data-pci-page-banners

Payment Card Industry Data Security Standard (PCI DSS) Auditing und Compliance

Thales kann dazu beitragen, die Einhaltung von PCI DSS zu vereinfachen, indem es jedes Unternehmen schützt, das Karteninhaberdaten überträgt, verarbeitet und speichert

Anforderungen des PCI DSS

map
Mandate | Active Now

Jedes Unternehmen, das an der Verarbeitung von Kredit- und Debitkartenzahlungen beteiligt ist, muss die strengen Anforderungen des PCI DSS an die Verarbeitung, Speicherung und Übertragung von Kontodaten erfüllen. Und obwohl die Anforderungen des PCI DSS nicht neu sind, entwickeln sich die technologischen Umgebungen der Unternehmen und die Bedrohungen, die bekämpft werden müssen, ebenso weiter wie diese Richtlinien.

Thales kann Unternehmen, die mit Karteninhaberdaten arbeiten, bei der Einhaltung verschiedener Anforderungen des PCI DSS 3.2.1 unterstützen, darunter:

  • Schutz der Data-at-Rest-Daten von Karteninhabern
  • Verschlüsselung der Data-in-Motion von Karteninhabern
  • Einschränkung des Zugriffs auf Karteninhaberdaten
  • Identifikation und Authentifizierung des Zugriffs auf Systeme, die Daten von Karteninhabern speichern
  • Nachverfolgung und Monitoring aller Zugriffe auf die Daten von Karteninhabern
Test

                           

  • Verordnung
  • Einhaltung von Vorschriften

Über 200 Tests anhand von sechs Grundprinzipien

Der PCI-DSS-Standard (www.pcisecuritystandards.org) beinhaltet eine Bewertung anhand von über 200 Tests, die in zwölf allgemeine Sicherheitsbereiche fallen, die wiederum sechs Grundprinzipien darstellen. Diese PCI-DSS-Tests umfassen neben einer Vielzahl gängiger Sicherheitspraktiken auch Technologien wie Verschlüsselung, Schlüsselverwaltung und andere Datenschutztechniken.

Risiken im Zusammenhang mit Audits und Compliance von PCI DSS

  • Die Nichteinhaltung der Anforderungen des PCI DSS kann zu Geldstrafen, erhöhten Gebühren oder sogar zur Beendigung Ihrer Berechtigung führen, Zahlungskartentransaktionen zu verarbeiten.
  • Die Einhaltung des PCI DSS kann nicht isoliert betrachtet werden, denn Unternehmen unterliegen mehreren Sicherheitsvorschriften sowie Gesetzen oder Verordnungen zur Offenlegung von Datenverletzungen. Auf der anderen Seite können PCI-Compliance-Projekte leicht durch umfassendere Sicherheitsinitiativen des Unternehmens in den Hintergrund gedrängt werden.
  • Die Anleitungen und Empfehlungen im Zusammenhang mit den Anforderungen des PCI DSS umfassen gängige Praktiken, die meist bereits vorhanden sind. Einige Aspekte, insbesondere im Zusammenhang mit Verschlüsselung, sind jedoch möglicherweise neu für das Unternehmen. Wenn sie nicht richtig konzipiert sind, kann Ihre Implementierung Störungen verursachen und die betriebliche Effizienz beeinträchtigen.
  • Nur allzu leicht entsteht so ein fragmentierter Sicherheitsansatz, der auf mehreren proprietären Anbieterlösungen und unzureichenden Technologien basiert, deren Betrieb teuer und komplex ist.
  • Es gibt verschiedene Möglichkeiten, um den Umfang der Anforderungen an PCI-DSS-Compliance zu reduzieren und damit Kosten und Auswirkungen zu verringern. Allerdings können Unternehmen Zeit und Geld verschwenden, wenn sie nicht sorgfältig darauf achten, dass neue Systeme und Prozesse tatsächlich als PCI-DSS-konform akzeptiert werden.

Eine integrierte Compliance-Lösung

Thales verfügt über jahrzehntelange Erfahrung in der Unterstützung von Banken und Finanzinstituten bei der Einhaltung von Branchenvorschriften und bietet integrierte Produkte und Dienstleistungen an, mit denen Ihr Unternehmen gespeicherte Daten von Karteninhabern schützen, für die Übertragung verschlüsseln und den Zugriff auf Need-to-know-Basis beschränken kann. Darüber hinaus arbeitet Thales eng mit Partnern zusammen, um umfassende Lösungen anzubieten, die die Belastungen durch die PCI-DSS-Compliance reduzieren können.

Adressierung der Grundprinzipien des PCI DSS

Thales bietet umfassende Softwarelösungen für die PCI-DSS-Compliance an, die Unternehmen dabei helfen können, die sechs Grundprinzipien des PCI DSS zu erfüllen:

  • Schutz der Data-at-Rest von Karteninhabern: Mit dem CipherTrust Manager und den Luna-Hardware-Sicherheitsmodulen (HSM) von Thales können Unternehmen kryptographische Schlüssel zentral verwalten und eine Vielzahl von Verschlüsselungs-, Tokenisierungs- und Datenmaskierungslösungen bereitstellen, um Daten von Karteninhabern in Dateien, Ordnern, Anwendungen und Datenbanken sowohl in traditionellen als auch in Cloud- oder virtualisierten Umgebungen zu schützen.
  • Verschlüsselung der Data-in-Motion von Karteninhabern: Thales High Speed Encryptors (HSE) verschlüsseln alle Daten, die über offene Netzwerke zwischen Kassengeräten und Systemen, die Daten von Karteninhabern verarbeiten, übertragen werden.
  • Entwicklung und Pflege sicherer Systeme und Anwendungen: Thales-Luna-HSM ermöglichen es Unternehmen, Signiermaterial sicher in einem vertrauenswürdigen Hardware-Gerät zu speichern und so die Authentizität und Integrität aller Dateien mit Anwendungscode sicherzustellen.
  • Implementierung strenger Maßnahmen für die Zugriffskontrolle: Produkte von Thales CipherTrust können für einen eindeutigen, mehrstufigen administrativen Zugriff auf Systeme eingerichtet werden, die Daten von Karteninhabern speichern. Darüber hinaus können Sie mit SafeNet Trusted Access eindeutige Benutzeridentitäten und risikobasierte Authentifizierungsrichtlinien zentral verwalten und den Zugriff auf Systeme in Ihrer Cardholder Data Environment (CDE) gewähren/entziehen.
  • Nachverfolgung und Monitoring aller Zugriffe auf Daten von Karteninhabern: Alle Produkte des Thales-CipherTrust-Datenschutzportfolios erzeugen Prüfprotokolle, die alle Operationen im Lebenszyklus von kryptographischen Schlüsseln (Erstellung/Löschung/Rotation/Widerruf) sowie weitere administrative Funktionen protokollieren, die zur Rekonstruktion von Ereignissen verwendet werden können.
  • Zugehörige Ressourcen
  • Andere wichtige Datenschutz- und Sicherheitsvorschriften

    DSGVO

    VERORDNUNG
    JETZT AKTIV

    Die DSGVO ist vielleicht die bisher umfassendste Datenschutznorm und betrifft jede Organsation, die personenbezogene Daten von EU-Bürgern verarbeitet - unabhängig davon, wo die Organisation ihren Sitz hat.

    PCI-DSS

    MANDAT
    JETZT AKTIV

    Jede Organisation, die eine Rolle bei der Verarbeitung von Kredit- und Debitkartenzahlungen spielt, muss die strengen PCI-DSS-Anforderungen für die Verarbeitung, Speicherung und Übermittlung von Konteninformationen erfüllen.

    Gesetze zur Benachrichtigung bei Datenverletzungen

    VERORDNUNG
    JETZT AKTIV

    Vorschriften zur Benachrichtigung bei Datenschutzverletzungen nach dem Verlust personenbezogener Daten wurden von Ländern rund um den Globus erlassen. Sie variieren je nach Gerichtsbarkeit, enthalten aber fast immer eine "Safe-Harbour"-Klausel.