens durch Eindringlinge.

Einige Hinweise für einen solchen Plan sind:

• Einrichtung eines Teams für die Reaktion auf Vorfälle mit festgelegten Rollen und Verantwortlichkeiten
• Sicherstellen, dass alle an der Reaktion auf Vorfälle beteiligten Parteien den Plan kennen und ihre Verantwortlichkeiten verstehen
• Beschaffung von Werkzeugen und Einrichtung von Prozessen zur Begrenzung der Datenexposition und zur Minimierung von Datenverlusten bei gleichzeitiger Sicherung von Beweisen für spätere forensische Untersuchungen.
• Testen Sie den Plan häufig (idealerweise mindestens einmal pro Jahr), um sicherzustellen, dass er reibungslos funktioniert.

Geldbußen und Strafen

Da PCI DSS durch Verträge durchgesetzt wird, gilt dies auch für die Strafen bei Nichteinhaltung. Die Verträge werden in der Regel zwischen Händlern, Unternehmen, die Zahlungskartentransaktionen verarbeiten, und den Zahlungsmarken geschlossen. Bei Nichteinhaltung der Vorschriften verhängt die Kartenmarke eine Geldstrafe gegen den Zahlungsabwickler, die letztlich an den Händler weitergegeben wird.

Die Geldbußen liegen zwischen 5.000 und 100.000 Dollar pro Monat der Nichteinhaltung.

Weitere Geldbußen können fällig werden, wenn Zahlungskarten neu ausgestellt werden müssen oder für jeden von einem Verstoß betroffenen Kunden zu zahlen sind.

Wiederholte Verstöße gegen die Vorschriften können dazu führen, dass Ihr Unternehmen keine Kartenzahlungen von einer oder allen fünf Kreditkartenmarken mehr annehmen kann.

Wie Endpoint Protector Ihnen dabei hilft, PCI DSS-konform zu werden

Endpoint Protector ist eine Data Loss Prevention (DLP)-Lösung, die Multi-OS-Unterstützung für macOS-, Windows- und Linux-Systeme bietet. Endpoint Protector hilft Ihnen, PCI DSS-konform zu werden, indem es:

• Erkennung, Überwachung und Kontrolle der Bewegung von Karteninhaberdaten in Ihrer Umgebung.
• Überwachung der Datennutzung durch verschiedene Benutzer, um die PCI DSS Überwachungs- und Protokollierungsanforderungen zu erfüllen.
• Blockieren nicht autorisierter Übertragungen, um Datendiebstahl oder den Verlust von Karteninhaberdaten zu verhindern.
• Automatisches Verschlüsseln von Daten, die auf Wechselmedien wie USB-Speichergeräte übertragen werden.