Was ist
PCI DSS
?
Wer muss PCI DSS einhalten?
Das Ziel des PCI Data Security Standards (PCI DSS) ist es, Karteninhaberdaten (CHD) und sensible Authentifizierungsdaten (SAD) zu schützen, wo immer sie verarbeitet, gespeichert oder übertragen werden. Alle Organisationen, die Karteninhaberdaten speichern, verarbeiten oder übertragen, müssen die Zahlungssicherheit gewährleisten.
Die PCI-Sicherheitsstandards beinhalten technische und betriebliche Anforderungen für:
- Organisationen, die Zahlungsvorgänge akzeptieren oder verarbeiten
- Softwareentwickler und Hersteller von Anwendungen und Geräten, die bei diesen Transaktionen verwendet werden
PCI 3.2.1, das im Mai 2018 veröffentlicht wurde, ist die aktuelle Version, an die sich die betroffenen Organisationen halten müssen.
Die Überprüfung der Einhaltung der Vorschriften erfolgt jährlich oder vierteljährlich nach einer Methode, die der Bezeichnung des Unternehmens auf Händlerebene entspricht, die vom jährlichen Volumen der abgewickelten Kreditkartentransaktionen abhängt.
Zusammenfassung der PCI-Händlerstufen sowie der Prüf- und Berichtspflichten
Die folgende Tabelle bietet einen Überblick über die PCI-Händlerstufen, die gängigen Zahlungsarchitekturen, die typischerweise auf jeder Ebene verwendet werden, und die entsprechenden PCI-Audit- und Berichtspflichten. Hinweis: Bei den Benchmarks auf Händlerebene gibt es zwischen den Kreditkartenunternehmen einige subtile Unterschiede. Daher wird den Lesern empfohlen, sich mit ihren PCI-Beratungs- und QSA-Partnern in Verbindung zu setzen, um eine genaue Einschätzung der für ihr Unternehmen geltenden Anforderungen zu erhalten.
12 Anforderungen für PCI DSS
PCI DSS 3.2.1 umfasst 6 Ziele, 12 Anforderungen, 78 Basisanforderungen und über 400 Testverfahren. In der folgenden Tabelle sind die PCI DSS-Ziele und die damit verbundenen Anforderungen zusammengefasst. Einzelheiten zu den Unteranforderungen und den Tests finden sich in der PCI DSS-Referenzhandbuch.
Mögliche Risiken aufgrund von PCI-Verstößen
PCI DSS gibt es seit mehr als 12 Jahren, aber viele Unternehmen sehen sich bei Audits weiterhin mit kritischen negativen Ergebnissen konfrontiert. Eine Handvoll Unternehmen berichten zudem weiterhin von einer Datenschutzverletzung, auch nachdem sie vor Kurzem ein PCI-Audit bestanden hatten. Die wichtigste Erkenntnis dabei ist, dass Compliance nicht unbedingt bedeutet, dass die Daten und Anwendungen sicher sind. Die Einhaltung von Vorschriften sollte als Grundlage betrachtet werden. Unternehmen sollten sich auch darauf konzentrieren, Bedrohungsvektoren zu identifizieren und abzuwehren, die nicht unbedingt von den Richtlinien abgedeckt werden Compliance-Mandate.
Dies sind die häufigsten PCI-Konformität Herausforderungen:
- Sie müssen den Umfang und die Kosten von PCI-Audits verwalten. Der PCI-Sicherheitsrat veröffentlichte eine Leitfaden für Scoping und Netzwerksegmentierung. Das Dokument bietet einen Rahmen, der den betroffenen Unternehmen dabei hilft, die CDE-Komponenten (Cardholder Data Environment), die PCI-verbundenen Systeme und die PCI-Sicherheit beeinträchtigenden Systeme sowie die Komponenten zu identifizieren, die nicht in den Geltungsbereich fallen. Leider ist die Umsetzung des Rahmenkonzepts für Umfang und Segmentierung für viele Unternehmen aufgrund der zunehmend dynamischen und komplexen Natur der Rechenzentrumsumgebungen und Zahlungsarchitekturen eine Herausforderung. Die Verwendung statischer Point-in-Time-Daten und Netzwerkflussdiagramme zur Befüllung und Verwaltung des PCI-Komponentenbestands in Kombination mit inkonsistenten Verfahren zur Verwaltung von IT-Änderungen und Firewall-Änderungen führt zu Fehlern bei der Festlegung des Umfangs und der Segmentierung, was wiederum zu Fehlschlägen bei der PCI-Bewertung und höheren Prüfungskosten führt.
- Unfähigkeit, die Einhaltung der PCI-Sicherheitsvorschriften und die Segmentierung kontinuierlich aufrechtzuerhalten. Gemäß den PCI-Sicherheitsstandards müssen Unternehmen ihre PCI-Segmentierung kontinuierlich aufrechterhalten und sicherstellen, dass sie die PCI-Anforderungen und Basisanforderungen kontinuierlich erfüllen. Dynamische und komplexe Rechenzentrums- und Zahlungsarchitekturen in Kombination mit Fehlausrichtungen der Sicherheitsprozesse und des IT-Betriebs führen zu Sicherheits- und Kontrolllücken. Aufgrund von IT-Praktiken vermischen sich PCI-Komponenten häufig mit Nicht-PCI-Komponenten innerhalb derselben Zone, VLAN oder Subnetz, und das ohne zusätzliche Kontrollen, um den Datenverkehr zum CDE einzuschränken. In einigen Fällen führt die Trennung zwischen IT-Änderungsmanagement, Ressourcenbereitstellung und Firewall-Änderungsmanagement zu einer falschen Bestandsaufnahme der PCI-internen Systeme und zu falsch konfigurierten Firewallregeln. Schlechte Prozesse für das Schwachstellenmanagement und das Patch-Management hindern ein Unternehmen zudem daran, seine PCI-Sicherheitsstandards kontinuierlich aufrechtzuerhalten. Verizon-Zahlungssicherheitsbericht bietet einen detaillierten Überblick über die Trends zur Zahlungssicherheit und die kritischen Sicherheitsherausforderungen, mit denen Unternehmen weiterhin konfrontiert sind. Verizon veröffentlicht diesen Bericht seit 2010 jährlich. Im Bericht 2020 kommen die Autoren zu dem Schluss, dass die folgenden PCI-Anforderungen die schlimmsten Kontrolllücken aufweisen:
- Anforderung 11. Testen Sie Sicherheitssysteme und -prozesse
- Anforderung 5. Vor bösartiger Software schützen
- Anforderung 10. Verfolgen und überwachen Sie den Zugriff
- Anforderung 12. Verwaltung der Sicherheit
- Anforderung 8. Zugriff authentifizieren
- Anforderung 1. Installieren und verwalten Sie eine Firewall-Konfiguration
- Flache Netzwerke haben. Überraschenderweise verfügen viele Unternehmen auch heute noch über flache Netzwerke, da diese einfach zu konstruieren sowie einfach zu bedienen und zu warten sind. Ein flaches Netzwerk bedeutet jedoch, dass alles in der Umgebung (einschließlich Komponenten ohne PCI-Anschluss und ohne CDE) dem PCI-Anwendungsbereich entspricht, was zu höheren PCI-Auditkosten führt. Ein flaches Netzwerk bedeutet auch, dass ein böswilliger Akteur, der in der Lage ist, einen einzelnen Host erfolgreich zu kompromittieren, das Netzwerk problemlos durchqueren und auf die Zahlungsanwendungen und die Karteninhaberdatenbank zugreifen kann.
- Der Übergang zum Betriebsmodell für Telearbeit muss gesichert werden. Bei der Umstellung auf ein Modell, das ausschließlich aus der Ferne arbeitet, müssen Unternehmen abwägen, wie sich diese Änderungen auf den Umfang ihrer PCI-Umgebung auswirken und welche zusätzlichen Kontrollen sie implementieren müssen, um den legitimen Datenverkehr zum CDE zu kontrollieren. Dazu gehören beispielsweise die Sicherung des legitimen Fernzugriffs autorisierter Administratoren auf Zahlungsanwendungen von den Laptops ihrer Mitarbeiter aus, die Sicherstellung von Kundensupport und Abrechnung aus der Ferne sowie die kontaktlose Sicherung autorisierter Verbindungen zwischen kontaktlosen Kiosken mit Internetanschluss und den Rechenzentrumsanwendungen.
Was sind die allgemeinen Herausforderungen bei der Implementierung des PCI-Datensicherheitsstandards?
Einblicke in die Workloads, Benutzer, Geräte sowie deren Verbindungen und Abläufe in Echtzeit sind wichtig für:
- Es wird sichergestellt, dass der Umfang der PCI-Umgebung aktuell und korrekt ist, was wiederum bedeutet, dass Segmentierungs- und Firewallregeln korrekt angewendet werden.
- Bereitstellung wertvoller Informationen für die vorgeschriebenen vierteljährlichen internen Schwachstellenscans und Nutzung dieser Informationen, um die potenziellen lateralen Angriffspfade im Zusammenhang mit Sicherheitslücken abzubilden.
- Kontinuierliche Überwachung der PCI-Umgebung auf Änderungen bei Workloads, Geräten, Benutzern, Verbindungen und fehlgeschlagenen Verbindungsversuchen, die auf einen potenziellen Angriff hinweisen könnten.
- Identifizierung von Veränderungen der Angriffsfläche und der Bedrohungsvektoren, die nicht unbedingt von den PCI-Compliance-Anforderungen abgedeckt werden.
Die Bedeutung von Sichtbarkeit in Echtzeit für eine effektive PCI-DSS-Compliance
- Die Sichtbarkeit in Echtzeit trägt dazu bei, die Genauigkeit des PCI-Bereichs sicherzustellen, indem kontinuierlich alle Verbindungen der CDE-, PCI-verbundenen und PCI-Sicherheitsschädigenden Systeme überwacht werden, die alle in den PCI-Anwendungsbereich fallen. Ein Unternehmen kann dann eine hostbasierte Mikrosegmentierung anwenden, um die geltenden Firewallregeln durchzusetzen und den eingehenden und ausgehenden Datenverkehr in die PCI-Umgebung nur auf diejenigen zu beschränken, die „erlaubt“ oder „legitim“ sind. (Anforderung 1)
- Die kontinuierliche Aufrechterhaltung einer effektiven und genauen Segmentierung der PCI-Umgebung trägt zur Kontrolle der PCI-Auditkosten bei.
- Durch die Eliminierung falsch konfigurierter und veralteter Firewall-Regeln wird das Risiko einer potenziellen Datenschutzverletzung für ein versichertes Unternehmen verringert.
- Nutzen Sie die Integration mit IT-Automatisierungstools (wie Chef, Puppet und Ansible, Terraform), um sicherzustellen, dass Segmentierungsrichtlinien gleichzeitig mit der Bereitstellung von Workload-Ressourcen und der Freigabe an die Produktionsumgebung bereitgestellt werden.
- Die Sichtbarkeit in Echtzeit hilft dem Unternehmen, die Änderungen des PCI-Umfangs einzuschätzen, wenn ein Unternehmen zur Telearbeit übergeht. Es hilft dem Unternehmen, kritische Kontrolllücken und potenzielle Angriffsvektoren zu identifizieren. Unternehmen können dann eine hostbasierte Mikrosegmentierung anwenden, um Peer-to-Peer-Verbindungen von Geräten zu Hause zu den Laptops des Remote-Benutzers einzuschränken und die Verbindungen zwischen Benutzern und Rechenzentrumsanwendungen zu kontrollieren.
- Kontrollieren Sie Verbindungen zwischen autorisierten PCI-Workloads, Benutzern und Geräten, die über mehrere VLANs, Zonen und Subnetze verteilt sind, und halten Sie mit Änderungen des IT-Betriebs Schritt, ohne die Netzwerkumgebung neu zu gestalten.
- In Cloud-nativen Umgebungen und Greenfield-Umgebungen können Unternehmen die Integration mit Container-Orchestrierungsplattformen nutzen, um bereits bei der Entstehung einer Arbeitslast „Segmentierungsrichtlinien“ bereitzustellen.
- Zusätzlich zur direkten Erfüllung der PCI-Compliance-Anforderungen kann ein Unternehmen Mikrosegmentierung anwenden, um seine Angriffsfläche zu reduzieren, laterale Bewegungen zu behindern und die schnelle Ausbreitung von Ransomware.
Verwenden Sie hostbasierte Mikrosegmentierung, um Ihre PCI-Compliance- und Cybersicherheitsprobleme zu bewältigen
- Die Sichtbarkeit in Echtzeit trägt dazu bei, die Genauigkeit des PCI-Bereichs sicherzustellen, indem kontinuierlich alle Verbindungen der CDE-, PCI-verbundenen und PCI-Sicherheitsschädigenden Systeme überwacht werden, die alle in den PCI-Anwendungsbereich fallen. Eine Organisation kann sich dann hostbasiert bewerben Mikrosegmentierung um die geltenden Firewallregeln durchzusetzen, um eingehenden und ausgehenden Verkehr in die PCI-Umgebung nur auf diejenigen zu beschränken, die „erlaubt“ oder „legitim“ sind. (Anforderung 1)
- Die kontinuierliche Aufrechterhaltung einer effektiven und genauen Segmentierung der PCI-Umgebung trägt zur Kontrolle der PCI-Auditkosten bei.
- Durch die Eliminierung falsch konfigurierter und veralteter Firewall-Regeln wird das Risiko einer potenziellen Datenschutzverletzung für ein versichertes Unternehmen verringert.
- Nutzen Sie die Integration mit IT-Automatisierungstools (wie Chef, Puppet und Ansible, Terraform), um sicherzustellen, dass Segmentierungsrichtlinien gleichzeitig mit der Bereitstellung von Workload-Ressourcen und der Freigabe an die Produktionsumgebung bereitgestellt werden.
- Die Sichtbarkeit in Echtzeit hilft dem Unternehmen, die Änderungen des PCI-Umfangs einzuschätzen, wenn ein Unternehmen zur Telearbeit übergeht. Es hilft dem Unternehmen, kritische Kontrolllücken und potenzielle Angriffsvektoren zu identifizieren. Unternehmen können dann eine hostbasierte Mikrosegmentierung anwenden, um Peer-to-Peer-Verbindungen von Geräten zu Hause zu den Laptops des Remote-Benutzers einzuschränken und die Verbindungen zwischen Benutzern und Rechenzentrumsanwendungen zu kontrollieren.
- Kontrollieren Sie Verbindungen zwischen autorisierten PCI-Workloads, Benutzern und Geräten, die über mehrere VLANs, Zonen und Subnetze verteilt sind, und halten Sie mit Änderungen des IT-Betriebs Schritt, ohne die Netzwerkumgebung neu zu gestalten.
- In Cloud-nativen Umgebungen und Greenfield-Umgebungen können Unternehmen die Integration mit Container-Orchestrierungsplattformen nutzen, um bereits bei der Entstehung einer Arbeitslast „Segmentierungsrichtlinien“ bereitzustellen.
- Zusätzlich zur direkten Erfüllung der PCI-Compliance-Anforderungen kann ein Unternehmen Mikrosegmentierung anwenden, um seine Angriffsfläche zu reduzieren, laterale Bewegungen zu behindern und die schnelle Ausbreitung von Ransomware.
Erfahre mehr
Beginnen Sie jetzt damit, Maßnahmen zu ergreifen, um PCI-konform zu werden und Ihre Kunden und Ihr Unternehmen zu schützen.
In unserem Whitepaper „Drei Schritte zur effektiven Segmentierung Ihrer PCI-Compliance“ erfahren Sie mehr darüber, wie Mikrosegmentierung dazu beitragen kann, Ihren PCI-DSS-Umfang zu reduzieren und die Einhaltung der Vorschriften zu erreichen.