PCI DSS Compliance – was steckt dahinter?

Betrachtet man den Bereich der Kreditkartenzahlungen im Internet, so ist es wichtig, über den Bereich der PCI DSS Compliance aufgeklärt zu sein. PCI DSS steht für einen Payment Card Industry Data Security Standard. Dieser Standard wurde vom PCI Security Standards Council entwickelt und beinhaltet den Hintergrund, effektiv gegen den Missbrauch von Kreditkartenzahlungen im Internet vorzugehen. PCI DSS ist für alle Unternehmen wichtig, welche Daten von Kartennutzern verarbeiten. Einen Nachweis der Compliance kann durch einen internen Sicherheitsgutachter (ISA), einen qualifizierten Sicherheitsgutachter (QSA) oder einen Selbstbewertungsfragebogen (SAQ) erfolgen. Ein Selbstbewertungsfragebogen ist allerdings nur für Unternehmen relevant, welche ausschließlich geringe Datenströme im Bereich der Kreditkarten verzeichnen können.

Für Unternehmen ist zu beachten, dass eine PCI DSS-Konformität als ein globaler Standard angesehen, aber rechtlich nicht vorgeschrieben wird. Fakt ist, dass alle Länder eine Reglementierung der Daten von Kreditkartenzahlungen vornehmen. Missachtet ein Unternehmen diesen weltweiten Standard, so kann dies zu hohen Geldstrafen führen und gleichzeitig einen Imageverlust bedeuten.

Warum sollten sich Unternehmen mit PCI DSS beschäftigen?

Unternehmen, die Kreditkartenzahlungen im Internet in ihr Business einbinden, müssen Maßnahmen ergreifen, um die erhaltenen Daten vor einem Angriff von Cyberkriminellen und einer einhergehenden betrügerischen Nutzung zu schützen. Verfolgt man die Medien, so haben Unternehmen, welche einen Cyberangriff auf Daten der Kreditkartennutzer verzeichnen konnten, einen potenziellen Verlust des Umsatzes, der Reputation, des Vertrauens und einen Kundenverlust zu verzeichnen.

Besonders bei kleinen Unternehmen kann oft eine Verletzung von Datenschutzbestimmungen verzeichnet werden. Als Grund kann genannt werden, dass diese Unternehmen anfälliger für Sicherheitsverletzungen sind, da weniger Sicherheitsmaßnahmen implementiert werden. Besonders für kleine Unternehmen kann eine Sicherheitsverletzung im Bereich der Kreditkarten, eine existenzielle Bedrohung darstellen und somit sollte eine unternehmerische Verantwortung erkannt werden und eine Absicherung der Daten gewährleistet sein.

Welche Maßnahmen sind zu ergreifen, um eine PCI DSS-Compliance zu erlangen?

Der Weg zu einer gewünschten PCI DSS-Compliance beinhaltet eine Grundvoraussetzung: Ein Unternehmen muss verstehen, wie die erhaltenen Daten organisiert, gespeichert, verarbeitet und erfasst werden. Die meisten Unternehmen bedienen sich hierbei einer Lösung, welche ganzheitlich gehostet wird. Die gewünschte Compliance wird in diesem Fall von einem Dienstleister oder Händler überprüft und mit dem gegebenen Standard verglichen. Betrachtet man die geltende IT Governance, so wird ein Unternehmen folgende Anforderungen vorfinden, die ein Händler oder ein Managed Service Provider (MSP) einzuhalten hat, wenn mit den sensiblen Daten von Karteninhabern gearbeitet wird:

• Grundlage ist ein sicheres und gepflegtes IT-Netzwerk
• Die Daten die Karteninhaber müssen in jedem Bereich geschützt werden
• Sicherheitslücken müssen durch Applikationen geschützt werden
• Eine zuverlässige Zugangskontrolle ist vorzuweisen
• Netzwerke müssen überprüft werden
• Penetrationstests sind durchzuführen
• Eine Richtlinie in Bezug auf die Informationssicherheit bereitstellen und pflegen

Die genannten Anforderungen werden im Standard in 12 einzelne Bedingungen unterteilt. Nur nach der Erfüllung der einzelnen Bedingungen wird einem Händler oder Managed Service Provider ein konformes Arbeiten bescheinigt.

• Die Daten der Karteninhaber werden durch die Installation und die Wartung einer Firewall-Konfiguration abgesichert.
• Das Unternehmen nutzt keine Standartwerte oder Standardeinstellungen der Lieferanten, welche sich auf Systempasswörter oder Sicherheitsparameter beziehen.
• Grundsätzlich sind die gespeicherten Daten und Informationen zu schützen. In diesem Prozess werden alle Richtlinien, Prozesse und organisatorische Methoden einbezogen. Es ist sicherzustellen, dass eine Entsorgung und Aufbewahrung der aktuellen Daten gewährleistet ist. Zu beachten ist, dass nicht alle Daten gespeichert werden dürfen. Insbesondere die Daten des Magnetstreifens, die Kartenprüfnummer und die persönliche Identifikationsnummer sind hier zu nennen. Alle weiteren Daten sollten einer Verschlüsselung unterliegen.
• Dem Bereich der Verschlüsselung unterliegen gleichzeitig die Daten von Kunden, welche in öffentlichen Netzwerken übermittelt werden. Als Beispiele können hier das Internet, eine Übertragung via Bluetooth, GPRS oder eine Satellitenkommunikation genannt werden.
• In jedem Unternehmen sollte die Verwendung einer Antivirensoftware und deren Aktualität einen Standard darstellen. Die Systeme müssen vor Malware geschützt werden und eine aktive Bekämpfung von Würmern, Trojanern und Viren muss gegeben sein.
• Die genutzte Software muss unternehmensweit auf dem neusten Stand sein. Grundsätzlich muss jedes angebotene Update genutzt werden, um einen weitgehenden Schutz vor Datenschutzverletzungen zu erlangen.
• Der Zugriff auf die erhaltenen Daten muss beschränkt werden. Aus diesem Grund sind Prozesse und Systeme so zu optimieren, dass stets ein Überblick gewährleistet ist, wer einen Datenzugang erhält und aus welchem Grund die Daten benötigt werden. Wird ein Datenzugang nicht benötigt, so sollte der Zugriff beschränkt werden.
• Um einen Datenzugriff zu kontrollieren, sollte jede Person mit einem Computerzugang eine eigene ID vorweisen können. Mit dieser ID können Berechtigungen erteilt werden, die eine ordnungsgemäße Autorisierung gewährleisten. Hierbei kann eine Zwei-Faktor-Authentifizierung, Tokens, Smartcards oder eine biometrische Erkennung genannt werden.
• Eine physische Sicherheitsverletzung muss ausgeschlossen werden. Somit muss der physische Zugang zu den erlangten Daten und Informationen überwacht und begrenzt werden. Besonders der Serverraum oder ein Rechenzentrum ist abzusichern und die ordnungsgemäße Vernichtung von Datenträgern ist sicherzustellen. Gleichzeitig muss eine Manipulation von Datenträgern ausgeschlossen werden.
• Alle Zugangsmöglichkeiten müssen intern protokolliert werden, um ein eventuelles Risiko in Bezug auf die Einhaltung des Datenschutzes zu erkennen. Die Protokolle sollten Aktionen der User protokollieren. Hierbei sind der Zugang zu Daten, Anmeldeversuche, Änderungen der Authentifizierung, Objektlöschungen und das Ändern von Berechtigungen aufzuführen. Eine Überprüfung der Protokolle minimiert das Risiko einer Datenschutzverletzung.
• Alle Sicherheitssysteme und Sicherheitsprozesse sollten regelmäßig durch einen Penetrationstest überprüft werden. Besonders Scans von Schwachstellen, die Netzwerk-Topologie und die Firewall sind jährlich in den Fokus zu rücken.
• Grundsätzlich ist eine Richtlinie aufzusetzen, welche sich mit dem Thema der Informationssicherheit für Mitarbeiter und Auftragnehmer auseinandersetzt. Zweimal jährlich sind Risikobewertungen durchzuführen, welche eventuelle Schwachstellen und Bedrohungen beinhalten. Mit diesen Informationen ist es möglich, einen Incident Response Plan aufzustellen. Gleichzeitig müssen Mitarbeiterschulungen durchgeführt werden und die Kommunikation bezüglich neuer Sicherheitsprotokolle muss sichergestellt sein.

‍Da eine PCI DSS-Konformität ein globaler Standard ist - auch wenn sie rechtlich nicht vorgeschrieben wird, solltet ihr euch bestenfalls mit dem Thema auseinandersetzen, wenn ihr Kreditkartenzahlungen im Internet bei euch einbindet. Wir hoffen, dass unsere Zusammenfassung hilfreich für euch war!

‍