12-stufige PCI-DSS-Compliance-Checkliste
DerZahlungskartenindustrie und DatensicherheitsstandardsoderPCI DSShat strenge Standards für Unternehmen, die Kreditkartenzahlungen von Kunden akzeptieren. Die PCI-Konformität ist besonders wichtig, um das Vertrauen der Verbraucher zu wahren und Zahlungen von Kreditkartenanbietern zu akzeptieren.
Wie die meisten Regulierungsrichtlinien wurde auch das PCI DSS mit der Absicht entworfen, Verbraucher online zu schützen und sicherzustellen, dass Online-Dienstanbieter und E-Commerce-Unternehmen sensible Daten angemessen schützen.
Wir gehen im Folgenden ausführlich auf die einzelnen Schritte ein. Wenn Sie jedoch nur Zeit für einen kurzen Überblick haben, finden Sie diese hierunsere 12-stufige PCI-DSS-Compliance-Checkliste:
- Installieren und warten Sie eine Firewall zum Schutz der Kundendaten
- Verwenden Sie keine vom Anbieter bereitgestellten Standardkennwörter
- Schützen Sie gespeicherte Karteninhaberdaten
- Verschlüsseln Sie die gesamte Übertragung von Karteninhaberdaten
- Verwenden und aktualisieren Sie Antivirensoftware (regelmäßig!)
- Entwickeln und pflegen Sie sichere Systeme und Anwendungen
- Beschränken Sie den Zugriff auf Karteninhaberdaten
- Verfolgen und überwachen Sie den Benutzerzugriff
- Beschränken Sie den physischen Zugriff auf Karteninhaberdaten
- Verfolgen und überwachen Sie den Zugriff auf Karteninhaberdaten
- Testen Sie Sicherheitssysteme und -prozesse
- Behalten Sie eine Richtlinie bei, die sich mit der Informationssicherheit befasst
Was ist PCI DSS?
PCI DSS ist eine Reihe von Standards, die von Kreditkartenanbietern erstellt wurdenVisa,American Express,MasterCard, UndEntdeckendass staatliche Unternehmen befolgen müssen, um Kreditkartentransaktionen online anzubieten. Die Vorschriften beschreiben die Prozesse und Schutzmaßnahmen, die Unternehmen zum Schutz ihrer Kunden implementieren müssen. Die Standards werden vom PCI Security Standards Council oder PCI SSC festgelegt.
Was passiert, wenn ich mich nicht daran halte?
Als Industriestandards sind die PCI-Vorschriften nicht rechtsverbindlich. Doch gerade weil die PCI kein Gesetz ist, drohen bei Sicherheitsverstößen immer noch erhebliche Konsequenzen. Unternehmen können bei Nichteinhaltung durch Banken Bußgelder und Strafen erhalten. Im Wesentlichen bestrafen Kartenanbieter die Bank des Händlers, wenn dieser sich nicht daran hält, und die Bank wird dann versuchen, die Gebühren an das säumige Unternehmen weiterzugeben.
Die Kosten für die Nichteinhaltung können jeden Monat zwischen 5.000 und 100.000 US-Dollar betragen, bis die Unzulänglichkeiten behoben sind. Bei dauerhafter Nichteinhaltung kann es sein, dass die Kartenannahme entzogen wird.
12-Stufen-Plan für PCI-Konformität
Um sicherzustellen, dass Sie den PCI DSS einhalten, müssen Sie 12 allgemeine Anforderungen erfüllen.
1. Installieren und warten Sie eine Firewall zum Schutz der Kundendaten
Eines der ersten Dinge, die Sie tun müssen, wenn Sie auf die PCI-Konformität hinarbeiten, ist:Installieren Sie eine zuverlässige Firewallzum Schutz der Karteninhaberdaten. Eine Firewall wird verwendet, um den ein- und ausgehenden Netzwerkverkehr zu verwalten und böswillige Akteure daran zu hindern, mit dem Netzwerk zu interagieren. Die Art des vom Router akzeptierten Datenverkehrs wird durch eine Liste von Regeln gesteuert.
Es ist wichtig zu beachten, dass Sie alle Firewall-Richtlinien und -Verfahren dokumentieren müssen. Sie müssen außerdem regelmäßig überprüfen (alle sechs Monate).Firewall-Konfigurationenum sicherzustellen, dass es keine Schwachstellen gibt.
Um der Wartungspflicht nachzukommen, sollten Sie aktiv vorgehenTesten Sie Ihre Abwehrkräfte mit PenetrationstestsUndFühren Sie regelmäßige Schwachstellenscans durchum sicherzustellen, dass Ihr Setup keine auffälligen Löcher aufweist. Dies kommt nicht nur Ihrer PCI-Konformität zugute, sondern dient auch dem Schutz Ihres gesamten Netzwerks.
Verwandte Lektüre: Netzwerk-Firewall-Software
2. Verwenden Sie keine vom Anbieter bereitgestellten Standardkennwörter
Das PCI DSS besagt, dass Sie dies tun müssenSchützen Sie Geräte mit eindeutigen Passwörternund nicht diejenigen, die vom Anbieter zugewiesen wurden. Die offiziellen Anforderungen besagen, dass das Passwort vorhanden sein mussmindestens sieben Zeichenmit einer Mischung aus Zahlen und Buchstaben seinunterscheidet sich von früheren Passwörtern, Undalle 90 Tage aktualisiert werden.
Auch die Richtlinien, was passiert, wenn ein Benutzer nicht auf das Konto zugreifen kann, sind sehr streng. Wenn Benutzer bei sechs Versuchen kein gültiges Passwort verwenden, sollten sie gesperrt werden. Sobald das Konto gesperrt ist, wird esmuss mindestens 30 Minuten gesperrt bleiben. Im Allgemeinen sollten Sie ein Passwort mit einer Mischung aus Symbolen, Groß- und Kleinbuchstaben und Zahlen wählen, um den besten Schutz zu bieten und den aktuellen Best Practices zu entsprechen.
Weiterführende Lektüre: Netzwerk-Passwort-Manager
3. Schützen Sie gespeicherte Karteninhaberdaten
Die Anweisungen zum Schutz gespeicherter Karteninhaberdaten sind komplex, gelten jedoch nur für Unternehmen, die Karteninhaberdaten speichern. Unter PCI-Standards sollten SieSpeichern Sie Karteninhaberdaten nur, wenn sie kritisch sindum die Bedürfnisse des Unternehmens zu erfüllen. Wenn Sie einen guten Grund haben, Kreditkartendaten zu speichern, müssen Sie Maßnahmen ergreifen, um zu verhindern, dass diese Daten in die Hände von Betrügern und Unbefugten gelangen.
Zu den Sicherheitsmaßnahmen, die Sie zum Schutz der Karteninhaberdaten implementieren sollten, gehören Passwortrichtlinien, Authentifizierungsprotokolle und die Kontrolle des Zugriffs auf Ressourcen wie Server oder Lagerschränke.
4. Verschlüsseln Sie die gesamte Übertragung von Karteninhaberdaten
Karteninhaberdaten müssen geschützt werden, unabhängig davon, ob sie gespeichert oder übertragen werden. Jedes Unternehmen, das Kundendaten über ein offenes Netzwerk sendet, muss diese verschlüsseln, damit sie nicht von Betrügern und Unbefugten gelesen werden können. Unter dem PCI DSS kann ein offenes Netzwerk seinInternet,drahtlose TechnologieneinschließlichBluetooth und 802.11,Globales System für mobile Kommunikation,Allgemeiner Paketfunkdienst, UndSatellitenkommunikation.
Zum Schutz der Daten während der Übertragung können Sie verwendenIEEE 802.11iUndWPA2. Sie können WEP jedoch nicht als Sicherheitsmaßnahme verwenden. Auch hier müssen Sie die Sicherheitsrichtlinien und -verfahren dokumentieren, die Sie zum Schutz der Karteninhaberdaten bei der Übertragung eingerichtet haben.
5. Verwenden und aktualisieren Sie Antivirensoftware (regelmäßig!)
Um zu verhindern, dass Ihre Geräte gefährdet werden, erwartet die PCI, dass Sie Antivirensoftware verwenden.Installieren eines Antivirensystemsauf Ihren Geräten ist ohnehin eine bewährte Methode, da sie dazu beiträgt, zu verhindern, dass bösartige Software wie Viren und Malware Ihre Daten beschädigt.
Jedes System, das mit Malware infiziert werden kann, sollte durch ein Antivirenprodukt geschützt werden. Sobald Sie ein Antivirensystem installiert haben, sind Sie dabeiist für die Aktualisierung verantwortlich. Dazu gehören die Aktualisierung der eigentlichen Software und zusätzliche Signaturen. Sie müssen auchScannen Sie die Geräte regelmäßigum sicherzustellen, dass sie nicht kompromittiert wurden.
6. Entwickeln und pflegen Sie sichere Systeme und Anwendungen
Die sechste PCI-Anforderung schreibt vor, dass Unternehmen sichere Systeme und Anwendungen entwickeln und warten müssen. Genauer,jede Anwendung, die speichert, verarbeitet,oder übermittelt Karteninhaberdatenmuss gesichert werden.
Die Vorschriften besagen, dass das Unternehmen in der Lage sein muss, Sicherheitslücken mit einem Überwachungsprodukt aus zuverlässiger Quelle zu identifizieren, Dienste mit Sicherheitspatches vor bekannten Schwachstellen zu schützen, alle Entwickler in sicheren Codierungstechniken zu schulen, damit sie Schwachstellen vermeiden können, und alle damit verbundenen Prozesse zu dokumentieren.
Beachten Sie, dass jedes Softwaretool, das Sie zur Unterstützung Ihrer Prozesse verwenden, eine Gefahr darstellen kann, wenn es nicht gesichert ist. Wenn Sie eine Anwendung verwenden, die beim Patchen von Schwachstellen keine gute Erfolgsbilanz aufweist, sollten Sie den Wechsel zu einer anderen Anwendung in Betracht ziehen. sonst lässt du dich offen.
7. Beschränken Sie den Zugriff auf Karteninhaberdaten
Beim Schutz der Karteninhaberdaten geht es ebenso darum, den Zugriff der Mitarbeiter auf vertrauliche Informationen einzuschränken wie durch den Einsatz von Antiviren- oder Schwachstellen-Scan-Software. Die goldene Faustregel für diese Anforderung lautet:Der Zugriff auf Systeme und Karteninhaberdaten sollte auf diejenigen beschränkt sein, die „wissen müssen“.Sie können allen Benutzern standardmäßig den Zugriff verweigern und dann nur dann Zugriffsrechte erteilen, wenn diese erforderlich sind. Sobald ein Mitarbeiter keinen Zugriff auf Daten benötigt, können Sie ihm das Recht entziehen.
Eine gute Möglichkeit, den Zugriff auf Daten zu kontrollieren, besteht darin, den erforderlichen Personen eine eindeutige ID und Zugriffsrechte zuzuweisen. Auch hier müssen Sie Ihre Sicherheitsrichtlinien und die Mittel, mit denen Sie den Zugriff auf Karteninhaberdaten einschränken, dokumentieren. In der Dokumentation sollte angegeben werden, welche Benutzer auf welches System oder welche Daten zugreifen können.
8. Verfolgen und überwachen Sie den Benutzerzugriff
Überwachung des Benutzerzugriffs und der Authentifizierungist ebenso wichtig wie die Kontrolle des physischen Zugriffs auf Daten. Durch eine schriftliche Aufzeichnung des Benutzerzugriffs können Sie sicherstellen, dass niemand auf Daten zugreift, die er nicht haben sollte.Jede Person sollte eine eindeutige ID und ein eindeutiges Passwort habenüber die sie auf vertrauliche Daten zugreifen. Mithilfe dieser IDs können Sie überwachen, wer auf vertrauliche Informationen zugegriffen hat, welche Maßnahmen wann ergriffen wurden.
Sie müssen außerdem über zusätzliche Sicherheitsmaßnahmen verfügen, zSperren von Benutzer-IDs nach sechs fehlgeschlagenen Versuchenum auf ein Gerät zuzugreifen und eine erneute Authentifizierung zu erfordern, wenn eine Sitzung länger als 15 Minuten inaktiv war. Auch die Authentifizierungsdaten müssen während der Übertragung verschlüsselt werden, damit sie nicht von einem Angreifer kompromittiert werden können. Darüber hinaus besteht die Verpflichtung, inaktive Benutzerkonten innerhalb von 90 Tagen zu deaktivieren oder zu löschen.
9. Beschränken Sie den physischen Zugriff auf Karteninhaberdaten
Die PCI besagt ausdrücklich, dass Sie dies auch tun müssenden physischen Zugriff auf Karteninhaberdaten einschränken. Von der Dokumentation der Karteninhaberdaten bis hin zu Servern und anderer Hardware muss alles vor unbefugtem Zugriff geschützt werden. Sie benötigen Zutrittskontrollen zu Bereichen, in denen Karteninhaberdaten gespeichert werden, und müssen den Benutzern eindeutige Benutzer-IDs zuweisen, damit Sie ihre Aktivitäten überwachen können.
Wenn Besucher in Ihr Unternehmen kommen, müssen Sie diese in einem Besucherprotokoll dokumentieren (Sie müssen dieses für mindestens drei Monate nach dem Verlassen des Besuchers aufbewahren).Besuchern sollte außerdem eine physische Wertmarke ausgehändigt werdenmit einem Ablaufdatum versehen, um sie von Vollzeitbeschäftigten zu unterscheiden.
10. Verfolgen und überwachen Sie den Zugriff auf Karteninhaberdaten
Die Überwachung des Zugriffs auf Karteninhaberdaten ist notwendig, um sicherzustellen, dass es keine unbefugten Zugriffe oder Interaktionen gibt, über die Sie Bescheid wissen müssen. Die zuverlässigste Möglichkeit, den Zugriff zu überwachen, ist eine Überwachungsplattform. Verwenden Sie ein Überwachungstool, mit dem Sie Ressourcen wie Protokolldateien und Systemspuren anzeigen können, um Datenschutzverletzungen zu erkennen.
Viele Überwachungstools verfügen über ein Warnsystem, das Ihnen automatisch eine Benachrichtigung sendet, wenn das Netzwerk verletzt wurde. Die Kernanforderung dieses Abschnitts besteht darin, dass Sie „Etablieren Sie einen Prozess zur Verknüpfung aller Zugriffe auf Systemkomponentenfür jeden einzelnen Benutzer.“ Mit anderen Worten: Sie müssen den Überblick behalten, um genau zu bestimmen, wer sich zu welchem Zeitpunkt bei welchem System angemeldet hat.
11. Testen Sie Sicherheitssysteme und -prozesse
Die 11. Anforderung legt fest, dass Unternehmen regelmäßigTesten Sie Sicherheitssysteme und -prozesse auf Schwachstellen. Sie können Tests mithilfe von Schwachstellenscans, Software zur Erkennung von Eindringlingen und Penetrationstests durchführen. Sie möchten sicherstellen, dass sich Ihre Umgebung weiterentwickelt, um den neuesten Bedrohungen zu begegnen.
Du wirst es müssenStellen Sie sicher, dass alle Systeme in den letzten 90 Tagen gescannt wurdenund dass keine Systeme über ausnutzbare Schwachstellen oder erkannte Eindringungsaktivitäten verfügen. Um konform zu bleiben, müssen Sie aktive Systeme regelmäßig wöchentlich oder monatlich scannen, um sicherzustellen, dass Ihr Netzwerk sicher ist.
12. Pflegen Sie eine Richtlinie, die sich mit der Informationssicherheit befasst
Der letzte Schritt besteht darineine Sicherheitsrichtlinie implementieren und aufrechterhaltendie Sie verwenden, um die anderen von Ihnen eingerichteten Schutzmaßnahmen durchzusetzen. Ihre Mitarbeiter, Kunden und andere relevante Dritte sollten über Ihre Richtlinie informiert sein. Mitarbeiter sollten wissen, warum es wichtig ist, Kundendaten zu schützen und dass Sie ihren Zugriff auf Informationen überwachen. Kunden sollten sich darüber im Klaren sein, dass Sie den Schutz ihrer Daten ernst nehmen.
Die Sicherheitsrichtlinie sollte als schriftliches Dokument vorgelegt werden, das klare Richtlinien festlegt, an die sich die Mitarbeiter halten müssen. Wenn Mitarbeiter das Dokument lesen, sollten sie genau verstehen können, was sie tun müssen, um PCI-konform zu sein. Aufklärung ist Ihre erste Verteidigungslinie gegen Bedrohungen wie Malware.
PCI-Konformität: Nur gute Praxis
Der Schutz der Kreditkartendaten Ihrer Kunden ist weit mehr als nur eine Übung zur Einhaltung gesetzlicher Vorschriften; Es ist eine gute Übung. Compliance ist eine Gelegenheit, Ihren Kunden zu zeigen, dass Ihnen ihre Privatsphäre am Herzen liegt und Sie es ernst meinen, ihre Daten vor Betrügern zu schützen. Sie profitieren indirekt auch von einer verbesserten Netzwerksicherheit, indem Sie Antivirenplattformen und regelmäßige Schwachstellenscans betreiben.
Angesichts der Verbreitung von Betrug und Cyberkriminalität ist die Sicherstellung der PCI-Konformität absolut unerlässlich. Indem Sie Ihr Engagement für Cybersicherheit hervorheben, signalisieren Sie Ihren Kunden, dass Sie ein Unternehmen sind, dem sie vertrauen können. Von da an liegt es an Ihnen, den Schutz dieser Daten aufrechtzuerhalten. Das Vertrauen der Verbraucher ist schwer zu gewinnen, aber leicht zu verlieren.
Häufig gestellte Fragen zur PCI-DSS-Konformität
Was ist PCI DSS-Konformität?
PCI DSS steht für den Payment Card Industry Data Security Standard. Hierbei handelt es sich nicht um ein Gesetz, das von einer Regierung geschaffen wurde, sondern um eine Reihe von Anforderungen, auf die sich die großen Kreditkartensysteme geeinigt haben. Der Standard legt fest, wie sich Unternehmen, die mit Zahlungskartendaten umgehen, verhalten sollen – bis hin zu Systemkontrollen und Datensicherheit. Die Einhaltung dieser Standards wird nicht durch ein bestimmtes Gesetz vorgeschrieben. Bei Nichteinhaltung wird Ihr Unternehmen jedoch als Risiko eingestuft und darf keine Kartenzahlungen mehr entgegennehmen. Compliance bietet außerdem ein gewisses Maß an systemischer Sicherheit gegen schädliche Rechtsstreitigkeiten durch Personen, deren Finanzdaten gestohlen und missbraucht werden können, wenn Ihr Unternehmen ihre Daten nicht ordnungsgemäß schützt.
Ist die Einhaltung des PCI DSS zwingend erforderlich?
PCI DSS ist eine Reihe von Sicherheitsstandards, die von den großen Kreditkartenanbietern erstellt wurden. Es handelt sich hierbei nicht um eine gesetzliche Vorgabe. Die Nichtumsetzung dieser Standards würde jedoch dazu führen, dass einem Unternehmen ein Händlerkonto für die Abwicklung von Kreditkartenzahlungen verweigert wird. Dieses Verbot würde der Rentabilität und Finanzierbarkeit eines jeden Unternehmens äußerst schaden.
Wer muss PCI DSS einhalten?
PCI DSS ist ein Standard für die Abwicklung von Zahlungskarten. Wenn Ihr Unternehmen also Zahlungen per Kredit- oder Debitkarte akzeptiert, muss es die PCI DSS-Anforderungen umsetzen. Wenn PCI DSS nicht implementiert wird, kann Ihr Unternehmen kein Händlerkonto für die Abwicklung von Kartenzahlungen einrichten. Ein solcher Ausfall wäre für jedes Unternehmen sehr schädlich, für einen E-Commerce-Betrieb jedoch besonders problematisch.
Was ist die PCI-DSS-Checkliste?
Eine PCI-Checkliste ist eine Liste von Aufgaben, die Ihr Unternehmen erledigen muss, um die PCI-DSS-Richtlinien einzuhalten und aufrechtzuerhalten. PCI DSS ist der Datensicherheitsstandard der Zahlungskartenindustrie. Es enthält Anforderungen, die Ihr Unternehmen umsetzen muss, um zu verhindern, dass die Finanzdaten Ihrer Kunden gestohlen oder missbraucht werden.