Zu wissen, ob Sie den PCI DSS einhalten müssen, ist ziemlich einfach. Wenn Sie ein Händler oder Dienstleister sind, der Kartentransaktionen und Karteninhaberdaten verwaltet, gilt der PCI DSS höchstwahrscheinlich für Sie. Aber genau zu wissen, was Sie tun müssen, um konform zu sein, ist weniger einfach.

Der PCI DSS beschreibt 12 Anforderungen, um Karteninhaberdaten sicher zu verwalten, einschließlich der Aufrechterhaltung eines sicheren Netzwerks, die in 6 Ziele unterteilt sind. Sie müssen all diese Anforderungen erfüllen, um die Konformität zu erreichen.

Wenn Sie Ratschläge zur Einhaltung des PCI DSS suchen, lesen Sie weiter. Dieser Artikel zerlegt die wesentlichen Elemente der 12 PCI-Konformitätsanforderungen in einem schnellen und leicht verständlichen Leitfaden.

Die 6 Prinzipien der PCI DSS-Konformität

Diese 12 PCI DSS-Anforderungen entsprechen sechs Hauptprinzipien der PCI-Konformität, die wie folgt lauten:

  1. Ein sicheres Netzwerk und Systeme aufbauen und warten
  2. Kartendaten schützen
  3. Ein Schwachstellenmanagement-Programm unterhalten
  4. Strikte Zugangskontrollen umsetzen
  5. Netzwerke regelmäßig überwachen und testen
  6. Eine Informationssicherheitspolitik aufrechterhalten

Wenn all diese Bedingungen erfüllt sind, werden die Umgebung der Karteninhaberdaten und die darin enthaltenen Dienste als PCI-konform angesehen.

Die 12 PCI DSS-Anforderungen

Die PCI DSS-Anforderungen stärken nicht nur die Umgebung der Karteninhaberdaten (CDE), sondern auch die Sicherheitslage eines Unternehmens insgesamt.

Liste der PCI-Anforderungen:

  1. Installieren und Aufrechterhalten von Netzwerksicherheitskontrollen
  2. Sicherheitskonfigurationen auf alle Systemkomponenten anwenden
  3. Kontodaten schützen
  4. Karteninhaberdaten mit starker Kryptographie während der Übertragung über öffentliche offene Netzwerke schützen
  5. Alle Systeme und Netzwerke vor Malware schützen
  6. Systeme und Software sicher entwickeln und warten
  7. Den Zugang zu Systemkomponenten und Karteninhaberdaten nach geschäftlichem Bedarf einschränken
  8. Benutzer identifizieren und den Zugang zu Systemkomponenten authentifizieren
  9. Den physischen Zugang zu Karteninhaberdaten einschränken
  10. Alle Zugriffe auf Systemkomponenten und Karteninhaberdaten protokollieren und überwachen
  11. Regelmäßige Tests der Systemsicherheit und Netzwerke durchführen
  12. Die Informationssicherheit mit Richtlinien und organisatorischen Programmen unterstützen.

Es ist auch wichtig zu beachten, dass der PCI-DSS-Standard Aktualisierungen unterzogen wurde, während sich die Technologie und Bedrohungen weiterentwickelt haben.

Im Jahr 2022 kündigte die PCI-Regulierungsbehörde die nächste Version des PCI DSS, v4.0 an, die nach dem 31. März 2025 in Kraft treten wird. Der PCI DSS v4.0 führt sowohl neue Anforderungen als auch verschiedene Änderungen an den aktuellen Anforderungen ein. Diese sind unten aufgeführt.

Überblick über die PCI-Anforderungen

Sie können die 12 Anforderungen des PCI DSS als eine Art Fahrplan betrachten, der alle Richtlinien, Verfahren und Implementierungsanforderungen detailliert beschreibt, die vorhanden sein müssen, um die Konformität zu erreichen.

Im Folgenden erläutern wir das Ziel jeder der 12 Anforderungen.

Anforderung 1: Installieren und Warten von Netzwerksicherheitskontrollen

Heute werden viele Transaktionen virtuell über das Internet und den elektronischen Handel abgewickelt. Ohne angemessene Sicherheit können unbefugte Benutzer auf die Netzwerke des Zahlungssystems zugreifen.

Anforderung 1 befasst sich mit diesem Problem, indem Unternehmen verpflichtet werden, ein sicheres Netzwerk mit Firewalls zu unterhalten.

Firewalls kontrollieren den ein- und ausgehenden Datenverkehr in Ihrem Netzwerk und filtern den unbefugten Zugriff auf Ihre Daten, um sicherzustellen, dass Kartendaten nur mit vertrauenswürdigen Verbindungen geteilt werden.

Um diese Anforderung zu erfüllen, müssen Unternehmen Firewalls installieren und konfigurieren und Regeln erstellen, um zu bestimmen, welche Art von Datenverkehr im Netzwerk erlaubt ist. Anforderung 1 verpflichtet Unternehmen auch dazu, die Konfigurationsregeln alle sechs Monate zu überprüfen, einschließlich zusätzlicher Netzwerksicherheitskontrollen.

Anforderung 2: Sichern Sie alle Systemkomponenten durch sichere Konfigurationen

Oft sind Geräte und Netzwerkausrüstung mit voreingestellten Passwörtern und Standardkonfigurationen ausgestattet.

Die voreingestellten Passwörter und Konfigurationen der meisten Netzwerkgeräte sind häufig allgemein bekannt, was es Hackern erleichtert, auf Ihre Ausrüstung zuzugreifen. PCI DSS verpflichtet Unternehmen, die Verwendung von Standardpasswörtern zu vermeiden und diese vor der Installation eines Systems in Ihrem Netzwerk zu ändern.

Anforderung 3: Schutz gespeicherter Kontodaten

Diese Anforderung beschreibt die spezifischen Schritte, die Unternehmen unternehmen müssen, um die gespeicherten Kartendaten zu schützen, sei es in gedruckter Form, lokal gespeichert oder in einer Datenbank.

Bei Kartendaten kann es sich um alle Informationen handeln, die auf einer Zahlungskarte enthalten sind, wie PIN-Codes, PAN-Daten und sensible Authentifizierungsdaten.

PCI DSS beschreibt, was Sie nach der Autorisierung speichern dürfen und was nicht, wenn es um Kartendaten geht.

Darf gespeichert werden:

  • Primärkontonummern (PAN)
  • Kartennamen
  • Ablaufdaten

Darf speichern:

  • Daten des Magnetstreifens
  • PIN-Codes
  • CVV

Die Anforderung besagt auch, dass Unternehmen Kartendaten nur speichern dürfen, wenn dies für geschäftliche Zwecke erforderlich ist. Alle gespeicherten Daten müssen mit anerkannten Verschlüsselungspraktiken wie 256-Bit-AES-Verschlüsselung verschlüsselt werden.

Anforderung 4: Schutz von Kartendaten durch starke Verschlüsselung beim Übertragen über offene und öffentliche Netzwerke

Diese Anforderung zielt darauf ab, Kartendaten während der Übertragung über offene und öffentliche Netzwerke, wie das Internet, zu schützen.

Wenn Kartendaten über offene und öffentliche Netzwerke geteilt werden müssen, müssen Unternehmen eine starke Verschlüsselungstechnologie verwenden, um die Daten für unbefugte Benutzer unlesbar zu machen.

PCI DSS schreibt auch vor, dass Unternehmen niemals ungeschützte PAN über Benutzernachrichten senden dürfen, wie E-Mail, Instant Messaging, SMS und Chat.

Anforderung 5: Schutz aller Systeme und Netzwerke vor Malware

Malware, oder Schadsoftware, kann über E-Mails, Social Engineering, Installation bösartiger Dateien oder andere Online-Aktivitäten in ein Netzwerk gelangen. Um die Daten der Karteninhaber vor solchen Bedrohungen zu schützen, muss eine Anti-Virus-Software installiert und regelmäßig aktualisiert werden.

Anforderung 5 beschreibt die spezifischen Schritte, die Unternehmen unternehmen müssen, um sich gegen Malware zu schützen, einschließlich:

  • Antivirus-Software auf allen Systemen installieren, die häufig von Malware betroffen sind
  • Sicherstellen, dass die Antivirus-Software regelmäßige Scans durchführt und Audit-Logs erstellt
  • Sicherstellen, dass die Antivirus-Software nicht von Benutzern verändert oder deaktiviert werden kann

Anforderung 6: Entwicklung und Wartung sicherer Systeme und Anwendungen

Das Ziel der Anforderung 6 ist es, sicherzustellen, dass ein Verfahren zur Verwaltung von Software innerhalb Ihres CDE vorhanden ist. Diese Anforderung umfasst alle Anwendungen innerhalb Ihres Geschäftsbereichs.

PCI DSS verlangt auch, dass Unternehmen Sicherheits-Patches zeitnah installieren, um die Kartendaten zu schützen. Die Anforderung umfasst auch Kontrollen für bewährte Verfahren der Softwareentwicklung zur Vermeidung von Schwachstellen.

Anforderung 7: Beschränkung des Zugriffs auf Systemkomponenten und Kartendaten nach geschäftlichem Bedarf

Zugriffskontrollen ermöglichen es einem Unternehmen zu bestimmen, welche Benutzer Zugriff auf Kartendaten oder Systeme, die diese Daten beeinträchtigen können, haben dürfen. Im Allgemeinen schreibt PCI DSS vor, dass der Zugang auf einer Need-to-know-Basis gewährt werden muss.

Anforderung 7 besagt, dass ein Unternehmen den Zugriff auf Kartendaten nur auf Mitarbeiter beschränken muss, die die Informationen benötigen, um ihre Arbeit zu erledigen.

Anforderung 8: Identifizierung der Benutzer und Authentifizierung des Zugriffs auf Systemkomponenten

PCI DSS verlangt auch, dass Unternehmen jedem Mitarbeiter, der Zugang zu Systemkomponenten hat, eine eindeutige Kennung zuweisen. Dies ermöglicht es dem Unternehmen, in Fällen von Datenverletzungen ein Protokoll der Benutzerzugriffe auf verschiedene Aspekte der Kartendaten oder zugehöriger Systeme zu führen.

Anforderung 8 erfordert auch die Multi-Faktor-Authentifizierung und die Verschlüsselung von Passwörtern, um Benutzerkonten weiter zu schützen.

Anforderung 9: Beschränkung des physischen Zugriffs auf Kartendaten

Der Zweck dieser Anforderung besteht darin, den physischen Zugang zu Karteninhaberdaten oder zu den Systemen, die diese Daten betreffen, auf das Personal zu beschränken, das Zugang zu den Systemen benötigt, um seine Arbeit zu erledigen. Der PCI DSS verlangt außerdem, dass Unternehmen das vor Ort tätige Personal deutlich von Besuchern unterscheiden, beispielsweise durch Identifikationsausweise.

Anforderung 9 beschreibt auch die Maßnahmen, die Unternehmen ergreifen müssen, um Medien zu sichern, sei es Papier oder elektronische Medien, die Karteninhaberdaten enthalten. Dazu gehört das sichere Aufbewahren von Backup-Medien an einem sicheren Ort außerhalb des Standorts und die Vernichtung der Medien, wenn sie nicht mehr benötigt werden.

Anforderung 10: Protokollierung und Überwachung aller Zugriffe auf Systemkomponenten und Karteninhaberdaten

Anforderung 10 konzentriert sich auf die Erstellung von Protokollen und die Fähigkeit, Aktionen bis zu einem einzelnen Konto zurückzuverfolgen. Dies hilft einem Unternehmen, die Quelle einer Anfrage oder eines bösartigen Angriffs schnell zu identifizieren.

Unternehmen müssen automatisierte Audit-Trails implementieren, die bestimmte Ereignisse überwachen und Benachrichtigungen an das Personal zur täglichen Überprüfung senden. Unternehmen müssen auch Audit-Trails sichern, sodass sie nicht verändert werden können.

Anforderung 11: Regelmäßige Prüfung der Sicherheit von Systemen und Netzwerken

Ziel der Anforderung 11 ist es, die kontinuierliche Sicherheit der internen und externen Systeme durch regelmäßige Prüfungen aufrechtzuerhalten.

Zu diesen Prüfungen gehören vierteljährliche Netzwerk-Schwachstellen-Scans und jährliche Penetrationstests. Es müssen auch Techniken zur Netzwerk-Eindringungserkennung oder -prävention eingesetzt werden, um Netzwerk-Eindringungen zu erkennen oder zu verhindern.

Anforderung 12: Informationssicherheit durch organisatorische Richtlinien und Programme unterstützen

Die letzte Anforderung des PCI DSS verlangt, dass Unternehmen eine Informationssicherheitsrichtlinie erstellen und aufrechterhalten, die die Sicherheitspraktiken in der gesamten Organisation beeinflusst.

Diese Anforderung verlangt auch von den Unternehmen:

  • Ein Sicherheitsbewusstseinsprogramm entwickeln
  • Hintergrundüberprüfungen von Bewerbern durchführen
  • Einen Incident-Response-Plan implementieren
  • Ein jährliches Risikobewertungsprogramm durchführen
  • Eine Richtlinie zur Nutzung von Technologien erstellen
  • Die Verantwortung der Mitarbeiter für Informationssicherheit definieren
  • Spezifische Verantwortlichkeiten zum Schutz der Karteninhaberdaten zuweisen

FAQ

Was sind die 12 Anforderungen des PCI DSS?

Die 12 Anforderungen des PCI DSS sind:

  1. Netzwerksicherheitskontrollen installieren und aufrechterhalten
  2. Sichere Konfigurationen für alle Systemkomponenten anwenden
  3. Gespeicherte Kontodaten schützen
  4. Karteninhaberdaten bei der Übertragung über offene öffentliche Netzwerke durch starke Kryptographie schützen
  5. Alle Systeme und Netzwerke vor Schadsoftware schützen
  6. Sichere Systeme und Anwendungen entwickeln und aufrechterhalten
  7. Den Zugang zu Systemkomponenten und Karteninhaberdaten nach dem Need-to-know-Prinzip beschränken
  8. Benutzer identifizieren und den Zugriff auf Systemkomponenten authentifizieren
  9. Den physischen Zugang zu Karteninhaberdaten beschränken
  10. Zugriffe auf Systemkomponenten und Karteninhaberdaten protokollieren und überwachen
  11. Regelmäßige Prüfung der Sicherheit von Systemen und Netzwerken
  12. Unterstützung der Informationssicherheit durch organisatorische Richtlinien und Programme

Was bedeutet PCI?

Der Begriff PCI steht für Payment Card Industry. Diese Branche umfasst alle Organisationen, die für die Speicherung, Verarbeitung und Übertragung von Karteninhaberdaten verantwortlich sind, einschließlich Kredit- und Debitkartendaten.

Was ist PCI-Compliance und ist sie verpflichtend?

PCI-Compliance bedeutet, dass eine Organisation, die unter den Payment Card Industry Data Security Standard (PCI DSS) fällt, die Anforderungen erfüllt und die geltenden Sicherheitskontrollen einhält, um die Daten der Karteninhaber zu schützen. Die PCI-Compliance ist für Händler und Dienstleister, die Karteninhaberdaten speichern, verarbeiten, übertragen oder die Sicherheit der Karteninhaberdaten beeinflussen können, verpflichtend.