Die PCI-Compliance erfordert über 300 Sicherheitskontrollen und ein Dutzend Anforderungen, die von Netzwerksicherheit bis zur Datenverschlüsselung reichen. Für die meisten Unternehmen ist es ein schwieriger und teurer Prozess, die Compliance zu erreichen und aufrechtzuerhalten – aber das muss nicht sein.

In diesem Beitrag erklären wir, wie die Tokenisierung Ihre Bemühungen zur Einhaltung des PCI DSS vereinfachen kann.

Wir werden Erkenntnisse aus dem Secureframe Expert Insights-Webinar vom 9. März verwenden, das von Secureframe-Compliance-Experte Marc Rubbinaccio, CISSP, CISA und Basis Theory-Mitbegründer und COO Brian Billingsley moderiert wurde. Für alle ihre Tipps zur Vereinfachung der PCI-Compliance durch Tokenisierung und Automatisierung, sehen Sie sich das On-Demand-Video an.

Was ist PCI-Tokenisierung?

Tokenisierung bezieht sich auf den Prozess des Austauschs sensibler Daten gegen einen nicht-sensiblen, nicht-ausnutzbaren Identifikator (einen „Token“).

Einige Händler, die den PCI DSS einhalten müssen, verwenden die Tokenisierung, um die Notwendigkeit zu reduzieren oder zu eliminieren, Karteninhaberdaten (CHD) in ihrer Umgebung aufzubewahren, nachdem die ersten Transaktionen verarbeitet wurden. Der Austausch von CHD durch Tokens reduziert die Menge der Karteninhaberdaten in der Umgebung und die Anzahl der Systemkomponenten, für die die PCI-DSS-Anforderungen gelten, was die Einhaltung der Vorschriften vereinfachen kann.

Durch die Zusammenarbeit mit einem Anbieter von Tokenisierungsdiensten können Organisationen, die eine PCI-Compliance anstreben, weiterhin Karteninhaberdaten speichern, verarbeiten und übertragen, ohne für die Sicherheit dieser Daten verantwortlich zu sein. Sie übertragen dieses Risiko stattdessen auf den Dienstanbieter.

Es ist wichtig zu beachten, dass die PCI-DSS-Anforderung 3.2 die Speicherung sensibler Authentifizierungsdaten nach der Autorisierung nicht erlaubt, einschließlich Magnetstreifen-Daten oder der entsprechenden Daten auf einem Chip, CAV2 / CVC2 / CVV2 / CID Daten und PINs / PIN-Blöcke, es sei denn, Sie führen auch Ausgabetätigkeiten durch.

Erfordert PCI die Tokenisierung?

Nein, PCI erfordert keine Tokenisierung zur Speicherung von Karteninhaberdaten. Die Verwendung der Tokenisierung kann jedoch den gesamten PCI-Bereich reduzieren und somit den Aufwand verringern, der für die Einhaltung der PCI-DSS-Anforderungen erforderlich ist. Daher ist es eine zunehmend verbreitete Datenstrategie für Organisationen, die eine PCI-DSS-Compliance anstreben.

Wie unterscheidet sich Tokenisierung von Verschlüsselung?

Tokenisierung und Verschlüsselung sind beides Methoden zum Schutz sensibler Daten, aber sie haben wesentliche Unterschiede.

Die Verschlüsselung wandelt lesbare sensible Daten (Klartext) in unlesbaren Text (Chiffretext) um. Ziel der Verschlüsselung ist es, sensible Daten für unbefugte Personen unlesbar zu machen. Nur autorisierte Benutzer mit dem Entschlüsselungsschlüssel sollten in der Lage sein, den Chiffretext wieder in seine lesbare Form umzuwandeln. Da die Verschlüsselung die Nutzung und Verwaltung von Schlüsseln erfordert, müssen Organisationen starke Schlüsselverwaltungsprozesse implementieren. Ohne diese könnten Entschlüsselungsschlüssel in die Hände von Personen gelangen, die keinen Zugriff auf sensible Daten haben sollten.

Die Schlüsselverwaltung stellt Herausforderungen dar, um verschlüsselte Daten sicher zu halten. Die Nutzung von Tokenisierung als Dienstleistung erfordert überhaupt keine Schlüsselverwaltung.

Bei der Tokenisierung werden sensible Daten durch einzigartige, nicht sensible Token ersetzt, was das Risiko verringert, dass ein Angreifer auf die tatsächlichen sensiblen Daten zugreift. Tokens können gespeichert, verarbeitet und übertragen werden, ohne sensible Informationen preiszugeben. Im Falle eines Datenverstoßes beispielsweise würden keine sensiblen Daten verarbeitet, gespeichert oder übertragen werden – nur nicht umkehrbare Tokens.

Was ist das Format eines PCI-Tokens?

Tokens können im Format variieren und können je nach Tokenisierungsanbieter auf unterschiedliche Weise generiert werden.

Ein Token, das eine primäre Kontonummer (PAN) ersetzt, wird wahrscheinlich eine ähnliche Struktur haben oder kann nur aus numerischen Zeichen, alphabetischen und numerischen Zeichen oder den ersten und letzten Ziffern der PAN bestehen, wobei alphabetische und numerische Zeichen die mittleren Ziffern ersetzen, unter anderen Formaten.

Quelle: PCI SSC's PCI DSS Tokenisierungsrichtlinien

Wie funktioniert die PCI-Tokenisierung?

Der Tokenisierungsprozess variiert je nach Tokenisierungsplattform, kann jedoch typischerweise in die folgenden Hauptschritte unterteilt werden.

Zunächst sammelt und übermittelt eine Anwendung CHD, einschließlich der PAN, an die Tokenisierungsplattform, die vom Tokenisierungsdienstanbieter bereitgestellt wird. Die Plattform generiert dann ein eindeutiges Token, das den ursprünglichen Zahlungsdaten entspricht. Der Tokenisierungsanbieter speichert die sensiblen Daten in einer geschützten Datenbank und muss die PCI-Anforderungen in Bezug auf die Speicherung von CHD einhalten.

Der Tokenisierungsanbieter sendet dann das Token zurück an die Organisation, die dieses nun auf dieselbe Weise wie tatsächliche Zahlungsdaten nutzen kann. Wenn die Organisation das Token verwenden möchte, sendet sie das Token an den Tokenisierungsanbieter, und dieser verwendet die Zahlungsdaten anstelle des Tokens.

PCI DSS Tokenisierungsanforderungen

Da das Tokenisierungssystem Karteninhaberdaten speichert, verarbeitet und/oder überträgt, muss es PCI DSS-konform sein. Die gute Nachricht ist, dass Sie dann die Bestätigung der Konformität des Tokenisierungsanbieters nutzen können, um viele der Anforderungen im Zusammenhang mit der Sicherheit von Karteninhaberdaten zu erfüllen.

Einige wichtige Anforderungen, die das Tokenisierungssystem erfüllen muss, sind:

• Geben Sie keine PAN als Antwort auf eine Anwendung, ein System, ein Netzwerk oder einen Benutzer außerhalb der definierten Karteninhaberdatenumgebung des Händlers zurück.
• Richten Sie alle Tokenisierungskomponenten in sicheren internen Netzwerken ein, die von nicht vertrauenswürdigen und nicht relevanten Netzwerken isoliert sind.
• Entwerfen Sie alle Tokenisierungskomponenten nach strengen Konfigurationsstandards und schützen Sie sie vor Schwachstellen.
• Erlauben Sie nur vertrauenswürdige Kommunikationen innerhalb und außerhalb der Tokenisierungsumgebung.
• Erzwingen Sie starke Kryptografie und Sicherheitsprotokolle, um Karteninhaberdaten bei der Speicherung und Übertragung über offene, öffentliche Netzwerke zu schützen.
• Implementieren Sie starke Zugriffskontrollen und Authentifizierungsmaßnahmen gemäß den PCI DSS Anforderungen 7 und 8.
• Unterstützen Sie einen Mechanismus zur sicheren Löschung von Karteninhaberdaten gemäß einer Datenaufbewahrungsrichtlinie.
• Implementieren Sie Protokollierung, Überwachung und Alarmierung, um verdächtige Aktivitäten zu identifizieren und Reaktionsverfahren einzuleiten.

Ist Tokenisierung für Sie und Ihre PCI-Compliance-Reise geeignet?

Tokenisierung kann eine gute Lösung für Sie sein, wenn Sie in eine der folgenden Kategorien fallen:

• Händler, die Kartendaten verwenden möchten, um Transaktionen zu verfolgen, Betrugsprüfungen durchzuführen und mehr, und diese Daten mit mehreren Zahlungsabwicklern teilen möchten, ohne die Daten tatsächlich zu berühren oder sie in ihr System oder ihre Protokolle aufzunehmen.
• Dienstleister, die Kartendaten Kunden anzeigen müssen - um ihnen beispielsweise eine einmalig verwendbare Karte bereitzustellen - und im Rahmen der PCI DSS Vorgaben bleiben.

Wie Secureframe und Basis Theory Ihnen helfen können, PCI-konform zu werden und zu bleiben

Tokenisierung und Automatisierung können 90% der Zeit und des Aufwands im Zusammenhang mit PCI-Compliance eliminieren.

Ein Tokenisierungsdienstleister wie Basis Theory bietet eine vollständige PCI Level 1 Infrastruktur mit allem, was Sie benötigen, um sensible Kartendaten schneller und einfacher zu sammeln, zu sichern und zu nutzen.

In Kombination mit der Sicherheits- und Datenschutz-Compliance-Automatisierungsplattform von Secureframe können Sie den PCI-Compliance-Prozess weiter optimieren, indem Sie die PCI-Beweissammlung automatisieren, Ihre PCI-Kontrollen kontinuierlich überwachen und Experten vor Ort Ihnen bei der Festlegung des Umfangs Ihres Engagements und der Durchführung einer Bereitschaftsbewertung helfen. Fordern Sie noch heute eine Demo an.