Um Karteninhaberdaten sicher zu halten, müssen Sie zunächst alle Aspekte Ihres Geschäfts verstehen, die mit der Sicherheit der Daten der Karteninhaber zusammenhängen. Der Prozess zur Identifizierung all dieser Komponenten wird als PCI-Abgrenzung bezeichnet.

Der PCI-Umfang bezieht sich auf alle Personen, Prozesse und Technologien, die mit Karteninhaberdaten in Berührung kommen oder deren Sicherheit beeinflussen könnten.

Jedes System, das Teil Ihrer Karteninhaber-Datenumgebung (CDE) ist, wird als „im Geltungsbereich“ bezeichnet. Je mehr Systeme im Geltungsbereich stehen, desto schwieriger ist es, Ihre CDE zu sichern und zu verwalten.

Das Verständnis Ihres Umfangs und dessen Reduzierung, wo immer möglich, ist entscheidend, um den Zeit- und Kostenaufwand für das Erreichen der PCI-Konformität zu minimieren.

In diesem Artikel erklären wir, was ein System im Geltungsbereich oder außerhalb des Geltungsbereichs ausmacht, und geben Tipps, wie Sie den Umfang reduzieren können, um Ihren Compliance-Prozess zu vereinfachen.

Was ist PCI-Umfang?

Der PCI-Umfang bezieht sich auf die Personen, Prozesse und Technologien, die mit Karteninhaberdaten interagieren oder deren Sicherheit beeinflussen. Einfach ausgedrückt: Wenn ein Aspekt Ihres Geschäfts Karteninhaberdaten verarbeitet, speichert oder überträgt, wird er als im Geltungsbereich betrachtet.

Bevor Sie Ihre PCI-Konformitätsreise beginnen, müssen Sie zunächst den Umfang Ihres Unternehmens bestimmen. Dazu identifizieren Sie alle Systemkomponenten, die in die CDE einbezogen oder mit ihr verbunden sind. Diese Komponenten sollten gemäß den anwendbaren Anforderungen des PCI DSS-Standards gesichert werden.

Die Kartierung Ihrer CDE ist ein guter Ausgangspunkt, um den Gesamtumfang zu bestimmen. Es gehört jedoch mehr dazu.

Eine genaue PCI DSS-Abgrenzung erfordert auch das Verständnis, wie Karteninhaberdaten innerhalb der Umgebung fließen.

Während der Abgrenzungsübung, die zu Beginn Ihrer PCI-Konformitätsreise stattfinden wird, kategorisieren Sie Systeme in drei Kategorien: im Geltungsbereich, außerhalb des Geltungsbereichs und verbunden. Wir erklären die Bedeutung dieser Begriffe unten.

Wann wird ein System als im Geltungsbereich betrachtet?

Ein System wird als im Geltungsbereich betrachtet, wenn es mit Karteninhaberdaten und deren Sicherheit in Verbindung steht, diese beeinflusst oder berührt.

Eine Faustregel für die PCI-Abgrenzung ist es, zunächst alles als relevant zu betrachten, bevor systematisch die nicht relevanten Komponenten ausgeschlossen werden. Dies hilft sicherzustellen, dass keine kritischen Systeme, Personen oder Prozesse übersehen werden.

Es gibt einige „Regeln“ zur Abgrenzung, die in allen Szenarien gelten:

• Systeme, die sich innerhalb der CDE befinden, sind unabhängig von ihrer Funktion oder dem Grund ihrer Umgebung relevant.
• Systeme, die eine Verbindung zu einem System in der CDE herstellen, sind unabhängig von ihrer Funktion oder dem Grund ihrer Verbindung relevant.

Es gibt zwei Kategorien von Systemen, die als relevant betrachtet werden: CDE-Systeme und verbundene bzw. sicherheitsrelevante Systeme.

Kartendatenumgebungssysteme (CDE-Systeme)

Zu den CDE-Systemkomponenten gehören Netzwerkgeräte, Server, Rechengeräte und Anwendungen. Diese werden gemäß PCI DSS als relevant betrachtet, da sie direkt mit der Sicherheit der Kartendaten in Verbindung stehen und diese beeinflussen.

Diese Systeme sollten anhand aller relevanten PCI DSS-Anforderungen bewertet werden. Die implementierten Kontrollen zum Schutz der relevanten Systeme sollten mindestens einmal jährlich überprüft werden.

Verbundene und sicherheitsrelevante Systeme

Verbundene oder sicherheitsrelevante Systeme werden ebenfalls als relevant betrachtet. Diese Arten von Systemen haben einen Kommunikationsweg (physisch oder logisch) zu einem oder mehreren Systemen in der CDE.

Die Implementierung dieser Technologien kann kompliziert sein. Der PCI Security Standards Council (PCI SSC) empfiehlt, sich mit einem Experten zu beraten, um die potenziellen Sicherheitsauswirkungen, die verbundene Systeme auf Ihren Umfang haben, zu bestimmen.

Wann wird ein System als außerhalb des Umfangs betrachtet?

Systeme, die keinen Zugang zu CDE-Komponenten haben, müssen keine PCI-Sicherheitskontrollen implementieren.

Systeme, die als außerhalb des Umfangs betrachtet werden, werden auch „untrusted systems“ genannt, weil keine Garantie besteht, dass sie ausreichend geschützt sind.

Damit ein System außerhalb des Umfangs betrachtet werden kann, muss es alle der folgenden Anforderungen erfüllen:

• Komponenten dürfen keine Kartendaten oder sensitiven Authentifizierungsdaten (SAD) speichern, verarbeiten oder übertragen.
• Sie dürfen keinen Netzwerksegment, Subnetz oder virtuellen lokalen Bereich (VLAN) mit Systemen teilen, die Kartendaten oder SAD speichern, verarbeiten oder übertragen.
• Komponenten dürfen keine Verbindung zur CDE herstellen oder Zugang zu irgendeinem Teil der CDE haben.
• Sie dürfen nicht über ein im Umfang befindliches System Zugang zur CDE erlangen oder dessen Sicherheitskontrollen beeinflussen können.
• Sie dürfen keine der für verbundene, sicherheitsrelevante oder im Umfang befindliche Systeme oder Systemkomponenten definierten Kriterien erfüllen.

Wenn ein System nicht alle oben genannten Anforderungen erfüllt, wird es als im Umfang betrachtet.

Nur weil ein System als außerhalb des Umfangs betrachtet wird, bedeutet dies nicht, dass es keine Sicherheitsmaßnahmen verdient. Es wird empfohlen, bewährte Sicherheitspraktiken anzuwenden, um Ihre außerhalb des Umfangs befindlichen Systeme und Netzwerke zu schützen.

Was ist Segmentierung?

Sie fragen sich vielleicht, ob es eine Möglichkeit gibt, Ihren PCI-Umfang zu reduzieren. Die Antwort ist ja. Dieser Prozess wird als Segmentierung bezeichnet.

Segmentierung ermöglicht es einem Unternehmen, zusätzliche Sicherheitskontrollen anzuwenden, um Systeme, die mit Karteninhaberdaten umgehen, von denen zu isolieren, die dies nicht tun. Die Segmentierung ist vergleichbar mit dem Bau eines Zauns um Ihr Haus. Es schützt nicht nur Ihre Familie und Ihr Zuhause, sondern hält auch Eindringlinge fern.

Segmentierung ermöglicht es Ihnen, Ihr CDE von nicht in den Geltungsbereich fallenden Netzwerken „abzuschotten“. Gängige Segmentierungsmethoden umfassen VLANs und Firewalls.

Bei korrekter Implementierung hat ein kompromittiertes Netzwerk außerhalb des Geltungsbereichs keine Auswirkungen auf Ihr CDE.

PCI SSC ermutigt Unternehmen, die Segmentierung zu verwenden, um die Kosten der PCI-Konformität zu senken, den Prozess der Implementierung und Wartung von PCI-Kontrollen zu vereinfachen und das organisatorische Risiko zu reduzieren, indem Karteninhaberdaten in weniger, sicherere Standorte konsolidiert werden.

Ohne Segmentierung (auch als flaches Netzwerk bekannt) gilt Ihr gesamtes Netzwerk gemäß PCI DSS-Standard als im Geltungsbereich.

Es gibt zwei Arten von Segmentierungsmethoden:

• Physische Segmentierung isoliert CDE-Systeme von nicht in den Geltungsbereich fallenden Systemen mit physisch getrennten Netzwerken, Firewalls oder Servern.
• Logische Segmentierung isoliert CDE-Systeme von nicht in den Geltungsbereich fallenden Systemen unter Verwendung interner Netzwerk-Firewalls, Router oder anderer Technologien, die den Zugriff auf oder von einem bestimmten Netzwerksegment einschränken.

Ein Unternehmen kann sich entscheiden, eine dieser Segmentierungsmethoden oder eine Kombination aus beiden zu verwenden.

Wie man sein CDE abgrenzt

PCI SSC veröffentlichte 2016 einen hilfreichen Abgrenzungsleitfaden, der eine sechsstufige Abgrenzungsübung enthält, um Ihnen bei der Bestimmung und Verwaltung Ihres Geltungsbereichs zu helfen.

1. Identifizieren Sie alle Zahlungskanäle

Beginnen Sie damit, zu identifizieren, wie und wo Ihre Organisation Karteninhaberdaten empfängt. Betrachten Sie den gesamten Lebenszyklus der Karteninhaberdaten vom Zeitpunkt des Empfangs bis zur Entsorgung.

2. Kartieren Sie den Datenfluss der Karteninhaberdaten

Dokumentieren Sie als nächstes, wie die Karteninhaberdaten durch Ihr Unternehmen fließen.

Identifizieren und dokumentieren Sie auch die Personen, Prozesse und Technologien, die an der Speicherung, Verarbeitung oder Übertragung der Daten beteiligt sind. Diese Personen, Prozesse und Systeme gelten alle als Teil Ihres CDE.

3. Identifizieren Sie andere verbundene und sicherheitsrelevante Systeme

Untersuchen Sie Ihre Prozesse, Systemkomponenten und Mitarbeiter, die die Sicherheit der Karteninhaberdaten beeinträchtigen oder beeinflussen können. Diese Personen, Prozesse und Technologien gelten ebenfalls als im Geltungsbereich.

4. Implementieren Sie Kontrollen zur Minimierung des Geltungsbereichs

Beginnen Sie nach der Identifizierung aller Personen, Prozesse und Technologien im Geltungsbereich mit der Segmentierung Ihres Netzwerks, um Verbindungen zwischen Karteninhaberdaten und Systemen im Geltungsbereich nur auf das Notwendigste zu beschränken.

5. Implementieren Sie alle anwendbaren PCI-Anforderungen

Identifizieren und implementieren Sie nach der Reduzierung Ihres Geltungsbereichs die PCI DSS-Anforderungen, die für Ihre im Geltungsbereich befindlichen Systeme, Prozesse und Mitarbeiter gelten.

6. Pflegen und überwachen Sie Ihren Geltungsbereich

Stellen Sie sicher, dass die von Ihnen implementierten Kontrollen nach Erfüllung der PCI-Anforderungen für alle Systeme im Geltungsbereich weiterhin effektiv bleiben. Sie sollten auch einen Prozess erstellen, um Ihren Geltungsbereich zu aktualisieren, wenn Änderungen an Systemen, Prozessen und Mitarbeitern vorgenommen werden.

PCI Abgrenzungsüberlegungen

Das PCI SSC hat einige zusätzliche Richtlinien zum Verständnis und zur Aufrechterhaltung Ihres Geltungsbereichs herausgegeben. Hier sind einige wichtige Überlegungen, die Sie beachten sollten.

• Segmentierung reduziert Ihren Geltungsbereich nicht automatisch. Stattdessen muss die Segmentierung mit Zweck und Absicht aufgebaut werden, um sicherzustellen, dass der CDE ausreichend geschützt ist.
• Der PCI-Geltungsbereich sollte jährlich neu bewertet werden. Während dieser Überprüfung sollte das Unternehmen eine weitere PCI-Abgrenzungsübung durchführen, um den Fluss der Karteninhaberdaten zu untersuchen und neue Systeme im Geltungsbereich zu identifizieren. Dokumentationen sollten Jahr für Jahr als Nachweis bei Audits aufbewahrt werden.
• Netzwerksegmente sollten jährlich einer PCI-Penetrationstestung unterzogen werden. Diese Tests werden die Wirksamkeit Ihrer Segmentierungsmethoden sicherstellen und dabei helfen, Schwachstellen zu identifizieren, bevor sie die Sicherheit der Karteninhaberdaten beeinträchtigen.

Weitere Möglichkeiten zur Reduzierung Ihres PCI DSS-Geltungsbereichs

Während die Segmentierung eine der häufigsten Methoden zur Reduzierung des PCI-Geltungsbereichs ist, gibt es zusätzliche Schritte, die Sie unternehmen können.

Keine Daten speichern, die Sie nicht benötigen

Dieser Punkt ist einfach: Wenn Sie keine Karteninhaberdaten benötigen, speichern Sie sie nicht.

Die Speicherung von Karteninhaberdaten führt zu strengen Vorschriften gemäß PCI DSS Anforderung 3, die die Erstellung und Durchsetzung von Richtlinien zur Identifizierung, Aufbewahrung und Löschung betreffen.

Indem Sie unnötige Karteninhaberdaten vermeiden, reduzieren Sie nicht nur Ihren Geltungsbereich, sondern vereinfachen auch Ihren PCI-Compliance-Prozess.

Tokenisierung

Tokenisierung wandelt Karteninhaberdaten in algorithmisch generierte Buchstaben und Zahlen um.

Sobald der Prozess abgeschlossen ist, gelten Token nicht mehr als Karteninhaberdaten. Das bedeutet, dass die Systeme, die Token verarbeiten, speichern oder übertragen, nicht im Geltungsbereich betrachtet werden.

Verwendung einer PCI-gelisteten P2PE-Lösung

Wenn Ihr Unternehmen Zahlungen in einem Ladengeschäft durchführt, hilft die Verwendung einer Point-to-Point-Verschlüsselung (P2PE)-Lösung am Verkaufsort, Ihren Geltungsbereich zu reduzieren.

Ein P2PE-Tool verschlüsselt Karteninhaberdaten, und nur der Lösungsanbieter kann sie entschlüsseln. Das bedeutet, dass der Händler niemals Zugang zu den unverschlüsselten Kontodaten hat.

Unternehmen, die eine P2PE-Lösung verwenden, müssen ein P2PE SAQ ausfüllen, was ein wesentlich weniger strenger Bewertungsprozess im Vergleich zu anderen SAQ-Typen ist.

Auslagerung an einen Drittanbieter

Sie können auch bestimmte Aspekte Ihrer Karteninhaberdatenverwaltung an einen Drittanbieter auslagern.

Sie sind jedoch letztendlich weiterhin verantwortlich für den Schutz der Karteninhaberdaten und müssen sicherstellen, dass die Drittanbieter, mit denen Sie zusammenarbeiten, den geltenden PCI-Anforderungen entsprechen.

Wie Secureframe Ihnen helfen kann, Ihren CDE zu erfassen

Wenn Ihnen die Bestimmung Ihres Umfangs immer noch überwältigend erscheint, sind wir hier, um Ihnen zu helfen.

Das PCI DSS Expertenteam von Secureframe führt Sie durch den gesamten Scoping-Prozess, bevor es Ihnen beim Rest des Compliance-Wegs hilft.

Bereit, loszulegen? Fordern Sie noch heute eine Demo mit unserem Team an.