Compliance mit PCI DSS: Ist Ihr Business bereit für PCI DSS 4.0?

Im Jahr 2030 wird das Gesamtvolumen aller Zahlungskarten geschätzte 79 Billionen US-Dollar erreichen. Verluste durch Betrug? Eine ebenso schwindelerregende Summe von 49 Milliarden US-Dollar, was laut dem aktuellen Nilson Report ungefähr 6 Cents pro $100 entspricht.

In den USA sieht die Situation besonders desolat aus. Die Prognose für das kommende Jahrzehnt ist, dass das Zahlungsvolumen für Karten auf nahezu 19 Billionen US-Dollar und Verluste durch Betrug auf 17 Milliarden US-Dollar ansteigen werden – oder fast 9 Cents pro $100. Der Verkauf von persönlich identifizierbaren Informationen (PII) im sogenannten Dark Web bereitet Kartenausstellern weiterhin großes Kopfzerbrechen, da diese oftmals für die Eröffnung neuer Kreditkonten mit nur einer speziellen Absicht verwendet werden: Betrug. „Gestohlene amerikanische Zahlungskarten können im Dark Web bereits für durchschnittlich $5,80 erworben werden und die USA sind das Land mit der größten sich im Umlauf befindlichen Anzahl von gestohlenen Karten“, berichtet Payments Dive.

Die Covid-19-Pandemie hat ebenfalls zum Chaos in diesem bereits anfälligen Zahlungsumfeld beigetragen, da sie zu einer Zunahme von Distanzzahlungen online oder per Telefon geführt hat. Im Jahr 2020 hat der sogenannte CNP-Betrug („CNP“ steht hierbei für „card not present“, also „Karte nicht präsent“) 68% der von Händlern und Käufern in der Zahlungskartenindustrie erlittenen Verluste ausgemacht. „Ihre Modelle für die Betrugsrisikobewältigung waren den lawinenartigen Anfragen nach erstmaligen CNP-Autorisierungen durch gültige Karteninhaber nicht gewachsen“, erklären die Nilson-Analysten. „Diese Neustrukturierung ermöglichte es Kriminellen, die Gelegenheit beim Schopfe zu packen, um im Vorfeld gestohlene aber bis dahin ungenutzte Karten zu aktivieren.“

Somit ist es nicht verwunderlich, dass Compliance mit dem PCI DSS (Payment Card Industry Data Security Standard) zu einem Anliegen geworden ist, das für Unternehmen jeglicher Größe und aus Branchen, die sensible Finanzinformationen handhaben und die – was das Teilen dieser Informationen angeht – für Seelenfrieden bei den Karteninhabern sorgen möchten, ganz oben auf der Tagesordnung steht. Lassen Sie uns also in Vorbereitung auf die offizielle Veröffentlichung von PCI DSS 4.0 einen genaueren Blick darauf werfen, worum es sich bei dem PCI-Datensicherheitsstandard handelt – und worum nicht – und wie Sie sicherstellen können, dass Sie sich auf dem richtigen Weg befinden, um Compliance mit PCI DSS zu erzielen (oder aufrechtzuerhalten).

Auf den Punkt gebracht: Was ist Compliance mit PCI DSS?

Der Payment Card Industry Data Security Standard wurde geschaffen, um die Sicherheit der Daten von Karteninhabern und die globale Übernahme von einheitlichen Datensicherheitsmaßnahmen zu fördern, indem er eine Ausgangsbasis für technische und betriebliche Anforderungen bietet, um Kartendaten vor Diebstahl, Verlust und Missbrauch zu schützen. Der PCI DSS wurde erstmals im Dezember 2004 mit dem Ziel veröffentlicht, die Interoperabilität zwischen existierenden Cybersicherheitsstandards zu gewährleisten, was zur Gründung des Payment Card Industry Security Standards Council (PCI SSC) führte. Das 2006 von MasterCard, American Express, Visa, JCB International und Discover gegründete Konsortium beaufsichtigt die Entwicklung, Verwaltung, Implementierung und Förderung des PCI DSS.

Der PCI DSS umfasst alle an der Zahlungsabwicklung via Karten beteiligten juristischen Personen und Aktivitäten. Dies beinhaltet Händler, Verarbeiter, Käufer, Aussteller, Serviceanbieter und quasi jedes Unternehmen, das Karteninhaberdaten oder sensible Authentifizierungsinformationen speichert, verarbeitet oder überträgt. Der Standard erstreckt sich auf die Primary Account Number (PAN), den Namen des Karteninhabers, das Ablaufdatum, den Servicecode, Spurdaten (Magnetstreifendaten oder äquivalente Daten auf einem Chip), CAV2-, CVC2-, CVV2- und CID-Codes sowie PINs und PIN-Sperrungen. Händler werden einer der vier Ebenen für PCI-DSS-Compliance zugeordnet, abhängig von dem von ihnen über einen Zeitraum von 12 Monaten gehandhabten Transaktionsvolumen.

Die zwölf Gebote: PCI-DSS-Anforderungen

Gemäß dem im Mai 2018 veröffentlichten PCI DSS v3.2.1 gibt es 12 PCI-DSS-Kontrollmaßnahmen, die sich über sechs Hauptbereiche erstrecken und die Unternehmen implementieren müssen, um das Ökosystem von Kartenzahlungen zu schützen.

Erstellung und Wartung sicherer Netzwerke und Systeme

• Installieren und warten Sie eine Firewall-Konfiguration, um Karteninhaberdaten zu schützen und schützen Sie Ihre Systeme so vor unbefugten Zugriffen über nicht vertrauenswürdige Netzwerke.
• Ersetzen Sie vom Anbieter festgelegte Standardeinstellungen für Systempasswörter und Sicherheitsparameter mit ihren eigenen – und wehren Sie sich so gegen Angreifer, die von Anbietern bereitgestellte Standardpasswörter und -einstellungen nutzen, um Systeme zu kompromittieren.

Schutz von Karteninhaberdaten

• Schützen Sie gespeicherte Kateninhaberdaten. Verwenden Sie hierfür Methoden wie Verschlüsselung, Abkürzung, Maskierung oder Hashing, um Karteninhaberdaten unlesbar und somit für Eindringlinge unbrauchbar zu machen.
• Verschlüsseln Sie die Übertragung von Karteninhaberdaten über offene, öffentliche Netzwerke – also eine Verschlüsselung von Daten während der Übertragung über Netzwerke, die leicht von Hackern unterwandert werden können.

Unterhaltung eines Anfälligkeits-Managementprogramms

• Schützen Sie alle Systeme vor Schadsoftware und aktualisieren Sie Ihre Virenschutzprogramme regelmäßig. Sie sollten Antivirensoftware für alle Systeme einsetzen, die häufig von Viren, Würmern und Trojanern betroffen werden.
• Entwickeln Sie sichere Systeme und Anwendungen und warten Sie diese. Beheben Sie Systemschwachstellen, indem Sie angemessene, vom Anbieter zur Verfügung gestellte Sicherheitspatches installieren.

Implementierung starker Zugriffskontrollmaßnahmen

• Beschränken Sie den Zugriff auf Karteninhaberdaten je nach Geschäftsinformationsbedarf – und gewährleisten Sie somit, dass auf kritische Daten nur von denjenigen Mitarbeitern zugegriffen werden kann, die diese für die Ausführung ihrer Tätigkeit benötigen.
• Identifizieren und authentifizieren Sie den Zugriff auf Systemkomponenten. Dies kann durch die Zuteilung einer einzigartigen ID-Nummer für jede Person mit Zugriffsrechten erfolgen, sodass an kritischen Daten vorgenommene Handlungen nachverfolgt werden können.
• Beschränken Sie den physischen Zugriff auf Karteninhaberdaten. Dies reduziert das Risiko, dass Personen auf Geräte oder Daten zugreifen und Systeme entfernen oder Hartkopien entwenden.

Regelmäßige Überwachung und regelmäßiges Testen von Netzwerken

• Verfolgen Sie den Zugriff auf alle Netzwerkressourcen und Karteninhaberdaten und sorgen Sie dafür, dass Sie über angemessene Protokollierungsmethoden verfügen, um eine Kompromittierung von Daten zu verhindern, festzustellen und deren negative Auswirkungen zu minimieren.
• Testen Sie Sicherheitssysteme und -prozesse regelmäßig – überprüfen Sie Systemkomponenten, Verfahren und unternehmensspezifische Software regelmäßig, um sicherzustellen, dass Sicherheitskontrollen auf dem neuesten Stand sind.

Befolgung einer Informationssicherheitsrichtlinie

• Pflegen Sie eine Informationssicherheitsrichtlinie für das gesamte Personal und stellen Sie sicher, dass alle sich ihrer Rolle bei deren Umsetzung in die Praxis bewusst sind.

Bewährte PCI-DSS-Methoden: Sieben Wege, um Compliance anzukurbeln

Das Erreichen und Aufrechterhalten von PCI-DSS-Compliance sollte eine Zielsetzung und Verantwortlichkeit sein, die über die ganze Organisation hinweg – und über diese hinaus – geteilt wird. Hier nennen wir Ihnen mit freundlicher Genehmigung des PCI SSC einige Tipps und bewährte Verfahren, mit denen Sie alle wichtigen Anforderungen abdecken können.

1. Gestalten Sie ein für Ihr Unternehmen maßgeschneidertes Compliance-Programm

„Um für ein nachhaltiges Compliance-Programm zu sorgen, sollte dieses in normale Betriebsaktivitäten als Bestandteil der allgemeinen Sicherheitsstrategie der Organisation implementiert werden“, rät der PCI SSC. Auf diese Weise ist es einfacher, die Effektivität der Sicherheitskontrollen im Blick zu behalten und zu verhindern, dass Sie in der Zeitspanne zwischen PCI-DSS-Bewertungen nicht konform handeln.

2. Finden Sie die richtigen Maßstäbe, um Performance zu messen

Entwickeln Sie eine Reihe von Maßstäben, die auf den spezifischen Bedürfnissen, Zielsetzungen, betrieblichen Umgebungen, Risikoprioritäten und dem Reifegrad des Compliance-Programms Ihrer Organisation basieren, um die Effektivität von Sicherheitsinitiativen zu beurteilen, Ressourcen wenn nötig neu zuzuweisen und Stakeholdern die Rentabilität der Sicherheitsinvestitionen zu demonstrieren.

3. Legen Sie Arbeitsabläufe für Sicherheitsaktivitäten fest und übertragen Sie die Verantwortlichkeit für diese

Etablieren Sie ein offizielles PCI-DSS-Compliance-Programm, dass alle Personen, Verfahren, Technologien, Richtlinien und Abläufe beinhaltet, die zur Aufrechterhaltung der PCI-DSS-Compliance Ihrer Organisation notwendig sind. Weisen Sie anschließend einem Mitarbeiter – bevorzugterweise auf Managementebene – die Aufgabe zu, die Koordination der relevanten Ressourcen, Projekte und Kosten zu beaufsichtigen.

4. Bedenken Sie: Compliance ist nicht dasselbe wie Sicherheit

Sie sollten im Hinterkopf behalten, dass der PCI-Standard nichts anderes als eine Reihe von Mindestsicherheitsanforderungen für den Schutz von Zahlungskarteninformationen ist. Um Ihr Unternehmen wirklich unangreifbar zu machen, sollten Sie darauf hinarbeiten, eine Sicherheitskultur und ein gemeinsames Pflichtbewusstsein in Bezug auf den Schutz von Informationsbeständen und der IT-Infrastruktur zu schaffen – und Compliance als zusätzlichen Bonus ansehen.

5. Spüren Sie Fehler schnell auf und reagieren Sie auf diese noch schneller

Wenn es um die Sicherheit von Karten- und Karteninhaberinformationen geht, kann jeglicher Kontrollfehler als offizieller Sicherheitsvorfall klassifiziert werden, auf den formell reagiert werden muss. Die Reaktionsverfahren sollten mindestens eine Reduzierung der Vorfallauswirkung, die Wiederherstellung von Kontrollen, die Ausführung einer Ursachenanalyse und -sanierung, die Implementierung von Härtungsstandards und eine Verbesserung des Monitorings beinhalten.

6. PCI-DSS-Complianceist mehr als das Abhaken einer Liste

Cyberangriffe entwickeln sich stets weiter und werden zunehmend ausgefeilter. Ihre Sicherheitskontrollen sollten dem in nichts nachstehen. Sorgen Sie also dafür, dass sie mit der sich fortwährend verändernden Gefahrenlandschaft, organisatorischen Veränderungen und neuen Businessinitiativen Schritt halten. Zusätzlich sollten Sie immer die Auswirkungen beurteilen, die neue Prozesse und Technologien auf die Sicherheitsstellung einer Organisation haben.

7. Behalten Sie Drittanbieter im Auge

Anfällige Drittanbieter können leicht einen Zugangspunkt für böswillige Angreifer eröffnen, die es auf Ihre Daten abgesehen haben. Stellen Sie sicher, dass die Serviceanbieter ihre Rolle und Verantwortungen bei der Erfüllung von PCI-Compliance-Anforderungen verstehen und richten Sie Verfahren ein, um ihren Compliance-Status im Blick zu behalten. So können Sie entscheiden, ob eine Veränderung dieses Status eine Veränderung Ihrer Beziehung erforderlich macht.

PCI-DSS-Complianceerzielen: Die wichtigsten Meilensteine

Um Ihre Reise zum Erreichen von PCI-DSS-Compliance zu beginnen, müssen Sie zuerst das PCI-DSS-Compliance-Level Ihrer Organisation bestimmen. Wenn Sie weniger als 20.000 Transaktionen pro Jahr händeln, klassifizieren Sie sich als Level 4. Unternehmen auf Level 1, Level 2 und Level 3 wickeln jeweils über 6.000.000 Transaktionen, 1.000.000–6.000.000 Transaktionen und 20.000–1.000.000 Transaktionen pro Jahr ab.

Als Nächstes müssen Sie den Fragebogen zur Selbsteinschätzung (SAQ) ausfüllen, der angibt, auf welche Weise Sie Kartenzahlungen annehmen. Mit einer Reihe von Ja-oder-nein-Fragen für jede zutreffende PCI-DSS-Anforderung fungiert der SAQ als Checkliste für PCI-DSS-Compliance, mit der Unternehmen eine Selbsteinschätzung ihrer Compliance abgeben und potenzielle Sicherheitslücken und ausnutzbare Schwachstellen aufdecken können.

Sobald Sie alle von Ihnen im Zuge der Selbstbeurteilung identifizierten Schwachpunkte eliminiert haben, können Sie Ihre Compliance formell attestieren. Die PCI-Zertifizierung (PCI Attestation of Compliance, AoC) wird von einem Sicherheitsgutachter, dem sogenannten Qualified Security Assessor (QSA), ausgestellt und ist ein dokumentierter Nachweis darüber, dass Ihre Organisation die notwendigen Sicherheitsauflagen zum Schutz von Karteninhaberdaten erfüllt.

PCI DSS 4.0: Womit Sie wann rechnen können

„Die bevorstehenden Änderungen am PCI Data Security Standard (DSS) (…) sind bedeutsam und bewirken etwas Entscheidendes: Sie wandeln Compliance von einem auditgesteuerten einmaligen Ereignis in einen kontinuierlichen Verbesserungsprozess um, der auf die bestmögliche Absicherung von Zahlungen abzielt“, erklärt David King, CTO bei Flywire und Mitglied des PCI Security Standards Council. Der für die Veröffentlichung im März 2022 vorgesehene Sicherheitsstandard wird wichtige Aktualisierungen in vier Bereichen beinhalten.

Zum einen wird ein größerer Schwerpunkt auf Anti-Malware-Maßnahmen gelegt werden. Dies umfasst nicht nur, wie Organisationen das Karteninformationenumfeld schützen, sondern auch sich selbst. Unternehmen werden dazu ermutigt werden, Compliance als fortlaufenden Prozess anzugehen, anstatt sich nur kurzfristig auf das Bestehen der jährlichen PCI-DSS-Prüfung zu konzentrieren. Von Validierungsmethoden und -verfahren wird erwartet werden, dass sie mehr Daten beinhalten und strenger werden, was sowohl den Umfang von Bewertungen als auch die erforderlichen IT-Budgets erhöhen wird.

„Der Standard ändert sich in der Art und Weise, dass die NIST-Vorgaben zu Passwörtern übernommen werden, die sehr viel stärker sind und Multi-Faktor-Authentifizierung für jeden Touchpoint verlangen. Zusätzlich gibt es stärkere Autorisierungsverfahren für Transaktionen, die wir neuerdings zu forcieren suchen, wie z. B. 3DS-Protokolle (3D-Secure-Protokolle), die für eine zusätzliche Sicherheitsebene mittels Kundenauthentifizierung sorgen“, fügt der CTO hinzu. Im gleichen Atemzug wird PCI DSS 4.0 Verschlüsselungsstandards sowie Monitoring, Protokollierung und die Erkennung von Protokollen verbessern.

Ende-zu-Ende-Verschlüsselung, Zero-Knowledge-Authentifizierung, vollständige Daten- und Zugriffskontrolle: Machen Sie sich mit Tresorit bereit für PCI DSS 4.0

Tresorit ist einfach einzurichten und in Ihre Arbeitsabläufe zu integrieren und schützt Ihre Dateien in der Cloud mit Ende-zu-Ende-Verschlüsselung. Dank unseres Zero-Knowledge-Authentifizierungsverfahrens, bei dem Ihr Passwort Ihr Gerät niemals verlässt, behalten Sie die Kontrolle über Ihre vertraulichsten Sicherheitsinformationen. Unsere Verschlüsselung wird durch zufällig generierte Verschlüsselungscodes gesichert, die niemals in unverschlüsselter Form an unsere Server gesendet werden. Eine Public-Key-Kryptografie gewährleistet, dass nicht einmal Tresorit auf die geteilten Schlüssel zugreifen kann. Das bedeutet, dass die Inhalte Ihrer in Tresorit gespeicherten Dateien nicht ohne Ihr Wissen modifiziert werden können, selbst wenn jemand sich Zugriff auf unsere Server verschaffen würde.

Tresorit ermöglicht Ihnen die Implementierung von Datenschutzmaßnahmen, während Sie an Dateien zusammenarbeiten – wie z. B. die Kontrolle darüber, wer Zugriff auf personenbezogene Daten hat; die Protokollierung von Dateiaktivitäten und das Festlegen interner Sicherheitsrichtlinien für die Datenverwaltung. Admins von Tresorit-Business-Konten können Richtlinienprofile auf Nutzergruppen anwenden, verschiedene Richtlinien für jedes Profil festlegen und diese Profile jederzeit bearbeiten. Zusätzlich haben sie die Möglichkeit zu entscheiden und zu überwachen, welche Geräte verwendet werden dürfen, um auf Dateien innerhalb der Organisation zuzugreifen, und von wo aus Nutzer sich in ihrem Firmenkonto anmelden dürfen. All diese Maßnahmen helfen beim Schutz geschäftskritischer Daten wie Zahlungskarteninformationen.