Der Payment-Card-Industry-Data-Security-Standard (PCI-DSS) ist eine Liste an Compliance-Standards, die die Zahlungs- und Finanzdaten von Verbrauchern schützen sollen. Organisationen müssen PCI-DSS-Compliance einhalten, wenn sie Zahlungsinformationen von ihren Kunden speichern, ansonsten riskieren sie bei Verstößen saftige Geldbußen. Die PCI-DSS-Standards bieten Unternehmen ein Sicherheitsframework, an dem sie sich zum Einhalten aller notwendigen Standards orientieren können.

Wie funktioniert die PCI-DSS-Zertifizierung?

Um sicher zu sein, ob eine Organisation wirklich alle PCI-DSS-Vorgaben einhält, sollte sie sich zertifizieren lassen. Die Zertifizierung erfordert das Befolgen einiger Best Practices. Kreditkartenfirmen geben die Standards vor und treffen sich regelmäßig, um Best Practices zu prüfen und Vorgaben an die sich stetig verändernde Cybersicherheitslandschaft anzupassen. PCI-DSS gibt Unternehmen ein Framework vor, dem sie bei der Zertifizierung folgen können. Hier sind einige Praktiken, die für die PCI-DSS-Zertifizierung notwendig sind:

  • Firewalls sind an allen notwendigen Punkten im Netzwerk installiert.
  • Daten sind beim Transfer zu und von ECommerce-Umgebungen verschlüsselt.
  • Antivirensoftware ist auf allen Unternehmensgeräten installiert.
  • Zugriffsanfragen auf Netzwerkressourcen werden überwacht.
  • Autorisierungskontrollen werden für die Daten von Karteninhabern eingesetzt.

PCI-DSS-Compliance-Stufen

Nicht alle Händler verarbeiten das gleiche Volumen an Verkäufen und betreiben gleich viele Netzwerkressourcen, weshalb PCI-DSS Compliance-Vorgaben in verschiedene Verkäufer-Stufen einteilt. Händler-Stufen orientierten sich an der Zahl der verarbeiteten Visa-Kreditkartentransaktionen. PCI-DSS-Compliance betrifft Händler jeder Größe, aber die Händler-Stufe legt die Art der Sicherheitsvalidierung fest, die sie für ihre Compliance erfüllen müssen.

Händler-Stufen sind wie folgt definiert:

  • Stufe 1: Alle Händler, die mehr als sechs Millionen Visa-Transaktionen pro Jahr verarbeiten. Bei diesen Unternehmen handelt es sich normalerweise um sehr große globale Konzerne. Es kommt jedoch vor, dass Visa einzelne Händler nach seinem eigenen Ermessen in diese Kategorie einstuft, um Risiken zu minimieren. Ein Visa-Inspektor prüft die Compliance einmal im Jahr, und Händler der Stufe 1 müssen einen PCI-Scan mit einem autorisierten PCI-Scanning-Anbieter einreichen.
  • Stufe 2: Alle Händler, die zwischen einer bis sechs Millionen Visa-Transaktionen im Jahr verarbeiten. Händler der Stufe 2 müssen einen Selbstauskunft-Fragebogen (Self-Assessment Questionnaire, SAQ) abgeben, um zu versichern, dass sie die Anforderungen der Stufe 2 erfüllen, und einmal im Quartal einen PCI-Scan durchführen.
  • Stufe 3: Alle Händler, die mehr als 20.000 bis zu einer Million Visa-Transaktionen im Jahr durchführen. Händler der Stufe 3 müssen einen SAQ abgeben, um zu versichern, dass sie die Anforderungen der Stufe 3 erfüllen, und einmal im Quartal einen PCI-Scan durchführen.
  • Stufe 4: Alle Händler, die weniger als 20.000 E-Commerce-Visa-Transaktionen im Jahr verarbeiten, oder Händler, die bis zu eine Million Standard-Visa-Transaktionen im Jahr verarbeiten. Händler der Stufe 4 müssen einen SAQ abgeben, um zu versichern, dass sie die Anforderungen der Stufe 4 erfüllen, und einmal im Quartal einen PCI-Scan durchführen.

PCI-DSS-Anforderungen

Obwohl die meisten anderen Compliance-Vorgaben zahlreiche Änderungen an Infrastruktur und Sicherheitstools erfordern, stellt PCI-DSS nur sehr wenige, dafür aber umso wichtige Anforderungen. Jegliche Fehler oder ein Übersehen von Anforderungen kann saftige Strafen nach sich ziehen, weshalb Organisationen die PCI-DSS-Richtlinien unbedingt genau studieren und die richtigen Kontrollen für ihre Umgebung einsetzen müssen.

Kreditkartenfirmen verlangen von Unternehmen für deren PCI-DSS-Compliance das Befolgen von zwölf Anforderungen. Standards zielen darauf ab, die Daten der Kreditkarteninhaber zu schützen, weshalb es bei vielen der Anforderungen darum geht, mithilfe von Netzwerksicherheitsmaßnahmen Bedrohungen zu verhindern, mit denen Angreifer kritische Informationen stehlen könnten. Jegliche Änderungen an den aktuell geltenden Anforderungen werden vom Sicherheitsrat angekündigt und veröffentlicht, was bedeutet, dass Organisationen diese Änderungen jährlich prüfen müssen, damit sie die Compliance-Anforderungen durchgehend erfüllen.

Die zwölf PCI-DSS-Anforderungen lauten:

  1. Installieren Sie Firewalls und konfigurieren Sie diese so, dass sie schädlichen Traffic blockieren. Die meisten Organisationen haben bereits eine Firewall zwischen dem Internet nach außen und der internen Umgebung installiert, aber andere Arten von Firewalls sind für größere Umgebungen notwendig, wie etwa dann, wenn ein öffentliches WLAN angeboten wird. Einzelne Abteilungen müssen voneinander getrennt werden. Organisationen trennen demnach Finanzabteilungen und deren Daten mithilfe einer Firewall von etwa der Vertriebsabteilung, um die Daten von Karteninhabern zu schützen.
  2. Vermeiden Sie voreingestellte Passwörter. Jede Netzwerkressource wird mit einem vom Hersteller festgelegten Passwort geliefert, damit Administratoren die Hardware so einstellen können, dass sie mit der Unternehmensinfrastruktur funktioniert. Diese Passwörter sind öffentlich bekannt, was bedeutet, dass Angreifer damit auf Netzwerkressourcen zugreifen können, ohne vorher Zugangsdaten gestohlen zu haben. Nachdem sie eine Komponente mit dem Netzwerk verbunden hat, sollte eine Administratorin sofort das voreingestellte Passwort ändern. Das gewählte Passwort ist idealerweise schwer zu erraten, aber leicht zu merken.
  3. Schützen Sie gespeicherte Finanzdaten von Kunden. Diese Anforderung erscheint offensichtlich, aber nicht jedes Unternehmen speichert Kreditkarteninformationen und nicht alle setzen einen Mindeststandard an Sicherheit um. Kreditkarteninformationen, die beispielsweise in einer Datenbank gespeichert sind, müssen verschlüsselt sein und niemand innerhalb des Unternehmens sollte ungehinderten Zugang darauf haben. Jede Zugriffsanfrage muss überwacht werden und braucht einen Audit-Trail für die Incident Response im Falle einer Kompromittierung.
  4. Finanzielle Daten müssen beim Transfer durch öffentliche Netzwerke verschlüsselt werden. Daten, die über das Internet gesendet werden, müssen verschlüsselt sein, um ein Abfangen der Daten zu verhindern. Wenn Nutzer ihre Kreditkarteninformationen auf einer E-Commerce-Website eingeben, müssen diese Informationen verschlüsselt werden. Sobald Händler daraufhin diese Kreditkartendaten zu einem Verarbeiter senden, müssen sie auch hier verschlüsselt sein. Manche Organisationen gehen mit ihren Sicherheitsvorkehrungen noch einen Schritt weiter und verschlüsseln auch den Traffic innerhalb des internen Unternehmensnetzwerks.
  5. Installieren Sie Antivirensoftware und halten Sie sie auf dem neuesten Stand. Alle Server und Arbeitsplätze in der gesamten Organisation müssen eine Antivirensoftware installiert haben. Um noch eine weitere Sicherheitsstufe drauf zu setzen, sollte auch auf jedem mobilen Gerät, das Kreditkartendaten speichert oder verarbeitet, für eine bessere mobile Sicherheit ein Antivirenprogramm installiert werden. Endpunkt-Sicherheit ist für Unternehmen eine neuere Herausforderung, die erst mit der wachsenden Beliebtheit von Smartphones aufgekommen ist; aber Organisationen, die Zahlungen über mobile Geräte erhalten, sollten sie zu einer Priorität machen.
  6. Fügen Sie nur Systeme hinzu, die Datensicherheit bereits mitbringen. Systeme verändern sich stetig und Administratoren werden neue hinzufügen, wenn das Unternehmen wächst. Bei der Integration jedes neuen Systems, das innerhalb einer Unternehmensinfrastruktur installiert wird, sollte Sicherheit von Vornherein berücksichtigt werden. Neue Infrastruktur sollte Sicherheit bereits integriert haben, wenn sie installiert wird, und bei jeglichen Konfigurationen sollte die Sicherheit von Kreditkartendaten im Blick behalten werden.
  7. Vergeben Sie so wenige Berechtigungen zum Datenzugriff wie nötig. Nutzer sollten nur dann auf Kreditkartendaten zugreifen können, wenn es zum Erfüllen ihrer Aufgaben absolut notwendig ist. Insider-Bedrohungen riskieren die Offenlegung von Kreditkartendaten, weshalb nur diejenigen Angestellten, die den Zugang für Ihren Job benötigen, Zugriff haben sollten. In manchen Fällen kann ein Teil der Kreditkartennummer verborgen werden, um die Sicherheit zu erhöhen. Beispielsweise können Angestellte im Kundenservice die letzten vier Ziffern, aber nicht die volle Kreditkartennummer einsehen, während die Abrechnungsabteilung die ganze Nummer sieht, um Kunden dabei zu helfen, ihre gespeicherte Kartennummer zu ändern.
  8. Loggen Sie die Nutzer-ID aller Zugriffsanfragen, die Kreditkartendaten abrufen. Egal, ob es sich um einen kompromittierten Account oder einen schädlichen Insider handelt – indem Sie die Nutzer-ID aller Zugriffsanfragen speichern, schaffen Sie einen Audit-Trail. Ermittler und Strafverfolgungsbehörden nutzen Audit-Trails, um einen schädlichen Akteur zu identifizieren, und sie helfen Incident-Response-Teams, das Ausmaß des Schadens und die von einer Datenverletzung betroffenen Kunden zu bestimmen.
  9. Schränken Sie den physischen Zugang zu Kreditkartendaten ein. Für Server, auf denen Kreditkarteninformationen gespeichert sind, sollten entsprechende physische Sicherheitsmaßnahmen ergriffen werden. Wenn Organisationen Kreditkartendaten in der Cloud speichern, muss der Cloudanbieter PCI-DSS-konforme Richtlinien bereitstellen. Physische Sicherheit umfasst auch das Erfassen von Zugriffsanfragen zur physischen Infrastruktur, um einen Audit-Trail zu erstellen.
  10. Loggen und überwachen Sie Zugriffsanfragen auf Netzwerkressourcen, die Kreditkarteninformationen speichern. Den Zugang zu Daten zu überwachen ist eine Anforderung in verschiedenen Compliance-Regelwerken. Logs und Monitoring gehen dabei Hand in Hand beim Schutz von Daten. Logs erfassen alle Ereignisse mit einer Zugriffsanfrage und Monitoring-Tools nutzen diese Ereignisse zum Identifizieren von Anomalien, die Benachrichtigungen an die Administratoren auslösen. Analysten nutzen Monitoring, um schnell auf laufende Vorfälle zu reagieren und diese einzudämmen, um den durch eine Kompromittierung verursachten Schaden zu begrenzen.
  11. Testen Sie Sicherheitssysteme und -prozesse häufig. Sicherheitssysteme versagen manchmal, oder sie funktionieren nicht wie vorgesehen, weshalb es wichtig ist, dass Administratoren Sicherheitskontrollen in der gesamten Umgebung regelmäßig testen. Manche Organisationen führen Sicherheits-Events durch, bei denen Mitarbeiter für das Aufspüren von verwundbaren Ressourcen Preise gewinnen können. Zusätzlich zum jährlichen Testen sollten Administratoren die PCI-DSS-Compliance-Dokumentation regelmäßig auf Änderungen prüfen.
  12. Dokumentieren Sie Sicherheitsrichtlinien und machen Sie sie Ihren Angestellten zugänglich. Angestellte können Sicherheitsrichtlinien nicht befolgen, wenn sie nicht wissen, an welche Richtlinien sie sich halten sollen. PCI-DSS erfordert, dass Arbeitsgeber Sicherheitsrichtlinien so dokumentieren, dass Angestellte darin nachschlagen können, was sie zu tun haben und den richtigen Umgang mit Kundendaten ableiten können.

Vorteile von PCI-DSS

Es ist zwar eine Menge Arbeit, PCI-DSS-Konformität zu erreichen, aber das Befolgen des PCI-DSS-Standards bringt auch viele Vorteile mit sich. Viele der Vorteile durch das Einhalten von PCI-DSS wirken sich auch positiv auf Ihre Einnahmen aus, weshalb es Ihnen nur nützt, die Richtlinien zu befolgen und die Daten von Karteninhabern mit den in PCI-DSS enthaltenen Sicherheitsanforderungen zu schützen.

Zu den Vorteilen gehören:

  • Erhöhtes Vertrauen Ihrer Kunden: Kunden wollen wissen, dass ihre Daten sicher sind, und durch das Einhalten von PCI-DSS zeigen Sie, dass Ihr Unternehmen versteht, was es für die Sicherheit von Kreditkarteninformationen tun muss.
  • Verhinderung von Datenverletzungen: Cybersicherheit sollte für jede Organisation, die solch sensible Daten wie Kreditkarteninformationen speichert, eine Priorität sein. Jeder PCI-DSS-Standard hilft Organisationen dabei, Cyberangriffe zu verhindern, die Ihre Einnahmen gefährden würden.
  • Konformität mit globalen Standards: Globale Kreditkartenfirmen mit einem Einblick in aktuelle Cybersicherheitstrends sitzen im PCI-DSS-Rat. Manche Anbieter und Händler-Serviceanbieter verlangen möglicherweise von Ihnen, PCI-DSS-Konformität vorzuweisen, um mit ihnen Geschäfte zu machen.
  • Hilft beim Einsetzen der richtigen Sicherheitskontrollen: Ohne ein dezidiertes Sicherheitsteam gestaltet es sich schwierig, sich zwischen den vielen verschiedenen Cybersicherheitsoptionen zurecht zu finden. PCI-DSS-Frameworks bringen Sie auf den richtigen Kurs. Indem sie PCI-DSS-Standards anwenden, haben Administratoren einen Anhaltspunkt, welche Zugriffskontrollen notwendig sind, um Kreditkarteninformationen ordentlich zu schützen.
  • Gibt eine Orientierung für andere Compliance-Standards: Die meisten Organisationen müssen mehrere gesetzliche Vorgaben einhalten. PCI-DSS-Standards auf Sicherheitskontrollen anzuwenden, versetzt das Unternehmen in eine gute Position, auch andere Standards zu erfüllen. PCI-DSS-Frameworks helfen zum Beispiel bei der Einhaltung von HIPAA und DSGVO.

Verstöße gegen PCI-DSS

Verstöße gegen PCI-DSS ziehen schwerwiegende Konsequenzen nach sich. Nach einer Datenverletzung kann es vorkommen, dass eine Organisation Millionen an Kosten in Form von Bußgeldern und Rechtskosten aufgrund von Sammelklagen stemmen muss. Die fünf größten Konsequenzen sind:

  • Monatliche Geldbußen: Umgebungen, die nicht konform sind, gefährden die Kreditkartendaten von Verbrauchern, weshalb PCI-DSS Verstöße mit heftigen monatlichen Geldbußen ahndet. Die Höhe der Strafe hängt von der Händler-Stufe ab, aber normalerweise bewegen sich die Geldstrafen im Bereich von 5.000 bis 100.000 Dollar im Monat.
  • Kompromittierung des Systems und Datenverletzungen: Schlechte Sicherheit schafft Schwachstellen, die zu Datenverletzungen führen können. Datenverletzungen kosten Millionen an Dollar für Incident Responsive, Ermittlungen, Verlust von Kundenvertrauen und Klagen.
  • Klagen: Schwere Datenverletzungen setzt Kunden unter finanziellen Stress, wofür sie über Sammelklagen Kompensation einklagen können. Organisationen müssen dabei für ihre anwaltliche Vertretung und etwaige außergerichtliche Einigungen aufkommen.
  • Schaden für die Markenreputation: Wenn eine Organisation für schlechte Sicherheit bekannt ist, werden Kunden einen Wettbewerber bevorzugen. Der Schaden an der Markenreputation beeinträchtigt Kundenloyalität und -vertrauen.
  • Gewinneinbußen: Mit dem Verlust an Kunden an die Konkurrenz aufgrund eines Schadens für das Marken-Image verliert die Organisation Einkünfte und muss für Klagen finanziell aufkommen.

Best Practices für PCI-DSS-Compliance

Die meisten PCI-DSS-Best-Practices entsprechen einfach den Anforderungen, aber Organisationen können einige zusätzliche Richtlinien umsetzen, um ihre Sicherheit zu verbessern. Hier sind einige zusätzliche Praktiken, die Organisationen in Erwägung ziehen sollten:

  • Halten Sie die Software auf dem neuesten Stand: Entwickler veröffentlichen regelmäßig Updates, die Sicherheitslücken in ihrer Software schließen. Stellen Sie mit einem effektiven Patch Management sicher, dass ihre Anwendungen auf dem neuesten Stand sind, damit Ihre Infrastruktur nicht verwundbar wird.
  • Tokenisieren Sie Kreditkartendaten: Tokenisieren funktioniert ähnlich wie Verschlüsselung. Sie ersetzt sensible Daten mit nicht-sensiblen Daten, behält aber einige Elemente der ursprünglichen Daten bei, damit der Geschäftsbetrieb weiterlaufen kann.
  • Geben Sie jedem Nutzer und jeder Ressource eine ID: Administratoren geben Nutzern einzigartige Namen zur Identifizierung, aber jede Komponente, die auf Daten zugreift, sollte ebenfalls eine einzigartige ID besitzen, um Anfragen nachvollziehen zu können.
  • Schützen Sie Passwörter: Weisen Sie alle Nutzer an, ihre Passwörter sicher aufzubewahren. Passwort-Tresore bieten sich dafür an, weil sie schlechte Angewohnheiten beim Speichern von Passwörtern unterbinden.
  • Führen Sie Penetration Testing für Software und Netzwerkkonfigurationen durch: Dabei wendet ein Whitehat-Hacker in Hacker-Kreisen geläufige Methoden an, um Ihre Software auf Schwachstellen zu testen, damit die Organisation akute Probleme aufdecken und beheben kann.

Wie Proofpoint Sie unterstützen kann

Proofpoint hat mehrere Dienstleistungen und Produkte im Angebot, die Organisationen beim Einhalten von PCI-DSS helfen. Mit diesen Tools können Sie die Informations- und Datensicherheitsregeln in verschiedenen Branchen einfach erfüllen, wie etwa PCI, HIPAA und DSGVO. Sie können auch Ihre komplexen geschäftskritischen Dokumente schützen, wie geistiges Eigentum, rechtliche Dokumente und M&A-Vereinbarungen. Unsere Informationssicherheitswerkzeuge und -ressourcen wenden Sicherheitslösungen auf Kundendaten an, um sie vor Bedrohungen zu schützen.

Compliance ist wichtig für den Fortbestand Ihres Unternehmens, aber Compliance bedeutet nicht immer absolute Sicherheit. Organisationen müssen meist mehrere Gesetzesvorgaben erfüllen, und Proofpoint kann Ihnen dabei helfen, die perfekte Balance zwischen Compliance und Sicherheit zu finden.