Die 12 PCI-DSS-Anforderungen: 4.0-Compliance-Checkliste

Compliance und Regulierungsanforderungen

PCI-Hero-Banner

Digitale Zahlungen werden dieses Jahr voraussichtlich ein Rekordhoch erreichen. Laut den Prognosen werden digitale Zahlungstransaktionen 2020 um mehr als 24 Prozent im Vergleich zum Vorjahr zunehmen – ein Trend, der sich allem Anschein nach auch in Zukunft fortsetzen wird. Genau deshalb sind die PCI-DSS-Anforderungen wichtiger als je zuvor, denn Händler und Zahlungsdienstleister müssen den Datenschutz und die Sicherheit bei jeder Transaktion vollständig gewährleisten.

Der Payment Card Industry Data Security Standard (PCI DSS) ist ein Framework, das entwickelt wurde, um die gesamte Wertschöpfungskette der Kartenzahlung zu schützen. Die Compliance-Anforderungen von PCI DSS decken unzählige Bereiche ab, von der Speicherung von Karteninhaberdaten bis hin zum Zugriff auf private Zahlungsdaten.

Holen Sie sich den kostenlosen Leitfaden für die Compliance mit US-Datenschutzbestimmungen und -vorschriften

Doch während sich Bedrohungen und Technologien weiterentwickeln, ändern sich auch die PCI-DSS-Standards Händler, Zahlungsdienstleister und alle anderen Unternehmen, die Karteninhaberdaten verarbeiten, sollten sich ein Bild der neuen Anforderungen von PCI DSS 4.0 machen. Unsere Checkliste zur Einhaltung von PCI DSS 4.0 hilft Ihnen, die Änderungen besser zu verstehen – von der Datenverschlüsselung bis hin zur Netzwerksicherheit und -überwachung.

Übersicht: PCI-DSS-Compliance

Änderungen in PCI DSS 4.0

Bei der PCI-DSS-Compliance handelt es sich um eine Datenschutzrechtliche und organisatorische Anforderung an alle Unternehmen, die Karteninhaberdaten speichern, verarbeiten oder übertragen.

Das sind die übergeordneten Ziele, die der PCI Standards Security Council für PCI 4.0 festgelegt hat:

  • Gewährleistung, dass die PCI-Standards weiterhin den Sicherheitsanforderungen der Zahlungsindustrie entsprechen
  • Mehr Flexibilität und Unterstützung für andere Methoden zur Verbesserung der Zahlungssicherheit
  • Fördern der Karteninhabersicherheit als kontinuierlicher Prozess, indem Sicherheitsmaßnahmen und Geschäftsprozesse zusammengeführt werden.
  • Verbesserte Validierungsmethoden und -verfahren zur Optimierung des Compliance-Prozesses.

Nachfolgend finden Sie die technischen Bereiche, die für Änderungen in PCI DSS 4.0 in Betracht gezogen werden:

  • Authentifizierungs- und Passwortrichtlinien
  • Erweiterte Anforderungen an die Systemüberwachung
  • Zusätzliche Hinweise zur Multi-Faktor-Authentifizierung

Kurzum: PCI DSS 4.0 wurde entwickelt, um die Daten von Karteninhabern noch besser zu schützen, indem Unternehmen dabei geholfen wird, eine ganzheitlichere Sichtweise auf Sicherheitsmaßnahmen und Zugriffskontrollen zu entwickeln. Außerdem soll durch technologischen Fortschritt auf neue Bedrohungen reagiert werden.

12 PCI-DSS-Anforderungen, Schritt für Schritt

PCI-Anforderungen

PCI DSS bietet Ihnen eine Roadmap für Ihren Weg zur PCI-Compliance. PCI DSS ist ein 12-Schritte-Plan zum Schutz von Kundendaten – im Folgenden werden diese Schritt für Schritt erläutert.

Schritt 1. Installation und Wartung einer Firewall

Die Erfüllung der Firewall-Anforderungen von PCI DSS ist der erste Schritt zur unternehmensweiten Compliance. Firewalls beschränken den ein- und ausgehenden Netzwerkdatenverkehr und sind oft die erste Verteidigungslinie gegen Cyberangriffe.

Sie müssen Ihre Firewall und Router richtig konfigurieren, um Ihre Umgebung für Zahlungskartendaten zu schützen. Richten Sie außerdem Firewall- und Router-Regeln sowie Standards fest, die festlegen, welche Arten von Datenverkehr erlaubt sind und welche nicht.

Schritt 2. Eliminieren der Standardeinstellungen von Herstellern

Verlassen Sie sich niemals auf die Standardeinstellungen für Server, Netzwerkgeräte oder Software. Das gilt für alle Geräte und Vorrichtungen, vom WLAN-Router bis hin zur Firewall. Das Passwort, der Benutzername und andere Standard-Sicherheitseinstellungen sind oft nicht ausreichend, um die PCI-Standards zu erfüllen.

Gemäß dieser zweiten Anforderung des PCI-DSS-Standards dürfen keine vom Hersteller festgelegten Standardwerte für Passwörter und andere Sicherheitsparameter verwendet werden. Stellen Sie sicher, dass Sie Ihre Einstellungen für alle neuen Geräte und Hardware selbst vornehmen und die Dokumentation für die Sicherheitshärtungsverfahren Ihrer Konfiguration pflegen.

Schritt 3. Schutz gespeicherter Karteninhaberdaten

Der Schutz von Karteninhaberdaten ist die kritischste aller Compliance-Anforderungen gemäß PCI DSS. Sie müssen genau wissen, wohin die Daten der Karteninhaber gehen und wo sie wie lange gespeichert werden. Außerdem müssen alle Karteninhaberdaten mit branchenweit anerkannten Algorithmen und Sicherheitsschlüsseln verschlüsselt werden.

Ein häufiger Fehler besteht darin, dass Unternehmen es nicht bemerken, wenn die Primary Account Numbers (PANs, primäre Kontonummern) unverschlüsselt gespeichert werden. Deshalb ist der Einsatz eines Kartendaten-Erkennungstools sinnvoll. Diese PCI-Anforderung umfasst auch Regeln für die Anzeige von Kartennummern, z. B. das Ausblenden aller Ziffern bis auf die ersten sechs oder die letzten vier.

Schritt 4. Verschlüsselung der Zahlungsdatenübertragung

Dieser Anforderungsschritt des PCI DSS ähnelt dem dritten Schritt, nur dass es dabei vordergründig um den Datenverkehr und die -übertragung statt um die Speicherung geht. Dazu gehören Daten, die über offene, geschlossene, private oder öffentliche Netzwerke bewegt werden. Angreifer haben es oft auf Daten abgesehen, die von einem Ort zum anderen übertragen werden, weil sie davon ausgehen, dass diese Daten leichter abzugreifen sind.

Sie sollten wissen, wohin Karteninhaberdaten bewegt werden und woher sie kommen und ob es sich dabei um einen Händler, ein Zahlungsportal oder einen Zahlungsabwickler handelt. Stellen Sie außerdem sicher, dass Karteninhaberdaten vor der Übertragung verschlüsselt werden, indem Sie sichere Versionen von Protokollen verwenden. So können Sie das Risiko reduzieren, dass zu bewegende Daten kompromittiert werden. Sie sollten sich im Klaren darüber sein, dass PCI DSS 4.0 genauere Richtlinien zur Multi-Faktor-Authentifizierung (MFA) enthalten wird.

Schritt 5. Regelmäßige Aktualisierung von Virenschutzsoftware

Für die PCI-DSS-Compliance reicht eine einfache Antiviren-Software nicht aus. Sie müssen Ihre Antivirus-Softwareanwendungen regelmäßig aktualisieren und patchen. Dieser PCI-Sicherheitsstandard soll gegen Malware und jede Art von Viren schützen, die Ihre Systeme und Karteninhaberdaten gefährden könnten.

Die Antivirensoftware sollte im gesamten Ökosystem Ihrer IT zur Verarbeitung von Karteninhaberdaten auf dem neuesten Stand gehalten werden. Dazu gehören Server, Arbeitsplätze und Laptops sowie mobile Geräte, die von Mitarbeitern und/oder dem Management genutzt werden. Die Antiviren-Software sollte immer aktiv ausgeführt werden, die neuesten Signaturen verwenden und Logs erstellen, die im Rahmen eines Audits überprüft werden können.

Schritt 6. Bereitstellung sicherer Systeme und Anwendungen

Als Nächstes müssen Sie Prozesse definieren und implementieren, die die Risiken der Bereitstellung von Technologien identifizieren und klassifizieren können. Ohne vorab eine gründliche Risikobewertung durchzuführen, lassen sich keine Technologien in Compliance mit den PCI-Standards nutzen und verwalten.

Nach einer Risikobewertung können Sie mit der Einführung von Geräten und Software beginnen, die für die Verarbeitung sensibler Zahlungskartendaten verwendet werden. Vergessen Sie nicht, Ihre Geräte und Software schnell zu patchen – ebenfalls eine Anforderung des PCI-DSS-Standards. Dazu gehören auch Patches für Elemente wie Datenbanken, Point-of-Sale-Terminals und Betriebssysteme.

Schritt 7. Einschränkung des Zugriffs auf Karteninhaberdaten nach Bedarf

Jede Körperschaft, die Zahlungskartendaten verarbeitet, muss auch den Zugriff auf diese Daten auf Grundlage von Rollen und Berechtigungen erlauben oder verweigern. Konkret besagen die PCI-DSS-Anforderungen, dass Personen nur dann Zugriff auf private Karteninhaberdaten haben dürfen, wenn sie diese kennen müssen und dies für den Betrieb unerlässlich ist.

Neben dem digitalen Zugriff müssen Unternehmen auch physische Sicherheitsanforderungen von PCI DSS erfüllen. Sie sollten dokumentierte Richtlinien und Verfahren zur Zugriffskontrolle haben, auf Grundlage von Parametern wie Position im Unternehmen, Dienstgrad und dem Grund für den Zugriff auf Karteninhaberdaten. Dokumentieren Sie alle Benutzer und ihre Zugriffsstufe und halten Sie diese stets aktuell.

Schritt 8. Zuweisen einer Benutzerzugriffsidentifizierung

Gemäß PCI-DSS-Standard Nummer acht sollte jeder Benutzer einen eigenen, individuellen Benutzernamen und ein Zugriffspasswort haben. Setzen Sie niemals – unter keinen Umständen – gemeinsam genutzte Benutzernamen und Passwörter für Gruppen oder für mehrere Benutzer ein. Außerdem sollten alle eindeutigen Benutzernamen und Passwörter komplex sein.

Dadurch soll nicht nur verhindert werden, dass Angreifer Passwörter erraten oder stehlen können, um in das System einzudringen. Es soll auch dafür gesorgt werden, dass Aktivitäten im Falle eines internen Datenlecks mit nahezu hundertprozentiger Sicherheit zurückverfolgt und bestimmten Benutzern zugewiesen werden können. Zur weiteren Verstärkung des eindeutigen Zugriffs schreiben die PCI-DSS-Anforderungen vor, dass Zwei-Faktor-Authentifizierung verwendet werden muss.

Schritt 9. Beschränkung des physischen Zugriffs auf Daten

Bei der PCI-Konformität geht es nicht nur um digitale Sicherheit. Unternehmen müssen auch die physische Sicherheit nach PCI DSS ernst nehmen. Diese PCI-Anforderung deckt den physischen Zugang ab, beispielsweise zu Servern, Papierakten oder Arbeitsplätzen, die Karteninhaberdaten enthalten oder übertragen.

Diese PCI-Anforderung schreibt auch den Einsatz von Videokameras und die allgemeine elektronische Überwachung der Ein- und Ausgänge von physischen Standorten wie Datenspeichern und Rechenzentren vor. Aufzeichnungen und Zugriffsprotokolle müssen anschließend mindestens 90 Tage lang aufbewahrt werden. Sie sollten Zugriffsprozesse haben, die es Ihnen ermöglichen, zwischen Mitarbeitern und Besuchern zu unterscheiden. Schließlich müssen alle tragbaren Medien mit Karteninhaberdaten, beispielsweise USB-Sticks, physisch geschützt und vernichtet werden, wenn sie nicht mehr für Ihren Betrieb erforderlich sind.

Schritt 10. Verfolgen und Überwachen des Netzwerkzugriffs

Böswillige Akteure zielen immer wieder sowohl auf physische als auch auf drahtlose Netzwerke ab, um auf Karteninhaberdaten zuzugreifen. Aus diesem Grund schreiben die PCI-Standards vor, dass alle Netzwerksysteme jederzeit geschützt und überwacht werden müssen. Ein eindeutiger Aktivitätsverlauf muss hierbei als Referenz dienen können. Netzwerkaktivitätsprotokolle sollten aufbewahrt und für die tägliche Überprüfung an einen zentralen Server gesendet werden.

Sie können ein SIEM-Tool (Security Information and Event Monitoring) verwenden, um die Systemaktivitäten zu protokollieren und gleichzeitig auf verdächtige Aktivitäten zu überwachen. Gemäß den PCI-Compliance-Anforderungen müssen Audit-Trail-Aufzeichnungen von Netzwerkaktivitäten zeitlich synchronisiert sein und mindestens ein Jahr lang aufbewahrt werden.

Schritt 11. Fortlaufende System- und Prozesstests

Böswillige Akteure und Internetkriminelle versuchen ständig, aus jedem Winkel in Systeme einzudringen und so eine Schwachstelle zu finden. Aus diesem Grund umfassen PCI-Standards Anforderungen an kontinuierliche System- und Prozesstests. Aktivitäten wie Penetrations- und Schwachstellentests können Ihnen helfen, diese Anforderung zu erfüllen.

Sie müssen regelmäßig drahtlose Analysescans durchführen, um vierteljährlich unautorisierte Zugriffspunkte zu erkennen. Externe IPs und Domains müssen von einem PCI Approved Scanning Vendor (ASV, zugelassener Scan-Anbieter) gescannt werden. Interne Schwachstellen-Scans sollten ebenfalls vierteljährlich durchgeführt werden. Ein gründlicher Anwendungs- und Netzwerk-Penetrationstest sollte einmal im Jahr stattfinden.

Schritt 12. Erstellen und Pflegen einer Informationssicherheits-Richtlinie

Der letzte Schritt zur PCI-Compliance setzt einen Schwerpunkt auf dem unternehmerischen Fokus und der Zusammenarbeit. Dabei geht es um die Erstellung, Implementierung und Pflege einer unternehmensweiten Informationssicherheitsrichtlinie. Diese Richtlinie sollte Mitarbeiter, Management und relevante Drittanbieter umfassen.

Ihre Informationssicherheits-Richtlinie sollte jährlich überprüft und an interne Mitarbeiter und Drittanbieter weitergegeben werden. Alle Benutzer sollten diese Richtlinie lesen und bestätigen. Außerdem müssen Sie Schulungen zur Sensibilisierung der Benutzer und für Hintergrundprüfungen der Mitarbeiter durchführen, um zu verhindern, dass die falschen Personen auf Karteninhaberdaten zugreifen.

Checkliste zur PCI-DSS-Compliance

Bevor Sie einen PCI Qualified Security Assessor (QSA, qualifizierter Sicherheitsprüfer) beauftragen, sollten Sie sicherstellen, dass Sie möglichst viele Punkte der folgenden Checkliste für PCI-DSS-Compliance erfüllen:

  • Funktionierende Firewall 
      1. Erstellen Sie einen Plan für die Firewall-Implementierung und Richtlinien für Änderungen oder Updates.
      2. Überwachen und testen Sie Ihre Firewall in regelmäßigen Abständen, um potenzielle Schwachstellen zu erkennen.
      3. Aktualisieren Sie Ihre Firewall mit den neuesten Patches und sorgen Sie allgemein für eine gute Wartung.
  • Ändern der Hersteller-Standardeinstellungen
      1. Überprüfen Sie die Standardeinstellungen und alle Konten mit neuer Hard- oder Software.
      2. Passen Sie die Einstellungen an, um sowohl gängige Bedrohungen als auch interne Schwachstellen zu beseitigen.
      3. Führen Sie zur Dokumentation eine Inventur aller Systemkomponenten, die unter PCI DSS fallen, durch.
  • Schutz der Karteninhaberdaten um jeden Preis
      1. Erstellen Sie eine PCI-konforme Richtlinie darüber, wie Sie Daten erfassen, verarbeiten und entsorgen.
      2. Implementieren Sie starke Sicherheitsmaßnahmen wie Verschlüsselung und PAN-Maskierung.
      3. Dokumentieren Sie Ihren Prozess zum Erstellen, Speichern und Verwalten von kryptografischen Schlüsseln.
  • Verschlüsselung von Karteninhaberdaten, die bewegt werden
      1. Stellen Sie sicher, dass Sie sowohl in privaten als auch in öffentlichen Netzwerken starke Verschlüsselungsprotokolle verwenden.
      2. Senden Sie niemals PANs mit Endbenutzer-Messaging-Technologien wie E-Mail, Instant Messaging oder SMS.
      3. Führen Sie regelmäßige Mitarbeiterschulungen zu Best Practices für PCI-konforme Datenübertragung durch.
  • Virenschutzprogramme auf dem neuesten Stand
      1. Installieren Sie Antiviren-Software auf der gesamten Hard- und Software, insbesondere auf PCs und Servern.
      2. Stellen Sie sicher, dass Ihre gesamte Antiviren-Software eine kontinuierliche Überwachung durchführt und automatisch Logs erstellt.
      3. Konfigurieren Sie Ihre Antivirus-Software so, dass Endbenutzer die Einstellungen ohne Genehmigung des Managements nicht anpassen können.
  • Ausschließlicher Einsatz von sicherer Hardware und Software
      1. Beauftragen Sie einen PCI-Compliance-Partner, um neue Hardware oder Software zu überprüfen und sicherzustellen, dass diese sicher ist.
      2. Installieren Sie alle vom Hersteller angegebenen Updates oder Sicherheits-Patches innerhalb eines Monats nach Veröffentlichung.
      3. Entwickeln Sie alle internen Softwareanwendungen unter Berücksichtigung von PCI-Compliance-Maßnahmen.
  • Einschränkungen des Datenzugriffs
      1. Beschränken Sie den Zugriff auf Karteninhaberdaten ausschließlich auf Personen, die diese für betriebliche Zwecke benötigen.
      2. Implementieren Sie Schlüsselkarten, Passcodes und Biometrie zur Stärkung der physischen Zugangskontrollen.
      3. Schulen Sie Ihre Mitarbeiter regelmäßig über Ihre Richtlinien für den Zugriff auf Karteninhaberdaten, um versehentliche interne Verstöße zu vermeiden.
  • Zuweisung eindeutiger Benutzer-IDs und Kennwörter
      1. Dokumentieren Sie Prozesse und Maßnahmen zum Anlegen, Zuweisen und Entziehen von Benutzer-IDs.
      2. Implementieren Sie Zwei-Faktor-Authentifizierung (2FA) für alle, die sich im System anmelden.
      3. Beseitigen Sie alle vorhandenen Benutzer-IDs oder Passwörter für Gruppen. Diese sind laut PCI DSS untersagt.
  • Absicherung wichtiger physischer Zugriffsbereiche
      1. Überwachen Sie den Zugang zu und den Ausgang aus physischen Bereichen mit Kameras oder anderen Überwachungseinrichtungen.
      2. Nutzen Sie Ausweise oder Namensschilder, um zwischen lokalen Mitarbeitern und Besuchern zu unterscheiden.
      3. Vernichten Sie USB-Sticks und andere physische Datenträger, sobald diese nicht mehr benötigt werden.
  • Überwachung und Aufzeichnung des Netzwerkzugriffs
      1. Erstellen Sie Aufzeichnungen zur Verknüpfung aller physischen Netzwerkgeräte mit bestimmten Benutzern.
      2. Automatisieren Sie die Erstellung von Audit Trails für Ihr Netzwerk zu Dokumentationszwecken.
      3. Überprüfen Sie regelmäßig Ihre Sicherheits-Logs, um Anomalien oder verdächtige Aktivitäten zu erkennen.
  • Durchführung regelmäßiger Penetrationstests
      1. Erstellen Sie einen Plan mit einem PCI-Penetrationstest-Partner, um Schwachstellen mindestens vierteljährlich zu testen.
      2. Stellen Sie sicher, dass Ihre Penetrationstest-Methoden sowohl auf der Netzwerk- als auch auf der Anwendungsebene funktionieren.
      3. Setzen Sie einen Mechanismus zur Erkennung von Änderungen ein, um wöchentlich Vergleiche kritischer Dateien durchzuführen.
  • Formulieren einer klaren Informationssicherheits-Richtlinie
    1. Identifizieren Sie die wichtigsten Stakeholder in allen Geschäftsbereichen, die an der Richtlinie beteiligt werden sollten.
    2. Erstellen und dokumentieren Sie Ihre Informationssicherheits-Richtlinie mit einem PCI-Compliance-Partner.
    3. Führen Sie mindestens einmal im Jahr Mitarbeiterschulungen durch, um eine kontinuierliche Umsetzung der Richtlinie zu gewährleisten.

Sie sollten sich im Klaren darüber sein, dass die Nichteinhaltung der PCI-Anforderungen schwerwiegende Konsequenzen nach sich ziehen kann. Wenn bei Ihnen ein Datenleck auftritt – und nachfolgende Untersuchungen ergeben, dass Sie nicht konform waren –, können die Geldstrafen zwischen 5.000 und 10.000 US-Dollar pro Monat betragen, bis Sie konform werden. Ganz zu schweigen von dem Schaden an Ihrem Ruf, der entsteht, wenn Sie ein Datenleck erleiden, weil Sie die im PCI-DSS-Standard empfohlenen Sicherheitsmaßnahmen nicht umgesetzt haben.

Aufrechterhaltung der PCI-Compliance

Die Zukunft der PCI-Compliance

Insgesamt gibt es mit PCI DSS 4.0 keine wesentlichen Änderungen an den sechs wichtigsten Zielen und 12 Anforderungen von PCI DSS. Was Sie jedoch erwarten können, sind Änderungen an den Methoden und Prozessen von PCI-Compliance-Bewertungen, um mit den neuen Technologien in der Finanztechnologie und den Zahlungsdienstleistungen Schritt zu halten.

Ziel ist es, die PCI-DSS-Compliance flexibler zu gestalten und sowohl die Technologie als auch die Geschäftsprozesse stärker in den Vordergrund zu stellen. Mit Sicherheit haben Sie bereits Firewalls und Antiviren-Software installiert. Aber wie passen diese in Ihre allgemeinen Geschäftsprozesse?

Es wird empfohlen, den FAQ-Bereich von www.pcisecuritystandards.org durchgehend im Auge zu behalten, da dort Leitfäden und zusätzliche Informationen zu PCI DSS 4.0 veröffentlicht werden. Wenn Sie jedoch gerade erst damit beginnen, Ihre PCI-Compliance umzusetzen, sollten Sie die Ziele und Anforderungen am besten mit Ihren leitenden Mitarbeitern im Bereich Informationssicherheit durchgehen. So können Sie festhalten, welche Anforderungen Sie bereits einhalten und welche nicht.

Nachdem Sie die Lücken identifiziert haben, sollten Sie in Betracht ziehen, mit einem erfahrenen PCI-Compliance-Partner zusammenarbeiten, um sie zu schließen.

Avatar

David Harrington

David ist professioneller Autor und ein führender Berater für Technologieunternehmen, Startups und Venture-Capital-Firmen.

 

Möchten Sie Varonis in Aktion erleben?

Vereinbaren Sie eine Demo oder wenden Sie sich an unseren Vertrieb unter +49 89 3803 7990