Payment Card Industry Data Security Standard (PCI DSS) Auditing und Compliance

Über 200 Tests anhand von sechs Grundprinzipien

Der PCI-DSS-Standard (www.pcisecuritystandards.org) beinhaltet eine Bewertung anhand von über 200 Tests, die in zwölf allgemeine Sicherheitsbereiche fallen, die wiederum sechs Grundprinzipien darstellen. Diese PCI-DSS-Tests umfassen neben einer Vielzahl gängiger Sicherheitspraktiken auch Technologien wie Verschlüsselung, Schlüsselverwaltung und andere Datenschutztechniken.

Risiken im Zusammenhang mit Audits und Compliance von PCI DSS

• Die Nichteinhaltung der Anforderungen des PCI DSS kann zu Geldstrafen, erhöhten Gebühren oder sogar zur Beendigung Ihrer Berechtigung führen, Zahlungskartentransaktionen zu verarbeiten.
• Die Einhaltung des PCI DSS kann nicht isoliert betrachtet werden, denn Unternehmen unterliegen mehreren Sicherheitsvorschriften sowie Gesetzen oder Verordnungen zur Offenlegung von Datenverletzungen. Auf der anderen Seite können PCI-Compliance-Projekte leicht durch umfassendere Sicherheitsinitiativen des Unternehmens in den Hintergrund gedrängt werden.
• Die Anleitungen und Empfehlungen im Zusammenhang mit den Anforderungen des PCI DSS umfassen gängige Praktiken, die meist bereits vorhanden sind. Einige Aspekte, insbesondere im Zusammenhang mit Verschlüsselung, sind jedoch möglicherweise neu für das Unternehmen. Wenn sie nicht richtig konzipiert sind, kann Ihre Implementierung Störungen verursachen und die betriebliche Effizienz beeinträchtigen.
• Nur allzu leicht entsteht so ein fragmentierter Sicherheitsansatz, der auf mehreren proprietären Anbieterlösungen und unzureichenden Technologien basiert, deren Betrieb teuer und komplex ist.
• Es gibt verschiedene Möglichkeiten, um den Umfang der Anforderungen an PCI-DSS-Compliance zu reduzieren und damit Kosten und Auswirkungen zu verringern. Allerdings können Unternehmen Zeit und Geld verschwenden, wenn sie nicht sorgfältig darauf achten, dass neue Systeme und Prozesse tatsächlich als PCI-DSS-konform akzeptiert werden.

Eine integrierte Compliance-Lösung

Thales verfügt über jahrzehntelange Erfahrung in der Unterstützung von Banken und Finanzinstituten bei der Einhaltung von Branchenvorschriften und bietet integrierte Produkte und Dienstleistungen an, mit denen Ihr Unternehmen gespeicherte Daten von Karteninhabern schützen, für die Übertragung verschlüsseln und den Zugriff auf Need-to-know-Basis beschränken kann. Darüber hinaus arbeitet Thales eng mit Partnern zusammen, um umfassende Lösungen anzubieten, die die Belastungen durch die PCI-DSS-Compliance reduzieren können.

Adressierung der Grundprinzipien des PCI DSS

Thales bietet umfassende Softwarelösungen für die PCI-DSS-Compliance an, die Unternehmen dabei helfen können, die sechs Grundprinzipien des PCI DSS zu erfüllen:

• Schutz der Data-at-Rest von Karteninhabern: Mit dem CipherTrust Manager und den Luna-Hardware-Sicherheitsmodulen (HSM) von Thales können Unternehmen kryptographische Schlüssel zentral verwalten und eine Vielzahl von Verschlüsselungs-, Tokenisierungs- und Datenmaskierungslösungen bereitstellen, um Daten von Karteninhabern in Dateien, Ordnern, Anwendungen und Datenbanken sowohl in traditionellen als auch in Cloud- oder virtualisierten Umgebungen zu schützen.
• Verschlüsselung der Data-in-Motion von Karteninhabern: Thales High Speed Encryptors (HSE) verschlüsseln alle Daten, die über offene Netzwerke zwischen Kassengeräten und Systemen, die Daten von Karteninhabern verarbeiten, übertragen werden.
• Entwicklung und Pflege sicherer Systeme und Anwendungen: Thales-Luna-HSM ermöglichen es Unternehmen, Signiermaterial sicher in einem vertrauenswürdigen Hardware-Gerät zu speichern und so die Authentizität und Integrität aller Dateien mit Anwendungscode sicherzustellen.
• Implementierung strenger Maßnahmen für die Zugriffskontrolle: Produkte von Thales CipherTrust können für einen eindeutigen, mehrstufigen administrativen Zugriff auf Systeme eingerichtet werden, die Daten von Karteninhabern speichern. Darüber hinaus können Sie mit SafeNet Trusted Access eindeutige Benutzeridentitäten und risikobasierte Authentifizierungsrichtlinien zentral verwalten und den Zugriff auf Systeme in Ihrer Cardholder Data Environment (CDE) gewähren/entziehen.
• Nachverfolgung und Monitoring aller Zugriffe auf Daten von Karteninhabern: Alle Produkte des Thales-CipherTrust-Datenschutzportfolios erzeugen Prüfprotokolle, die alle Operationen im Lebenszyklus von kryptographischen Schlüsseln (Erstellung/Löschung/Rotation/Widerruf) sowie weitere administrative Funktionen protokollieren, die zur Rekonstruktion von Ereignissen verwendet werden können.