Der Payment Card Industry Data Security Standard (PCI DSS)
Überblick
Was ist der PCI DSS?
Anforderungen für PCI DSS-Compliance
Woraus bestehen Daten von Kreditkarteninhabern?
Konsequenzen bei fehlender PCI DSS-Konformität
Durchführung eines PCI DSS-Audits
Kostensenkungen durch automatisierte PCI DSS-Kontrollen
Was ist der Payment Card Industry Data Security Standard (PCI DSS)? Sicherheitsstandard mit verpflichtenden Best Practice-Richtlinien zum
Schutz der Daten von Kredit- und Debitkarten
Ins Leben gerufen von den weltweit größten Kreditkarten-unternehmen, u. a. VISA und MasterCard
Bindend für sämtliche Unternehmen, die im Zahlungsverkehr mit Kreditkartendaten arbeiten
Gilt für Kreditkartenkäufe im Einzelhandel und E-Commerce sowie per Post und Telefon
Vereint als weltweiter einheitlicher Sicherheitsstandard zuvor getrennte Sicherheitsvorgaben der Kartenunternehmen
Warum ein Standard wie der PCI DSS?
Seit über 20 Jahren ein Problem: Diebstahl und Missbrauch von Kreditkartendaten; stetige Zunahme VISA gründet erstes Schutzprogramm (CISP)
Aktueller Fall von Datenabfluss aufgrund unzureichender Schutzmaßnahmen: Netzwerk-Sicherheitslücke beim US-Einzelhändler TJX – mindestens 45,6 Mio. gestohlene Kredit- und Debitkartennummern
Aktueller Schwarzmarktpreis für gestohlene Kreditkartendaten (Kartennummer mit PIN): US-$ 490,– (Quelle: InformationWeek)
PCI Data Security Standard 1.1 (1/3)
Das PCI DSS-Regelwerk zum Datenschutz umfasst12 Sicherheitsanforderungen, gruppierbar in:
> Erfassung und Speicherung aller Daten aus Ereignisprotokollen als Vorbereitung für Sicherheitsanalysen
> Berichterstellung zu allen sicherheitsrelevanten Aktivitäten, um PCI DSS-Compliance bei Audits vor Ort nachweisen zu können
> Kontinuierliche Überwachung von Datenzugriff und -verwendung und sofortige Administratorwarnung bei Sicherheitsverstößen
PCI Data Security Standard 1.1 (2/3)
PCI DSS-Kategorien
6 Zielkategorien des PCI DSS-Regelwerks
Einrichtung und Betrieb eines geschützten Netzwerks
Schutz der Karteninhaberdaten
Einrichtung eines Schwachstellen-Management-Systems
Durchsetzung einer Richtlinie zur Informationssicherheit
Regelmäßige Überwachung und Überprüfung des Netzwerks
Umsetzung effektiver Richtlinien zur Zugriffskontrolle
PCI Data Security Standard 1.1 (3/3)
PCI DSS-Anforderungen
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
Einrichtung und Betrieb einer Firewall zum Schutz der Daten von Kreditkarteninhabern
Änderung der von Herstellern vorgegebenen Standardpasswörter und Sicherheitseinstellungen
Schutz der gespeicherten Daten von Kreditkarteninhabern
Verschlüsselte Übertragung der Daten von Kreditkarteninhabern in öffentlichen Netzwerken
Einsatz und regelmäßige Aktualisierung von Virenschutzlösungen
Entwicklung und Betrieb sicherer Systeme und Anwendungen
Einschränkung des Zugriffs auf Kartendaten nach Grundsatz „Kenntnis, nur wenn nötig“
Zuweisung einer eindeutigen Benutzer-ID an Personen mit Zugang zum Computersystem
Einschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern
Protokollierung und Überwachung aller Zugriffe auf Netzwerkressourcen und Karteninhaberdaten
Regelmäßige Überprüfung von Sicherheitssystemen und -abläufen
Unternehmensrichtlinie mit Vorgaben zur Informationssicherheit für Mitarbeiter & Vertragspartner
Alle im Rahmen einer Transaktion genutzten Daten einer Kredit-/Debitkarte.
- pcianswers.com Bestandteile der Karteninhaberdaten
> Primary Account Number (PAN)> Name des Karteninhabers> Ablaufdatum der Karte
Sensitive Authentication Data (SAD)> Daten des Magnetstreifens> Card Validation Code (CVC)> Personal Identification Number (PIN)
Was sind Karteninhaberdaten?
1234
123
Speicherung von Karteninhaberdaten
PCI DSS sorgt für den Schutz von Karteninhaberdaten
Folgende Daten dürfen gespeichert werden, solange sie verschlüsselt, gehashed oder trunkiert werden:
> PAN, Karteninhabername, Ablaufdatum der Karte, Service-Code
Internet
$ 0.00
Merchant
Customerpurchase
Payment Gateway
1234 5678 9012 3456
DATE: 01/01John Doe
Credit Card
CreditCard
Merchant’s Bank
Credit Card Interchange
Händler leitet Transaktion an Zahlungs-Gateway
weiter
Ž Zahlungs-Gateway leitet Transaktion über
gesicherte Verbindung an Händlerbank weiter
Ž
Wie funktioniert eine Transaktion?
Œ
Œ Kunde nutzt die Kreditkarte zur Bezahlung von
Waren beim Händler
Händlerbank überprüft Bonität („Credit Card
Interchange“) zur Freigabe der Transaktion
Wer ist an den PCI DSS gebunden?
Der PCI DSS ist ab 30. September 2007 für alle Unternehmen – ungeachtet ihrer Größe – verbindlich, die im Zahlungsverkehr mit Kreditkartendaten arbeiten
Der PCI DSS gilt für alle Beteiligten, die Karteninhaberdaten> speichern> übermitteln> verarbeiten
Alle als Händler oder Dienstleister definierten Transaktionsteilnehmer
Händler
Akzeptanzpartner, die Kreditkarten als Zahlungsmittel annehmen
Beispiele für unterschiedliche Branchen:> Online-Händler> Einzelhändler> Bildungseinrichtungen> Einrichtungen aus dem Gesundheitswesen> Hotel- und Gaststättengewerbe und Freizeitbranche> Energieversorger> Finanz- und Versicherungsunternehmen
Compliance-Kategorien für Händler
HÄNDLERKATEGORIEN
Kategorie 1
Händler, deren verwaltete Kreditkartendaten kompromittiert wurden
Händler mit jährlich mehr als 6 Mio. Kreditkartentransaktionen
Kategorie 2
Händler mit 1 bis 6 Mio. Kreditkartentransaktionen/Jahr
Kategorie 3
Händler mit 20.000 bis 1 Mio. Kreditkartentransaktionen/Jahr
Kategorie 4
Alle anderen Händler
Dienstleister
Organisationen, die Kartendaten im Auftrag von Händlern verarbeiten
Beispiele für Dienstleister:> Zahlungs-Gateways (z. B. PayPal)> Zahlungsprozessoren> Host-Provider im E-Commerce> Managed-Service-Provider> Auskunfteien> Backup-Management-Unternehmen> Datenvernichter
Compliance-Kategorien für Dienstleister
DIENSTLEISTERKATEGORIEN
Kategorie 1
Alle Zahlungsprozessoren und Zahlungs-Gateways
Kategorie 2
Jeder nicht zur Kategorie 1 zählende Dienstleister mit jährlich mehr als1 Mio. Kreditkartenabrechnungen/-transaktionen
Kategorie 3
Jeder nicht zur Kategorie 1 zählende Dienstleister mit jährlich weniger als1 Mio. Kreditkartenabrechnungen/-transaktionen
Händler Sicherheits-Audit vor Ort
Beantwortung eines PCI-Fragebogens
Netzwerk-Scan
Kategorie 1 jährlich erforderlich ¼-jährlich erforderlich
Kategorie 2 jährlich erforderlich ¼-jährlich erforderlich
Kategorie 3 jährlich erforderlich ¼-jährlich erforderlich
Kategorie 4 jährlich erforderlich ¼-jährlich erforderlich
Dienstleister
Kategorie 1 jährlich erforderlich ¼-jährlich erforderlich
Kategorie 2 jährlich erforderlich ¼-jährlich erforderlich
Kategorie 3 jährlich erforderlich ¼-jährlich erforderlich
Durchführung durch:
Qualified Security Assessor (QSA)
In-House Approved Scan Vendor (ASV)
Nachweis: Report on Compliance (ROC)
Beantworteter PCI-Fragebogen
Scan-Bericht
Maßnahmen zur Kontrolle der PCI DSS-Compliance
Kompromittierung von Karteninhaberdaten
„Kompromittierung: Eindringung in ein Computersystem mit mutmaßlich unbefugter Veröffentlichung, Änderung oder Vernichtung von Karteninhaberdaten.“
- PCI DSS Glossary Notfall-Plan (Incident Response Plan)
> Anforderung 12.9
Warum eine Kompromittierung melden?> Schadensbegrenzung
Vorfallsübermittlung an:> Internes Interventionsteam (Incident Response Team)> Verbund der Kreditkartenunternehmen und Händlerbanken> Lokale Strafverfolger
Wer setzt sich dem Risiko einer Kompromittierung aus?
Folgen der Datenkompromittierung
Wirtschaftlicher Schaden> Strafzahlungen in mittlerer sechsstelliger Höhe sind möglich; weitere
Rechtskosten drohen
Image-Schaden> Schädigung des Markennamens/Unternehmensansehens> Strafverfolgung
Operativer Schaden> Kompromittierung führt zur Rückstufung in Compliance-Kategorie 1> Datenverarbeitung/Kartenakzeptanz kann untersagt werden
Vorbereitung auf den PCI DSS
Einarbeitung in die PCI DSS-Sicherheitsanforderungen
Ermittlung aller relevanten Karteninhaberdaten und Entfernung nicht benötigter Daten
Sorgfältige Überprüfung der IT-Infrastruktur auf Sicherheitslücken
Einrichtung eines Aktionsplans und ggf. Beauftragung externer Datenschutzexperten
Kosten der PCI DSS-Compliance
Händler Sicherheits-Audit vor Ort
Beantwortung eines PCI-Fragebogens
Netzwerk-Scan
Kategorie 1 jährlich erforderlich ¼-jährlich erforderlich
Kategorie 2 jährlich erforderlich ¼-jährlich erforderlich
Kategorie 3 jährlich erforderlich ¼-jährlich erforderlich
Kategorie 4 jährlich erforderlich ¼-jährlich erforderlich
Dienstleister
Kategorie 1 jährlich erforderlich ¼-jährlich erforderlich
Kategorie 2 jährlich erforderlich ¼-jährlich erforderlich
Kategorie 3 jährlich erforderlich ¼-jährlich erforderlich
Durchführung durch:
Qualified Security Assessor (QSA)
In-House Approved Scan Vendor (ASV)
Nachweis: Report on Compliance (ROC)
Beantworteter PCI-Fragebogen
Scan-Bericht
Herausforderungen
Betrieb sicherer Systeme und Anwendungen> Netzwerk-Audits> Schwachstellen-Scans> Patch-/Service Pack-Bereitstellung
Überwachung des Netzwerks> Protokollierung von Benutzeraktivitäten> Protokollierung des Zugriffs auf Karten-
inhaberdaten> Warnungen bei wichtigen Ereignissen
Bereitstellung belegbarer Daten> Betrieb sicherer Systeme> Überwachung von Aktivitäten> Einleitung von Gegenmaßnahmen
Automatisierung von Sicherheitskontrollen
Mehr Effizienz bei sich wiederholenden Aufgaben
Netzwerk-Audits
Schwachstellen-Management
Überwachung von Aktivitäten
Echtzeit-Warnungen
Einleitung von Gegenmaßnahmen
Berichterstellung
Der PCI DSS und Netzwerksicherheitslösungen von GFI
PCI DSS-Anforderungen
1.
2.
3.
4. Verschlüsselte Übertragung der Karteninhaberdaten in öffentl. Netzwerken
5. Einsatz und regelmäßige Aktualisierung von Virenschutzlösungen
6. Entwicklung und Betrieb sicherer Systeme und Anwendungen
7. Zugriffsbeschränkung für Kartendaten nach „Kenntnis, nur wenn nötig“
8.
9. Einschränkung des physikalischen Zugriffs auf Karteninhaberdaten
10.
11. Regelmäßige Überprüfung von Sicherheitssystemen und -abläufen
12.Unternehmensrichtlinie mit Vorgaben zur Informationssicherheit für Mitarbeiter und Vertragspartner
Einrichtung & Betrieb einer Firewall zum Schutz der Karteninhaberdaten
Änderung v. Herstellern vorgegebener Standardpasswörter/Sicherheitseinstellungen
Schutz der Daten von Kreditkarteninhabern
Eindeutige Benutzer-ID für Personen mit Zugang zum Computersystem
GFI
EventsManager
Protokollierung & Überwachung aller Zugriffe a. Netzwerkressourcen & Kartendaten
GFI
LANguard N.S.S.
ROI und Geschäftsvorteile
Automatisierung> Verringerung wiederkehrender manueller Aufgaben> Minderung der Arbeitsbelastung von Administratoren> Einleitung proaktiver Gegenmaßnahmen
Schutz> Erweiterung der unternehmensinternen Sicherheitsrichtlinie> Benachrichtigung bei potenziellen Sicherheitsbedrohungen
Kosteneinsparungen> Keine Geldbußen durch PCI DSS-Verstöße> Keine weiteren Zusatzkosten durch externe Sicherheitsberater> Business-Continuity
Zusammenfassung
Unternehmen, die Kreditkartendaten speichern, übermitteln oder verarbeiten, müssen sich vor Datenverlust und -diebstahl absichern
Einhaltung des PCI DSS vermeidet Geldbußen, rechtliche Konsequenzen und öffentlichen Image-Schaden
Umsetzung des PCI DSS muss bis zum 30. September 2007 erfolgen
GFI-Lösungsangebot zur Umsetzung und Einhaltung des PCI DSS:GFI EventsManager und GFI LANguard Network Security Scanner (N.S.S.)
Unternehmensinformationen
Gründung: 1992
Über 200 Mitarbeiter weltweit
Niederlassungen: Malta, London, Raleigh, Hongkong und Adelaide
Lösungen in über 200.000 Netzwerken weltweit installiert (v. a. bei KMU)
Produktvertrieb über mehr als 10.000 Channel-Partner weltweit
GFI Vision-StatementErste Wahl bei Technologie-lösungen für IT-Sicherheit und Produktivität zu werden.
GFI Mission-StatementUnterstützung von IT-Profis weltweit – mit hochwertigen, kosteneffizienten Inhalts-sicherheits-, Netzwerk-sicherheits- und Messaging-Lösungen.
Top Related