PCI DSS 4.0 Anforderungen
Der Payment Card Industry Data Security Standard (PCI DSS) ist ein Informationssicherheitsstandard, der eine Reihe von technischen und betrieblichen Anforderungen zum Schutz von Zahlungsdaten und zur Verringerung von Kreditkartenbetrug enthält. PCI DSS ist für alle Unternehmen vorgesehen, die Karteninhaberdaten (CHD) und/oder sensible Authentifizierungsdaten (SAD) speichern, verarbeiten oder übertragen.
Die neue Version der Norm wurde am 31. März 2022 veröffentlicht. Zu den Änderungen gegenüber der vorherigen Version 3.2.1 gehören:
- Erweiterung der Anforderung 8, um eine Multi-Faktor-Authentifizierung (MFA) für alle Zugriffe auf die Karteninhaberdaten-Umgebung zu implementieren.
- Aktualisierung der Firewall-Terminologie zu Netzwerksicherheitskontrollen, um ein breiteres Spektrum an Technologien zu unterstützen, die zur Erfüllung der Sicherheitsziele eingesetzt werden, die traditionell von Firewalls erfüllt werden.
- Erhöhte Flexibilität für Unternehmen, um zu zeigen, wie sie verschiedene Methoden zur Erreichung von Sicherheitszielen einsetzen.
- Hinzufügung gezielter Risikoanalysen, um den Unternehmen die Flexibilität zu geben, festzulegen, wie häufig sie bestimmte Tätigkeiten durchführen, je nach ihren geschäftlichen Bedürfnissen und ihrer Risikoexposition.
Einzelheiten zu den Aktualisierungen finden Sie im Dokument PCI DSS v4.0 Summary of Changes auf der Website des PCI SSC.
Was ist der PCI DSS?
Der Payment Card Industry Data Security Standard (PCI DSS) wurde entwickelt, um die Sicherheit der Daten von Zahlungskartenkonten zu fördern und zu verbessern und die umfassende Einführung einheitlicher Sicherheitsmaßnahmen für sensible Daten weltweit zu erleichtern. Der PCI DSS bietet einen Grundstock an technischen und betrieblichen Anforderungen zum Schutz von Kontodaten und ist Teil einer umfassenden Informationssicherheitspolitik.
Wer muss den PCI DSS einhalten?
Die Einhaltung des PCI DSS ist verpflichtend für Finanzinstitute, Online-Zahlungsabwickler, Händler, die Zahlungskarten akzeptieren, alle Unternehmen, die Zahlungskartentransaktionen abwickeln, Zahlungskartendaten speichern oder darauf zugreifen, sowie für alle Dienstleister, die Geschäfte im gesamten Ökosystem der Kartenverarbeitung ermöglichen.
Wann wird der PCI DSS 4.0 in Kraft treten?
Der PCI DSS v3.2.1 wird noch zwei Jahre nach der Veröffentlichung von v4.0 aktiv bleiben. So haben die Unternehmen Zeit, sich mit der neuen Version vertraut zu machen und die erforderlichen Änderungen zu planen und umzusetzen. Der Zeitplan für die Umsetzung ist in der nachstehenden Abbildung dargestellt.
Abbildung 1: Zeitplan für die Umsetzung von PCI DSS 4.0. Quelle: PCI SSC
Welche allgemeinen Hindernisse sind mit den Anforderungen des PCI DSS verbunden?
- Die Nichteinhaltung der Anforderungen des PCI DSS kann zu Geldstrafen, erhöhten Gebühren oder sogar zur Beendigung Ihrer Berechtigung führen, Zahlungskartentransaktionen zu verarbeiten.
- Die Einhaltung der Anforderungen des PCI DSS kann nicht isoliert betrachtet werden; Unternehmen unterliegen zahlreichen Sicherheitsvorschriften und Gesetzen zum Datenschutz und zur Privatsphäre. Auf der anderen Seite können Projekte zur Einhaltung der PCI-Anforderungen leicht durch umfassendere Sicherheitsinitiativen des Unternehmens in den Hintergrund gedrängt werden.
- Die Anleitungen und Empfehlungen im Zusammenhang mit den Anforderungen des PCI DSS umfassen gängige Praktiken, die meist bereits vorhanden sind. Einige Aspekte, insbesondere im Zusammenhang mit der Verschlüsselung und der Multi-Faktor-Authentifizierung, sind jedoch möglicherweise neu für das Unternehmen und die Implementierung kann Störungen verursachen und sich negativ auf die betriebliche Effizienz auswirken, wenn sie nicht richtig konzipiert ist.
- Es kann schnell passieren, ein fragmentiertes Sicherheitskonzept zu verfolgen, das auf mehreren proprietären Anbieterlösungen und unzureichenden Technologien basiert, die teuer und komplex im Betrieb sind und zusätzliche Schwachstellen schaffen.
- Es gibt Möglichkeiten, den Umfang der Verpflichtung zur Einhaltung der Anforderungen des PCI DSS zu reduzieren und damit Kosten und Auswirkungen zu verringern. Unternehmen können jedoch Zeit und Geld verschwenden, wenn sie nicht mit der gebotenen Sorgfalt sicherstellen, dass neue Systeme und Prozesse als PCI-DSS-konform akkreditiert werden.
Was sind die Strafen für die Nichteinhaltung der Anforderungen des PCI DSS?
Die Strafen für die Nichteinhaltung der Anforderungen des PCI DSS können Geldstrafen von 5000 bis 100.000 USD pro Monat umfassen. Zu den Sanktionen können auch erhöhte Prüfungsanforderungen und die mögliche Einstellung von Kreditkartenaktivitäten durch eine Händlerbank oder eine Kreditkartenmarke gehören.
Einhaltung des Payment Card Industry Data Security Standard 4.0 (PCI DSS)
Erfahren Sie mehr über die Konformität mit PCI DSS 4.0, dem neuesten Update des Payment Card Industry Data Security Standard, und wie Thales dabei helfen kann, Karteninhaberdaten in hybriden IT-Umgebungen zu schützen.
So kann Thales Ihr Unternehmen bei der Einhaltung des PCI DSS unterstützen
Thales verfügt über jahrzehntelange Erfahrung in der Unterstützung von Banken und Finanzinstituten bei der Einhaltung von Branchenvorschriften und bietet integrierte Produkte und Dienstleistungen an, mit denen Ihr Unternehmen gespeicherte Karteninhaberdaten schützen, für die Übertragung verschlüsseln, den Zugriff auf Need-to-know-Basis einschränken und Anwendungen zur Verwaltung von Zahlungstransaktionen schützen kann. Darüber hinaus arbeitet Thales eng mit Partnern zusammen, um umfassende Lösungen anzubieten, die den Umfang der Compliance-Belastung durch die Einhaltung der Anforderungen des PCI DSS reduzieren können.
Erfüllung der Anforderungen des PCI DSS 4.0
So unterstützt Thales Ihr Unternehmen:
- Entdeckung, Analyse und Priorisierung von Schwachstellen.
- Mandantenfähigkeit und Aufgabentrennung.
- Verschlüsselter Nicht-Konsolen-Verwaltungszugriff.
Lösungen:
Datensicherheit
So unterstützt Thales Ihr Unternehmen:
- Entdeckung und Klassifizierung von Karteninhaberdaten.
- Verschlüsselung und Tokenisierung von Karteninhaberdaten.
- Schutz von kryptographischen Schlüsseln in Geräten gemäß FIPS 140-2 L3.
- Verwaltung des Lebenszyklus von Schlüsseln und Secrets.
So unterstützt Thales Ihr Unternehmen:
- Tokenisierung und Verschlüsselung der Daten vor der Übertragung.
- High-Speed-Verschlüsselung von Data-in-Motion.
So unterstützt Thales Ihr Unternehmen:
- Prüfung des gesamten Datenverkehrs, Erkennung und Verhinderung webbasierter Angriffe mit WAF.
- Zulassung ausschließlich autorisierter Skripte auf der Zahlungsseite.
- Entdeckung, Analyse und Priorisierung von Schwachstellen.
- Vertrauensbasis gemäß FIPS 140-2 Level 3 für Anmeldedaten und Schlüssel.
So unterstützt Thales Ihr Unternehmen:
- Verhinderung des unbefugten Zugriffs auf geschützte Karteninhaberdaten und -Secrets.
- Aufgabentrennung und Zugriff mit den geringsten Rechten.
- Zentrale Verwaltung von Benutzeridentitäten und risikobasierten Authentifizierungsrichtlinien für Karteninhaberdatenumgebungen (CDE).
Lösungen:
Datensicherheit
Identitäts- und Zugriffsverwaltung
So unterstützt Thales Ihr Unternehmen:
- Sicherstellung, dass jedem Benutzer eindeutige Anmeldeinformationen zugewiesen werden.
- Breiteste Palette an Authentifizierungsmethoden und Formfaktoren.
- Zentral verwaltete Richtlinien von einem Authentifizierungs-Backend, das in der Cloud oder on-premises bereitgestellt wird.
Lösungen:
Identitäts- und Zugriffsverwaltung
Zugriffsverwaltung für Arbeitskräfte
So unterstützt Thales Ihr Unternehmen:
- Verschlüsselung und Tokenisierung von Daten mit Vernichtung der Schlüssel.
- Chipkarten für die physische Zugriffskontrolle.
So unterstützt Thales Ihr Unternehmen:
- Vollständiger Prüfpfad der Zugriffsereignisse auf Dateien, Schlüssel und Secrets, die an SIEM gesendet werden.
- Kontinuierliche Überprüfung der Prüfungsaktivitäten rund um die Uhr, 365 Tage pro Jahr
- Erkennung von Anomalien durch maschinelles Lernen, um verdächtiges Verhalten zu erkennen.
Lösungen:
Datensicherheit
Identitäts- und Zugriffsverwaltung
So unterstützt Thales Ihr Unternehmen:
- Verhinderung unautorisierter Änderungen an Zahlungsseiten durch die Zulassung ausschließlich autorisierter Skripte.
So unterstützt Thales Ihr Unternehmen:
- Identifizierung strukturierter und unstrukturierter regulierter Daten in der Cloud, in Big-Data-Umgebungen und in herkömmlichen Datenspeichern.
- Automatisierte Datenbereinigung, wenn ein anfälliges PAN außerhalb des CDE gefunden wird.
Weitere Ressourcen
Weitere wichtige Datenschutz- und Sicherheitsverordnungen
PCI HSM
MANDAT | JETZT AKTIV
Die PCI-HSM-Spezifikation definiert eine Reihe von logischen und physischen Sicherheitsstandards für HSMs speziell für die Zahlungsindustrie. Die PCI-HSM-Konformitätszertifizierung setzt die Einhaltung dieser Standards voraus.
DORA
VERORDNUNG | JETZT AKTIV
DORA hat zum Ziel, die IT-Sicherheit von Finanzinstituten zu stärken, um sicherzustellen, dass der Finanzsektor in Europa angesichts des zunehmenden Umfangs und der Schwere von Cyber-Angriffen widerstandsfähig ist.
Gesetze zur Meldepflicht von Datenschutzverletzungen
VERORDNUNG | JETZT AKTIV
Weltweit haben Länder Verordnungen zur Meldung von Datenschutzverletzungen nach dem Verlust personenbezogener Daten erlassen. Diese Verordnungen variieren von Land zu Land, enthalten aber fast immer eine „Safe Harbor“-Klausel.
GLBA
VERORDNUNG | JETZT AKTIV
Der Gramm-Leach-Bliley Act (GLBA) – auch bekannt als Financial Services Modernization Act von 1999 – verpflichtet Finanzinstitute, ihren Kunden ihre Vorgehensweise in Bezug auf die Weitergabe von Daten zu erklären und sensible Daten zu schützen.