Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

AUTOMATE IT 2017
28.09.17 - 28.09.17
In Darmstadt

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

3. Esslinger Forum: Das Internet der Dinge
17.10.17 - 17.10.17
In Esslingen

Transformation World
19.10.17 - 20.10.17
In Heidelberg

KreditkartePCI DSS steht für Payment Card Industry Data Security Standard und wurde vom PCI Security Standards Council entwickelt um Betrügereien bei Kreditkartenzahlungen im Internet einzudämmen. Alle Firmen, die Daten von Karteninhabern verarbeiten, müssen PCI DSS genügen.

Die Compliance-Validierung erfolgt über einen qualifizierten Sicherheitsgutachter (Qualified Security Assessor (QSA)), einen internen Sicherheitsgutachter (Internal Security Assessor (ISA)) oder einen Selbstbewertungsfragebogen (Self-Assessment Questionnaire (SAQ)). Letzteres gilt für Unternehmen, die Daten dieser Art nur in geringen Mengen verarbeiten. Die PCI DSS-Konformität ist ein globaler Standard. Er ist zwar nicht gesetzlich vorgeschrieben, aber alle Länder habe eine mehr oder weniger ähnliche Reglementierung bezüglich der Daten von Karteninhabern. Sind Unternehmen mit dem Standard nicht konform, führt das meistens zu saftigen Geldstrafen.

Warum ist PCI DSS wichtig?

PCI DSS zu erfüllen heißt, dass Sie geeignete Maßnahmen ergreifen, um die betreffenden Daten vor Cyber-Diebstahl und betrügerischer Nutzung zu schützen. Das zu tun oder nicht zu tun hat Auswirkungen auf Ihr Unternehmen selbst und vor allem auf Ihre Kunden. Die Folgen eines erfolgreichen Cyber-Angriffs sind weitreichend wie beispielsweise der potenzielle Verlust von Umsatz, Kunden, Reputation und Vertrauen.

Datenschutzverletzungen kommen regelmäßig auch bei kleineren Unternehmen vor, weil sie bei Sicherheitsmaßnahmen weniger gut ausgestattet sind. Beispielsweise fand eine Umfrage zu Verletzungen der Informationssicherheit 2015 (Information Security Breaches Survey 2015) heraus, dass 74 % dieser Unternehmen im letzten Jahr eine Sicherheitsverletzung gemeldet haben. Vor diesem Hintergrund ist es wichtiger denn je, Verantwortung für diese Kundendaten zu übernehmen und sicherzustellen, dass sie ausreichend geschützt sind.

Was muss ich tun, um PCI DSS-konform zu werden?

Unternehmen, die PCI DSS-konform werden wollen, müssen zunächst verstehen, wie Zahlungsdaten erfasst, gespeichert und organisiert werden. Viele Firmen nutzen dazu eine vollständig gehostete Lösung. Die Compliance wird von Händler oder Dienstleister durch eine Überprüfung der betreffenden Umgebung am Standard gemessen. Innerhalb der IT Governance ist das wie folgt definiert: "Der Standard fordert von Händlern und Managed Service Providern (MSP's), die mit der Speicherung, Verarbeitung oder Übermittlung von Karteninhaberdaten befasst sind, dass sie:

  • ein sicheres IT-Netzwerk aufbauen und pflegen
  • Karteninhaberdaten schützen
  • ein Programm zur Handhabung von Sicherheitslücken implementieren
  • starke Maßnahmen bei der Zugangskontrolle verwenden
  • Netzwerke regelmäßig überwachen und testen
  • eine Richtlinie zur Informationssicherheit pflegen.”

Die einzelnen Anforderungen werden weiterhin unterteilt in 12 Bedingungen, die jeder Händler oder MSP erfüllen muss, um konform zu sein.

1. Installation und Pflege einer Firewall-Konfiguration, die Karteninhaberdaten schützt.

2. Keine von Lieferanten bereitgestellten Standardwerte/Standardeinstellungen für Systempasswörter und andere Sicherheitsparameter verwenden.

3. Gespeicherte Karteninhaberdaten schützen.
Einbezogen werden zusätzlich Richtlinien, Methoden und Prozesse zur Aufbewahrung und Entsorgung von Daten, um sicherzustellen, dass sie aktuell und akkurat sind. Einige Daten sollten nie gespeichert werden, wie z.B. der Inhalt des Magnetstreifens, die Kartenprüfnummer oder die persönliche Identifikationsnummer. Zusätzlich sollte verschlüsselt werden.

4. Übertragung der Karteninhaberdaten in offenen, öffentlichen Netzwerken verschlüsseln.
Beispiele hierfür sind das Internet, drahtlose Technologien wie Bluetooth, GPRS und Satellitenkommunikation.

5. Antivirensoftware oder -programme verwenden und regelmäßig aktualisieren.
Systeme müssen vor Malware geschützt und Antivirenprogramme regelmäßig aktualisiert werden, um Viren, Würmer und Trojaner abzuwehren. Dazu sollten Antivirentools implementiert, gepflegt und ausgeführt werden, wenn es notwendig ist.

6. Sichere Systeme und Anwendungen entwickeln und pflegen.
Nach Updates suchen um Software immer auf dem neuesten Stand zu halten. Nur dann ist ein Unternehmen vor aktuellen Datenschutzverletzungen weitgehend geschützt.

7. Den Zugang zu Karteninhaberdaten nach geschäftlichen Erfordernissen einschränken.
Um diese Anforderungen zu gewährleisten benötigt man sowohl Systeme als auch Prozesse: WER hat Zugang zu diesen Daten und WARUM braucht er den Zugang. Nur die Personen sollten einen Zugang bekommen, die die Daten benötigen, um ihre Arbeit tun zu können.

8. Jeder Person mit Computerzugang eine eindeutige ID zuweisen.
Das bedeutet sicherzustellen, dass Sie immer wissen, wer Zugang zu was hat. So sorgen Sie dafür, dass nur Personen mit der entsprechenden Berechtigung auf bestimmte Systeme und Komponenten zugreifen können. Eine Möglichkeit, eine ordnungsgemäße Autorisierung zu gewährleisten, ist die Zwei-Faktor-Authentifizierung bei der beispielsweise Smartcards, Token oder Biometrie verwendet werden, um den Sicherheitslevel zu erhöhen.

9. Physischen Zugang zu Karteninhaberdaten beschränken.
Ein Datenverlust ist auch durch physische Sicherheitsverletzungen möglich. Daher sollte man sorgfältig darauf achten, dass der physische Zugang zu den betreffenden Datensätzen eingeschränkt und überwacht wird. Der Zutritt zu Serverräumen und Rechenzentren sollte begrenzt, Medien vernichtet und Datenträger vor Manipulation geschützt und überwacht werden.

10. Den Zugang zu Netzwerkressourcen und Karteninhaberdaten protokollieren und überwachen.
Nur wenn man alle Zugangsmöglichkeiten protokolliert, erkennt man Risiken für Datenschutzverletzungen und kann sie minimieren. Dabei helfen sichere und kontrollierte Audit Trails, um alle Aktionen einzelner Benutzer zu protokollieren, wie z.B. den Zugang zu Daten, Berechtigungen, ungültige Anmeldeversuche und Änderungen an Authentifizierungsmechanismen, wie das Löschen von Objekten. Diese Protokolle sollte man regelmäßig überprüfen.

11. Sicherheitssysteme und -prozesse regelmäßig überprüfen.
Penetrationstests sind ein wichtiges Tool des IT-Sicherheits-Teams und sollten regelmäßig jährlich sowie nach allen wesentlichen Änderungen am Netzwerk durchgeführt werden. Dazu gehören Schwachstellen-Scans, Netzwerk-Topologie und Pflege der Firewall.

12. Eine Richtlinie pflegen, die sich mit der Informationssicherheit für Mitarbeiter und Auftragnehmer befasst.
Sie sollte zweimal jährlich überprüft und aktualisiert werden. Dabei sollte man eine Risikobewertung durchführen, um Bedrohungen oder Schwachstellen zu identifizieren und einen Incident Response Plan aufstellen. Dazu kommen laufende Schulungen der Mitarbeiter, um neue Sicherheitsprotokolle zeitnah zu kommunizieren. 

Was heißt das konkret für mein Unternehmen?

Unternehmen, die PCI DSS-konform werden wollen, sollten dieser Checkliste von Tripwire folgen. Das PCI Security Standards Council bietet ebenfalls eine sehr umfangreiche Ressourcen-Bibliothek.

Die Bedingungen der PCI DSS Compliance entsprechen den generellen Best Practices zur Cyber-Sicherheit. Wenn Sie noch nicht ausreichend mit der im Mai 2018 in Kraft tretenden EU-Datenschutz-Grundverordnung vertraut sind sollten Sie wissen, dass sie zahlreiche dieser Best Practice-Richtlinien enthält. Unabhängig von der Größe Ihres Unternehmens sollten Sie Netzwerk und Infrastruktur so umfassend wie möglich schützen, um konform zu sein. Und vor allem sollten Sie das digitale Vermögen Ihres Unternehmens sichern, ihre Daten.

Public Key Infrastructure (PKI) ist eine gute Möglichkeit, Daten zu verwalten und zu kontrollieren. Mit einer PKI weisen Sie allen internen Systemen und Komponenten des Unternehmens, die miteinander kommunizieren, eine Identität oder ein digitales Zertifikat zu. Diese Zertifikate werden verwendet um Benutzer, Computer und Geräte zu identifizieren und zu authentifizieren. Dadurch erhalten Sie eine bessere Zugangskontrolle oder einen berechtigungsbasierten Zugang, können Kommunikation und Datenübertragung verschlüsseln und die Integrität der übertragenen Daten sicherstellen.

www.globalsign.com
 

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet