Die Grundlagen der PCI-Konformität: Was Sie wissen müssen

Kreditkarteninformationen sind für Cyberkriminelle der wertvollste Datentyp, da diese Datensätze auf dem Schwarzmarkt Millionen von Dollar wert sind.

Heutzutage verarbeiten Unternehmen jeder Größe Kredit- und Debitkartendaten ihrer Kunden und empfangen Kreditkartenzahlungen. Jedes Unternehmen, das Finanzdaten verarbeitet, speichert und überträgt, ist gefährdet und sieht sich einem hohen Cyberangriffsrisiko ausgesetzt.

Aus diesen Gründen haben große Kreditkartenunternehmen den PCI-Standard entwickelt, um Sicherheitsrichtlinien für Unternehmen zum Schutz der Finanzdaten ihrer Kunden bereitzustellen. In diesem Artikel untersuchen wir die Grundlagen der PCI-Konformität.

Beginnen wir mit einer weiteren Erläuterung der PCI DSS-Konformität.        

Was ist PCI DSS-Konformität?

Der Payment Card Industry Data Security Standard (PCI DSS) ist ein technischer und betrieblicher Satz von Sicherheitsspezifikationen zum Schutz der Daten von Kreditkarteninhabern.

Die PCI-Konformität wurde von großen Kreditkartenunternehmen wie Visa, Mastercard, American Express, Discover Financial Services und JCB Express ins Leben gerufen. PCI zielt darauf ab, einen internationalen Rahmen für die Sicherung der Finanzdaten von Kunden zu schaffen.

Alle Unternehmen, die Daten erfassen, speichern und übertragen, unterliegen der PCI DSS-Konformität und sind verpflichtet, Sicherheitsrichtlinien und -anforderungen einzuhalten. 

PCI DSS hat vier Compliance-Level (1,2,3,4). Die PCI-Konformitätsstufen von Unternehmen werden anhand des Transaktionsvolumens eines Jahres bestimmt. Unternehmen der Stufe 4 verarbeiten weniger als 20,000 Transaktionen pro Jahr.

Stufe 3 gilt für Händler, die jährlich zwischen 20,000 und einer Million Transaktionen abwickeln. Stufe 1 gilt für Unternehmen, die jährlich zwischen einer und sechs Millionen Transaktionen abwickeln. Unternehmen, die jährlich mehr als sechs Transaktionen abwickeln, fallen unter Stufe 2.

Die PCI-Anforderungen werden strenger, wenn die Stufe von 4 auf 1 ansteigt. Unabhängig von der Compliance-Stufe sind jedoch alle Unternehmen verpflichtet, alle PCI-Anforderungen bis zu einem gewissen Grad zu erfüllen.   

Der Rahmen für die sichere Handhabung von Karteninhaberdaten wird durch die PCI-Konformität in sechs Kategorien festgelegt. Die PCI-Anforderungskategorien umfassen den Schutz von Karteninhaberdaten, einen Schwachstellenmanagementplan, Netzwerküberwachung, sicheres Netzwerk- und Systemmanagement, Zugriffskontrollbeschränkungen und Informationssicherheitsrichtlinien.

Der Inhalt dieser Kategorien stellt insgesamt zwölf Anforderungsschritte dar. Die PCI-Anforderungen gewährleisten die Sicherheit im Umgang mit Karteninhaberdaten. Hier ist eine Checkliste zur PCI-Konformität.

PCI-Anforderungen 

1- Installieren und warten Sie eine Firewall zum Schutz der Karteninhaberdaten

Da Firewalls der wichtigste Verteidigungsmechanismus des Netzwerks sind, ist die ordnungsgemäße Konfiguration und Wartung einer Firewall entscheidend für die Sicherheit der Karteninhaberdaten. Firewalls sind hochwirksame Tools zum Schutz sensibler Daten vor Cyber-Bedrohungen, da sie den Netzwerkverkehr einschränken und unbefugten Zugriff blockieren. Daher ist die Einrichtung einer Firewall die erste Voraussetzung.  

2. Sorgen Sie für einen angemessenen Passwortschutz

Die meisten Netzwerkdienste, Point-of-Sale-Systeme (POS) und Produkte von Drittanbietern sind mit Standardeinstellungen konfiguriert.

Cyberkriminelle können leicht auf Netzwerke und vertrauliche Daten zugreifen, wenn Unternehmen diese Werkseinstellungen nicht neu konfigurieren, da Standardkennwörter und -benutzernamen allgemein bekannt sind.

Neben der Änderung der Kennworteinstellungen müssen Unternehmen regelmäßig die Kennwörter aller Geräte und Software ändern, für die ein Kennwort erforderlich ist.

3. Schützen Sie gespeicherte Karteninhaberdaten 

Alle gespeicherten Karteninhaberdaten müssen verschlüsselt sein. Händler müssen den Schutz dieser sensiblen Daten durch kryptografische Schlüssel und Algorithmen sicherstellen und regelmäßige Scans durchführen. 

4. Verschlüsseln Sie die übertragenen Daten der Karteninhaber

Die Sicherheit der Karteninhaberdaten ist die wichtigste Voraussetzung für die PCI-Konformität. Händler müssen daher die Übertragung von Karteninhaberdaten über öffentliche Netzwerke verschlüsseln und sichern.

5. Verwenden Sie eine Antivirensoftware

Antivirensoftware ist für den Datenschutz vor Malware unerlässlich. Unternehmen müssen daher ihre Antivirensoftware auf allen Geräten regelmäßig aktualisieren, um Malware zu erkennen und zu beseitigen. 

6. Software- und Systemwartung 

Alle Software und Systeme sollten regelmäßig aktualisiert werden, um Sicherheitslücken zu schließen. Beachten Sie, dass einige Software wie Datenbanken, Antivirensoftware und Firewalls häufigere Updates erfordern. 

7. Datenzugriff einschränken

Nur autorisiertes Personal sollte bei Bedarf Zugriff auf die Daten des Karteninhabers erhalten. Dritte und Mitarbeiter sollten keinen Zugriff auf vertrauliche Informationen haben.

8. Eindeutige Identifikation für den Benutzerzugriff

Jeder autorisierte Benutzer, der Zugriff auf Karteninhaberdaten hat, muss über einen eindeutigen Benutzernamen und ein Passwort verfügen. Die Benutzerzugangsdaten gewährleisten die Verantwortlichkeit und verkürzen die Reaktionszeit. 

9. Beschränken Sie den physischen Zugang 

Der physische Zugriff muss ebenso eingeschränkt werden wie der digitale Zugriff, um sensible Daten zu schützen. Unternehmen müssen die Daten von Karteninhabern an einem physisch sicheren Ort speichern und strenge Kontrollen und Autorisierungen durchsetzen.

10- Verfolgen und überwachen Sie den Netzwerkzugriff

Sämtliche Netzwerkzugriffe und der gesamte Datenverkehr müssen hinsichtlich Karteninhaberdaten und primärer Kontonummern verfolgt und überwacht werden. Zugriffsprotokolle mit Karteninhaberdaten müssen geführt und kontinuierlich überprüft werden. 

11- Regelmäßige Bewertung der Sicherheitssysteme

Regelmäßige Sicherheitssystembewertungen und Penetrationstests sollten durchgeführt werden, um Sicherheitslücken zu identifizieren und zu beheben. Dieses Verfahren stellt sicher, dass der aktuelle Status der Sicherheitssysteme ermittelt und entsprechend verbessert wird. 

12- Pflegen Sie eine Cybersicherheitsrichtlinie

Alle PCI-Anforderungen müssen in einer Cybersicherheitsrichtlinie berücksichtigt und dokumentiert werden. Durch die Einhaltung einer Cybersicherheitsrichtlinie können Unternehmen die Compliance und die Sicherheit ihrer Netzwerke gewährleisten.

Folgen der Nichteinhaltung des PCI DSS

Die Nichteinhaltung des PCI DSS kann hohe Bußgelder und Strafen nach sich ziehen. Je nach Schwere und Dauer der Verstöße können die PCI-Behörden Bußgelder zwischen 5000 und 100,000 Dollar im Monat.

Die Bußgelder können monatlich steigen, je länger der Verstoß andauert. Außerdem können Unternehmen nach Datenschutzverletzungen dazu verpflichtet werden, alle Kosten für die Neuausstellung und Behebung zu tragen.

Darüber hinaus kann die Nichteinhaltung der PCI-Vorschriften zusätzliche Strafen wie höhere Transaktionsgebühren und den vorübergehenden oder dauerhaften Verlust von Kreditkartenanbietern nach sich ziehen. Die Einhaltung der PCI-Anforderungen ist unerlässlich, um Strafen zu vermeiden und die vertraulichen Finanzdaten der Kunden zu schützen.    

Letzte Worte

Die Finanzdaten der Kunden müssen jederzeit vor Cyberangriffen geschützt sein.

Durch die Einhaltung des Payment Card Industry Data Security Standard (PCI DSS) können Unternehmen ihre verarbeiteten, gespeicherten und übertragenen Finanzdatensätze schützen.

In einer Zeit, in der Cyberrisiken sowie Bußgelder und Strafen für die Einhaltung der Vorschriften so hoch sind, sollte jedes PCI-pflichtige Unternehmen seine Anforderungen erfüllen und PCI-konform werden.