PCI DSS

Wer muss PCI DSS einhalten?

Ziel des PCI Data Security Standard (PCI DSS) ist es, Karteninhaberdaten (CHD) und sensible Authentifizierungsdaten (SAD) überall dort zu schützen, wo sie verarbeitet, gespeichert oder übertragen werden. Die Aufrechterhaltung der Zahlungssicherheit ist für alle Organisationen erforderlich, die Karteninhaberdaten speichern, verarbeiten oder übertragen.

Die PCI-Sicherheitsstandards umfassen technische und betriebliche Anforderungen für:

• Organisationen, die Zahlungsvorgänge akzeptieren oder verarbeiten
• Softwareentwickler und Hersteller von Anwendungen und Geräten, die bei diesen Transaktionen verwendet werden

PCI 3.2.1, die im Mai 2018 veröffentlicht wurde, ist die aktuelle Version, an die sich betroffene Organisationen halten müssen.

Die Validierung der Compliance erfolgt jährlich oder vierteljährlich mit einer Methode, die der Händlerebene des Unternehmens entspricht, die eine Funktion des jährlichen Volumens der abgewickelten Kreditkartentransaktionen ist.

Zusammenfassung der PCI-Händlerstufen und der Audit- und Reporting-Anforderungen

Die folgende Tabelle bietet einen Überblick über die PCI-Händlerstufen, die gängigen Zahlungsarchitekturen, die typischerweise auf jeder Ebene verwendet werden, und die entsprechenden PCI-Audit- und Reporting-Anforderungen. Hinweis: Es gibt einige subtile Unterschiede in den Benchmarks auf Händlerebene zwischen den Kreditkartenunternehmen, daher wird den Lesern empfohlen, sich mit ihren PCI-Beratungs- und QSA-Partnern in Verbindung zu setzen, um eine genaue Einschätzung der Anforderungen zu erhalten, die für ihr Unternehmen gelten. 

12 Voraussetzungen für PCI DSS

PCI DSS 3.2.1 umfasst 6 Ziele, 12 Anforderungen, 78 Basisanforderungen und über 400 Testverfahren. Die folgende Tabelle fasst die Ziele des PCI DSS und die damit verbundenen Anforderungen zusammen. Für nähere Informationen zu den Unteranforderungen und Tests sollten Leser den PCI DSS-Referenzleitfaden konsultieren.

Potenzielle Risiken durch PCI-Nichteinhaltung

PCI DSS gibt es schon seit über 12 Jahren, aber viele Organisationen sehen sich bei Audits weiterhin mit kritischen negativen Feststellungen konfrontiert. Einige Organisationen berichten weiterhin von Datenpannen, obwohl sie erst kürzlich ein PCI-Audit bestanden haben. Die wichtigste Erkenntnis hierbei ist, dass die Einhaltung von Vorschriften nicht zwangsläufig bedeutet, dass die Daten und Anwendungen sicher sind. Die Einhaltung von Vorschriften sollte als Grundlage betrachtet werden; Organisationen sollten sich aber auch darauf konzentrieren, Bedrohungsvektoren zu identifizieren und zu mindern, die nicht unbedingt von ihren Compliance-Vorgaben abgedeckt werden.

Dies sind die häufigsten Herausforderungen bei der PCI-Konformität :

1. Es ist notwendig, den Umfang und die Kosten von PCI-Audits zu steuern. Der PCI Security Council hat einen Leitfaden für die Abgrenzung und Netzwerksegmentierung veröffentlicht. Das Dokument bietet einen Rahmen, der den betroffenen Organisationen hilft, die CDE-Komponenten (Karteninhaberdatenumgebung), PCI-verbundene und PCI-sicherheitsrelevante Systeme sowie nicht in den Geltungsbereich fallende Komponenten zu identifizieren. Leider stellt die Umsetzung des Rahmens für die Abgrenzung und Segmentierung für viele Organisationen eine Herausforderung dar, da die Rechenzentrumsumgebungen und Zahlungsarchitekturen zunehmend dynamischer und komplexer werden. Die Verwendung statischer, punktueller Daten und Netzwerkflussdiagramme zur Erfassung und Pflege des PCI-Komponenteninventars in Verbindung mit uneinheitlichen IT-Änderungs- und Firewall-Änderungsmanagementpraktiken führt zu Fehlern bei der Abgrenzung und Segmentierung, was wiederum zu Fehlern bei der PCI-Bewertung und höheren Auditkosten führt.
2. Die Unfähigkeit, die PCI-Sicherheitskonformität und den Segmentierungsstatus kontinuierlich aufrechtzuerhalten. Die PCI-Sicherheitsstandards verpflichten Organisationen dazu, ihren PCI-Segmentierungsstatus kontinuierlich aufrechtzuerhalten und sicherzustellen, dass sie die PCI-Anforderungen und Basisanforderungen fortlaufend erfüllen. Dynamische und komplexe Rechenzentrums- und Zahlungsarchitekturen in Verbindung mit mangelnder Abstimmung zwischen Sicherheitsprozessen und IT-Betrieb führen zu Sicherheits- und Kontrolllücken. Aufgrund gängiger IT-Praktiken kommt es häufig vor, dass PCI-Komponenten innerhalb derselben Zone, desselben VLANs oder Subnetzes mit Nicht-PCI-Komponenten vermischt werden, und zwar ohne zusätzliche Kontrollmechanismen, um den Datenverkehr zum CDE einzuschränken. In einigen Fällen führt die mangelnde Abstimmung zwischen IT-Änderungsmanagement, Ressourcenbereitstellung und Firewall-Änderungsmanagement zu einer falschen Erfassung der betroffenen PCI-Systeme und zu falsch konfigurierten Firewall-Regeln. Mangelhaftes Schwachstellen- und Patch-Management verhindern zudem, dass ein Unternehmen seinen PCI-Sicherheitsstatus kontinuierlich aufrechterhalten kann . Der Verizon Payment Security Report bietet einen detaillierten Überblick über die Trends im Bereich der Zahlungssicherheit und die kritischen Sicherheitsherausforderungen, mit denen Unternehmen weiterhin konfrontiert sind. Verizon veröffentlicht diesen Bericht seit 2010 jährlich. Im Bericht von 2020 kommen die Autoren zu dem Schluss, dass die folgenden PCI-Anforderungen die größten Kontrolllücken aufweisen:
3. Req. 11. Testen Sie Sicherheitssysteme und -prozesse
4. Req. 5. Schutz vor bösartiger Software
5. Req. 10. Verfolgen und Überwachen des Zugriffs
6. Zu Frage 12. Sicherheitsmanagement
7. Zu Frage 8. Authentifizieren des Zugriffs
8. Zu Frage 1. Installieren und Verwalten einer Firewallkonfiguration
9. Flache Netzwerke. Überraschenderweise haben viele Unternehmen auch heute noch flache Netzwerke, da diese einfach zu entwerfen und leicht zu bedienen und zu warten sind. Ein flaches Netzwerk bedeutet jedoch, dass alles in der Umgebung (einschließlich nicht PCI-verbundener und nicht CDE-fähiger Komponenten) in den PCI-Geltungsbereich fällt, was zu höheren PCI-Audit-Kosten führt. Ein flaches Netzwerk bedeutet auch, dass ein böswilliger Akteur, wenn er in der Lage ist, einen einzelnen Host erfolgreich zu kompromittieren, das Netzwerk leicht durchqueren und auf die Zahlungsanwendungen und die Karteninhaberdatenbank zugreifen kann.
10. Sie müssen den Übergang zum Betriebsmodell für die Remote-Arbeit sicherstellen. Wenn Unternehmen auf ein vollständig remote arbeitendes Betriebsmodell umstellen, müssen sie bewerten, wie sich diese Änderungen auf den Umfang ihrer PCI-Umgebung auswirken und welche zusätzlichen Kontrollen sie implementieren müssen, um den legitimen Datenverkehr zum CDE zu kontrollieren. Beispiele hierfür sind die Sicherung des legitimen Fernzugriffs autorisierter Administratoren auf Zahlungsanwendungen von Mitarbeiter-Laptops aus, die Sicherung des Kundensupports und der Abrechnung aus der Ferne sowie die kontaktlose Sicherung autorisierter Verbindungen zwischen kontaktlosen Kiosken mit Internetzugriff und den Anwendungen des Rechenzentrums.

Was sind die häufigsten Herausforderungen bei der Implementierung des PCI Data Security Standards?

Echtzeit-Transparenz der Workloads, Benutzer, Geräte und deren Verbindungen und Abläufe ist wichtig für:

• Sicherstellen, dass der Umfang der PCI-Umgebung aktuell und genau ist, was wiederum bedeutet, dass Segmentierungs- und Firewall-Regeln korrekt angewendet werden.
• Bereitstellung wertvoller Beiträge zu den vorgeschriebenen vierteljährlichen internen Schwachstellenscans und Verwendung dieser Informationen, um die potenziellen lateralen Angriffspfade im Zusammenhang mit Schwachstellen abzubilden.
• Kontinuierliche Überwachung der PCI-Umgebung auf Änderungen bei Workloads, Geräten, Benutzern, Verbindungen und fehlgeschlagenen Verbindungsversuchen, die Indikatoren für einen potenziellen Angriff sein könnten.
• Identifizierung von Änderungen in der Angriffsfläche und den Bedrohungsvektoren, die nicht unbedingt durch die PCI-Compliance-Anforderungen abgedeckt sind.

Die Bedeutung von Echtzeit-Transparenz für eine effektive PCI DSS-Compliance

• Die Echtzeittransparenz trägt dazu bei, die Genauigkeit des PCI-Geltungsbereichs sicherzustellen, indem alle Verbindungen der CDE-, PCI-verbundenen und PCI-sicherheitsrelevanten Systeme, die alle in den PCI-Geltungsbereich fallen, kontinuierlich überwacht werden. Ein Unternehmen kann dann eine hostbasierte Mikrosegmentierung anwenden, um die geltenden Firewall-Regeln durchzusetzen und den ein- und ausgehenden Datenverkehr in die PCI-Umgebung nur auf diejenigen zu beschränken, die "erlaubt" oder "legitim" sind. (Anforderung 1)
• Die kontinuierliche Aufrechterhaltung einer effektiven und genauen Segmentierung der PCI-Umgebung trägt zur Kontrolle der PCI-Auditkosten bei.
• Durch die Eliminierung falsch konfigurierter und veralteter Firewall-Regeln wird die Anfälligkeit eines betroffenen Unternehmens für eine potenzielle Datenschutzverletzung verringert.
• Profitieren Sie von der Integration mit IT-Automatisierungstools (wie Chef, Puppet und Ansible, Terraform), um sicherzustellen, dass Segmentierungsrichtlinien gleichzeitig mit der Bereitstellung von Workload-Ressourcen und der Freigabe für die Produktionsumgebung bereitgestellt werden.
• Echtzeit-Transparenz hilft dem Unternehmen, die Änderungen am PCI-Bereich zu bewerten, wenn ein Unternehmen auf Remote-Arbeit umstellt. Es hilft dem Unternehmen, kritische Kontrolllücken und potenzielle Angriffsvektoren zu identifizieren. Unternehmen können dann eine hostbasierte Mikrosegmentierung anwenden, um Peer-to-Peer-Verbindungen von Heimgeräten zu den Laptops des Remote-Benutzers einzuschränken und die Verbindungen zwischen Benutzer und Rechenzentrumsanwendung zu steuern.
• Kontrollieren Sie Verbindungen zwischen autorisierten PCI-Workloads, Benutzern und Geräten, die über mehrere VLANs, Zonen und Subnetze verstreut sind, und halten Sie mit Änderungen des IT-Betriebs Schritt, ohne die Architektur der Netzwerkumgebung neu zu gestalten.
• In Cloud-nativen und Greenfield-Umgebungen können Unternehmen die Integration mit Container-Orchestrierungsplattformen nutzen, um "Segmentierungsrichtlinien" zu Beginn eines Workloads bereitzustellen.
• Zusätzlich zur direkten Erfüllung der PCI-Compliance-Anforderungen kann eine Organisation durch Mikrosegmentierung ihre Angriffsfläche verringern, die laterale Ausbreitung behindern und die schnelle Verbreitung von Ransomware eindämmen.

Verwendung von hostbasierter Mikrosegmentierung zur Bewältigung Ihrer Herausforderungen in den Bereichen PCI-Compliance und Cybersicherheit

• Die Echtzeit-Transparenz trägt zur Genauigkeit des PCI-Geltungsbereichs bei, indem alle Verbindungen der CDE, der PCI-verbundenen Systeme und der PCI-sicherheitsrelevanten Systeme, die alle unter den PCI-Geltungsbereich fallen, kontinuierlich überwacht werden. Eine Organisation kann dann eine hostbasierte Mikrosegmentierung anwenden, um die entsprechenden Firewall-Regeln durchzusetzen und den ein- und ausgehenden Datenverkehr in der PCI-Umgebung auf diejenigen zu beschränken, die „erlaubt“ oder „legitim“ sind. (Anforderung 1)
• Die kontinuierliche Aufrechterhaltung einer effektiven und genauen Segmentierung der PCI-Umgebung trägt zur Kontrolle der PCI-Auditkosten bei.
• Durch die Eliminierung falsch konfigurierter und veralteter Firewall-Regeln wird die Anfälligkeit eines betroffenen Unternehmens für eine potenzielle Datenschutzverletzung verringert.
• Profitieren Sie von der Integration mit IT-Automatisierungstools (wie Chef, Puppet und Ansible, Terraform), um sicherzustellen, dass Segmentierungsrichtlinien gleichzeitig mit der Bereitstellung von Workload-Ressourcen und der Freigabe für die Produktionsumgebung bereitgestellt werden.
• Echtzeit-Transparenz hilft dem Unternehmen, die Änderungen am PCI-Bereich zu bewerten, wenn ein Unternehmen auf Remote-Arbeit umstellt. Es hilft dem Unternehmen, kritische Kontrolllücken und potenzielle Angriffsvektoren zu identifizieren. Unternehmen können dann eine hostbasierte Mikrosegmentierung anwenden, um Peer-to-Peer-Verbindungen von Heimgeräten zu den Laptops des Remote-Benutzers einzuschränken und die Verbindungen zwischen Benutzer und Rechenzentrumsanwendung zu steuern.
• Kontrollieren Sie Verbindungen zwischen autorisierten PCI-Workloads, Benutzern und Geräten, die über mehrere VLANs, Zonen und Subnetze verstreut sind, und halten Sie mit Änderungen des IT-Betriebs Schritt, ohne die Architektur der Netzwerkumgebung neu zu gestalten.
• In Cloud-nativen und Greenfield-Umgebungen können Unternehmen die Integration mit Container-Orchestrierungsplattformen nutzen, um "Segmentierungsrichtlinien" zu Beginn eines Workloads bereitzustellen.
• Zusätzlich zur direkten Erfüllung der PCI-Compliance-Anforderungen kann eine Organisation durch Mikrosegmentierung ihre Angriffsfläche verringern, die laterale Ausbreitung behindern und die schnelle Verbreitung von Ransomware eindämmen.

Mehr erfahren

Beginnen Sie jetzt mit der Umsetzung von Schritten, um PCI-konform zu werden und Ihre Kunden und Ihr Unternehmen zu schützen.

Erfahren Sie mehr darüber, wie Mikrosegmentierung dazu beitragen kann, Ihren PCI-DSS-Umfang zu reduzieren und Compliance zu erreichen, in unserem Whitepaper "Drei Schritte zur effektiven Segmentierung Ihrer PCI-Compliance".