PCI-Compliance-Checkliste PDF

Ein schneller Blick auf die über 300 Kontrollen, 12 Anforderungen und sechs Kontrollziele des PCI DSS macht eines deutlich: PCI-Compliance ist kein Zuckerschlecken.

Um den Prozess etwas zu erleichtern, haben wir eine Checkliste erstellt, die jede der 12 Anforderungen durchgeht und wichtige Richtlinien-, Prozess- und Implementierungsschritte hervorhebt.

Unsere Checkliste hilft Ihnen, so viele dieser Aufgaben wie möglich abzuhaken, bevor Sie den formalen PCI DSS-Compliance-Prozess beginnen.

Lassen Sie uns eintauchen.

Kurzer Überblick: Was ist PCI-Compliance?

PCI DSS, das für Payment Card Industry Data Security Standard steht, wird von den großen Kreditkartenunternehmen vorgeschrieben, um den Schutz von Kontodaten zu standardisieren. PCI bietet klare Richtlinien dafür, wie diese sensiblen Daten erfasst, verarbeitet und gespeichert werden.

PCI-Compliance ist für jedes Unternehmen erforderlich, das Karteninhaberdaten und/oder sensible Authentifizierungsdaten verarbeitet, speichert, überträgt oder die Sicherheit dieser Daten beeinflusst.

Es gibt verschiedene Compliance-Stufen, die davon abhängen, wie viele Karten-Transaktionen Sie im Laufe eines Jahres abwickeln oder einfach basierend auf dem Risiko. Je mehr Karten-Transaktionen Sie abwickeln oder je höher Ihr Risikoniveau ist, desto rigoroser wird Ihr PCI-Compliance-Audit-Prozess sein.

Bei Nicht-Compliance können Geldstrafen und Sanktionen, eine erhöhte Wahrscheinlichkeit von Datenverletzungen und der Verlust der Händlerlizenz oder die Fähigkeit zur Zusammenarbeit mit Zahlungsabwicklern die Folge sein.

Der PCI Security Standards Council (PCI SSC) erstellt und aktualisiert den PCI DSS-Standard als Teil eines kontinuierlichen Bestrebens, die Sicherheit von Zahlungskontodaten zu fördern und zu verbessern sowie die breite Einführung konsistenter Datensicherheitsmaßnahmen weltweit zu erleichtern. PCI v4.0.1 ist die neueste Version des Standards.

Die 12 PCI DSS-Anforderungen

Der PCI DSS-Standard umfasst 6 Ziele und 12 Hauptanforderungen mit Unteranforderungen, die genau angeben, welche Kontrollen implementiert werden müssen. Die Anforderungen beinhalten eine Mischung aus technischen und operativen Kontrollen, die zum Schutz von Kontodaten entwickelt wurden.

Jede PCI-Konformitätsanforderung ist einem von sechs spezifischen Zielen zugeordnet, die Folgendes umfassen:

Jede Anforderung ist einem der sechs spezifischen PCI DSS-Ziele zugeordnet, die Folgendes umfassen:

1. Ein sicheres Netzwerk aufbauen und pflegen
2. Karteninhaberdaten schützen
3. Ein Programm zur Verwaltung von Schwachstellen einrichten und pflegen
4. Starke Zugriffssteuerungsmaßnahmen implementieren
5. Netzwerke regelmäßig überwachen und testen
6. Eine Informationssicherheitspolitik aufrechterhalten

. Die Ziele und Anforderungen sind im folgenden Bild aufgeführt.

Ein Unternehmen gilt als PCI-konform, wenn es bestätigen kann, dass alle für seine Umgebung geltenden Anforderungen erfüllt sind.

Nachfolgend finden Sie einen kurzen Überblick über jede Anforderung.

1. Installieren und Warten von Netzwerksicherheitskontrollen

Organisationen müssen Netzwerksicherheitskontrollen (NSCs) einrichten und warten, um den Datenverkehr innerhalb ihres Netzwerks – insbesondere der Karteninhaber-Datenumgebung (CDE) – zu steuern und ihre Systeme und Daten vor dem Zugriff auf nicht vertrauenswürdige Netzwerke wie das Internet zu schützen. Früher verließen sich Organisationen hauptsächlich auf physische Firewalls, um den unautorisierten Zugriff zu verhindern. Heutzutage verwenden sie virtuelle Geräte, Cloud-Zugriffskontrollen, Virtualisierungs-/Containersysteme, Router, die mit Zugriffskontrolllisten konfiguriert sind, und andere softwaredefinierte Netzwerktechnologien zusätzlich zu Firewalls.

2. Sichere Konfigurationen für alle Systemkomponenten anwenden

Da böswillige Personen häufig Standardpasswörter und andere Standard-Einstellungen von Anbietern verwenden, um Systeme zu kompromittieren, müssen Organisationen sichere Konfigurationen für alle Systemkomponenten anwenden, um das Risiko, das diese Personen darstellen, zu verringern. Das bedeutet:

• Standardpasswörter ändern
• Unnötige Software, Funktionen und Konten entfernen
• Unnötige Dienste deaktivieren oder entfernen

3. Gespeicherte Kontodaten schützen

Organisationen müssen gespeicherte Kontodaten durch die Implementierung starker Schutzmethoden wie Verschlüsselung, Kürzung, Maskierung und Hashing schützen. Es sollten auch Richtlinien zur Datenspeicherung und -entsorgung vorhanden sein, um die Speicherdauer zu minimieren und Daten, die nicht mehr benötigt werden, sicher zu entfernen.

4. Schützen Sie Karteninhaberdaten mit starker Kryptographie während der Übertragung über offene, öffentliche Netzwerke

Fehlkonfigurierte drahtlose Netzwerke und Schwachstellen in alten Verschlüsselungs- und Authentifizierungsprotokollen werden weiterhin von böswilligen Personen angegriffen, um privilegierten Zugriff auf Karteninhaberdaten zu erhalten. Um Kompromittierungen zu verhindern, müssen Organisationen starke Verschlüsselungsprotokolle während der Übertragung von Karteninhaberdaten über offene, öffentliche Netzwerke verwenden.

5. Schützen Sie alle Systeme und Netzwerke vor bösartiger Software

Es ist entscheidend, dass Organisationen Anti-Malware-Lösungen verwenden, um Systeme vor allen Arten von Malware zu schützen, wie:

• Viren
• Würmer
• Trojaner
• Spyware
• Ransomware
• Keylogger
• Rootkits
• bösartigem Code, Skripten und Links

Regelmäßige Updates und Scans müssen durchgeführt werden, um sicherzustellen, dass die Systeme gegen aktuelle und sich entwickelnde Bedrohungen geschützt bleiben.

6. Entwickeln und Warten Sie sichere Systeme und Software

Böswillige Personen können auch Sicherheitslücken nutzen, um privilegierten Zugriff auf Systeme zu erlangen.

Um dieses Risiko zu verringern, müssen Organisationen sichere Systeme und Software entwickeln und warten, indem sie sichere Codierungsrichtlinien befolgen und regelmäßige Sicherheitsüberprüfungen durchführen. Dazu gehört auch das sofortige Anwenden von vom Anbieter bereitgestellten Sicherheitspatches, um Schwachstellen zu beheben.

7. Beschränken Sie den Zugriff auf Systemkomponenten und Karteninhaberdaten nach geschäftlichen Erfordernissen

Hacker können ineffektive Zugriffssteuerungsregeln und -definitionen ausnutzen, um unbefugten Zugriff auf kritische Daten oder Systeme zu erlangen.

Organisationen müssen Systeme und Prozesse einrichten, um den Zugriff auf Systeme, Anwendungen und Daten nach den Prinzipien des geringsten Privilegs und des Erforderlichkeitsprinzips zu beschränken. Das bedeutet, dass Einzelpersonen das minimale Maß an Privilegien und den Zugriff auf die geringstmögliche Menge an Daten haben sollten, die zur Erfüllung ihrer Aufgaben erforderlich sind.

8. Identifizieren Sie Benutzer und authentifizieren Sie den Zugriff auf Systemkomponenten

Organisationen müssen starke Zugriffssteuerungsmaßnahmen implementieren, um sicherzustellen, dass nur autorisierte Personen auf Systemkomponenten zugreifen können. Dazu gehört die Verwendung von Multi-Faktor-Authentifizierung und eindeutigen IDs für alle Benutzer, das Entfernen oder Deaktivieren inaktiver Benutzerkonten und das Festlegen von Passwortanforderungen.

9. Beschränken Sie den physischen Zugriff auf Karteninhaberdaten

Der physische Zugriff auf Karteninhaberdaten oder Systeme, die Karteninhaberdaten speichern, verarbeiten oder übertragen, muss eingeschränkt werden, um unbefugten Zugriff zu verhindern. Dies beinhaltet die Sicherung physischer Standorte, an denen Daten gespeichert werden, und sicherzustellen, dass der Zugriff nur autorisiertem Personal gewährt wird.

10. Protokollieren und überwachen Sie den gesamten Zugriff auf Systemkomponenten und Karteninhaberdaten

Umfassende Protokollierung und Überwachung des gesamten Zugriffs auf Systemkomponenten und Karteninhaberdaten müssen vorhanden sein, um eine Datenkompromittierung zu verhindern, zu erkennen oder zu minimieren. Protokolle sollten regelmäßig überprüft werden, um unbefugten Zugriff oder Anomalien zu erkennen und darauf zu reagieren.

11. Testen Sie regelmäßig die Sicherheit von Systemen und Netzwerken

Schwachstellen werden kontinuierlich von böswilligen Personen entdeckt und durch neue Software eingeführt. Organisationen müssen regelmäßig Sicherheitssysteme, Prozesse und Software durch Schwachstellenbewertungen, Penetrationstests und andere Sicherheitstestmethoden testen, um sicherzustellen, dass Sicherheitskontrollen in einer sich ändernden Umgebung wirksam sind, und um neue Schwachstellen zu identifizieren und zu beheben.

12. Unterstützen Sie die Informationssicherheit mit organisatorischen Richtlinien und Programmen

Ein starkes Informationssicherheitsprogramm, das von organisatorischen Richtlinien unterstützt wird, ist entscheidend, um sicherzustellen, dass alle Mitarbeiter sich der Sensibilität von Karteninhaberdaten und ihrer Verantwortung für deren Schutz bewusst sind. Dies erfordert, dass Organisationen:

• Informationssicherheits- und akzeptable Nutzungsrichtlinien aufrechterhalten
• Risiken für die Karteninhaberdatenumgebung identifizieren, bewerten und verwalten
• regelmäßige Schulungs- und Sensibilisierungsprogramme für Mitarbeiter durchführen
• Risiken von Drittanbietern verwalten

PCI-DSS-Compliance-Checkliste

Wir haben eine interaktive Checkliste erstellt, um Ihnen den Einstieg in Ihre Compliance-Reise zu erleichtern. Während unsere Checkliste nicht erschöpfend ist, bietet sie einen grundlegenden Ausgangspunkt bei der Vorbereitung auf die PCI-DSS-Compliance.

Zusätzliche Anforderungen für Dienstanbieter und Herausgeber

Es gibt zusätzliche Anforderungen speziell für Dienstanbieter und Herausgeber, die wir möglicherweise in unserer obigen Checkliste nicht abgedeckt haben. Um eine vollständige Liste aller für Sie geltenden Anforderungen zu sehen, besuchen Sie die offizielle Website der PCI Security Standards.

Wie Secureframe den PCI DSS-Compliance-Prozess vereinfachen kann

Wenn die obige Checkliste entmutigend aussieht, wissen Sie, dass Sie den PCI-Compliance-Prozess nicht alleine durchlaufen müssen.

Secureframe hat PCI-Experten, die Ihnen bei jedem Schritt helfen können.

Als Secureframe-Kunde können Sie sich an Ihren Compliance-Manager wenden, um eine ausführliche Diskussion über Ihre aktuelle Umgebung und Ihren Umfang zu führen, um genau zu bestimmen, welche Kontrollen für Sie gelten und wie Sie diese innerhalb Ihrer Umgebung implementieren können, um die neueste Version von PCI DSS zu erfüllen.

Sie können dann die Secureframe-Plattform verwenden, um Aufgaben-, Kontroll- und Überprüfungseigner zuzuweisen, die Durchführung von Sicherheitsschulung und Richtlinienakzeptanz zu verwalten, Ihre Risikobewertung abzuschließen und automatisierte Tests mit der Unterstützung unserer Compliance-Manager zu beheben. Secureframe-Compliance-Manager können auch eine Bereitschaftsbewertung mit Ihnen durchführen, bevor Ihr Prüfer die tatsächliche Bewertung durchführt, damit Sie vor dem eigentlichen Audit sicher in Ihrer PCI DSS v 4.0.1-Compliance sind.

Schließlich können Sie einen unserer Partner-QSAs auswählen, um die Feldarbeit direkt innerhalb der Plattform durchzuführen.

Fordern Sie eine Demo an, um mehr darüber zu erfahren, wie unsere Compliance-Automatisierungsplattform den PCI-Compliance-Prozess optimieren kann.