Wissensdatenbank

Was ist PCI DSS?

PCI DSS (Payment Card Industry Data Security Standard) ist ein Informationssicherheitsstandard, den alle Organisationen einhalten müssen, die Kreditkarteninformationen verarbeiten, speichern oder übertragen. Ziel ist es, die Sicherheit von Kreditkarteninformationen zu gewährleisten und Betrug zu verhindern. Dieser Standard wurde von großen Kreditkartenunternehmen wie Visa, MasterCard, American Express, Discover und JCB erstellt und wird vom PCI SSC (Payment Card Industry Security Standards Council) verwaltet.

Wichtiger Hinweis: PCI DSS ist zwar keine gesetzliche Verpflichtung, wird aber von Kreditkartenunternehmen vertraglich vorgeschrieben. Die Nichteinhaltung kann schwerwiegende Folgen haben, wie z. B. Geldstrafen, den Verlust der Berechtigung zur Kartenakzeptanz und Reputationsverlust.

Was sind die Ziele von PCI DSS?

Die Hauptziele von PCI DSS sind:

• Schutz von Kundenkreditkartendaten: Schutz sensibler Informationen wie Kreditkartennummern, Ablaufdaten und Sicherheitscodes (CVV) vor unbefugtem Zugriff.
• Betrug verhindern: Verhindern, dass Kreditkarteninformationen gestohlen und missbraucht werden.
• Kundenzufriedenheit steigern: Steigerung des Kundenvertrauens, indem gezeigt wird, dass Unternehmen Kreditkarteninformationen sicher verarbeiten.
• Markenreputation schützen: Reputationsverlust verhindern, der durch Datenschutzverletzungen entstehen kann.

Was sind die Anforderungen von PCI DSS?

PCI DSS besteht aus 12 Hauptanforderungen und Unteranforderungen, die diese Anforderungen unterstützen. Diese Anforderungen sind in sechs Hauptkontrollziele unterteilt:

1. Ein sicheres Netzwerk aufbauen und pflegen:
   • Anforderung 1: Eine Firewall-Konfiguration installieren und pflegen.
   • Anforderung 2: Vom Anbieter bereitgestellte Standard-Systempasswörter und andere Sicherheitsparameter nicht verwenden.
2. Karteninhaberdaten schützen:
   • Anforderung 3: Gespeicherte Karteninhaberdaten schützen.
   • Anforderung 4: Die Übertragung von Karteninhaberdaten über offene Netzwerke verschlüsseln.
3. Ein Programm zur Verwaltung von Sicherheitslücken pflegen:
   • Anforderung 5: Alle Systeme vor Schadsoftware schützen und die Antivirensoftware regelmäßig aktualisieren.
   • Anforderung 6: Systeme und Anwendungen sicher entwickeln und pflegen.
4. Starke Zugriffskontrollmaßnahmen implementieren:
   • Anforderung 7: Den Zugriff auf Karteninhaberdaten auf die geschäftlichen Anforderungen beschränken.
   • Anforderung 8: Jedem Benutzer eine eindeutige Kennung für den Computerzugriff zuweisen.
   • Anforderung 9: Den physischen Zugriff auf Karteninhaberdaten beschränken.
5. Netzwerke regelmäßig überwachen und testen:
   • Anforderung 10: Jeglichen Zugriff auf Netzwerkressourcen und Karteninhaberdaten überwachen und protokollieren.
   • Anforderung 11: Sicherheitssysteme und -prozesse regelmäßig testen.
6. Eine Informationssicherheitsrichtlinie pflegen:
   • Anforderung 12: Eine Informationssicherheitsrichtlinie für alle Mitarbeiter pflegen.

Schritt-für-Schritt-Anleitung: Anforderung 3 - Gespeicherte Karteninhaberdaten schützen

1. Datenermittlung: Ermitteln Sie, wo Karteninhaberdaten in Ihrem Netzwerk und Ihren Systemen gespeichert sind.
2. Datenminimierung: Vermeiden Sie die Speicherung unnötiger Karteninhaberdaten. Speichern Sie nur Daten, die für rechtliche oder geschäftliche Anforderungen erforderlich sind.
3. Verschlüsselung: Verschlüsseln Sie gespeicherte Karteninhaberdaten mit starken Verschlüsselungsalgorithmen. Verwenden Sie Industriestandard-Algorithmen wie AES-256 oder TDES.
4. Schlüsselverwaltung: Verwalten Sie Verschlüsselungsschlüssel sicher. Rotieren Sie die Schlüssel regelmäßig und bewahren Sie sie an einem sicheren Ort auf.
5. Maskierung/Kürzung: Zeigen Sie nur einen Teil der Kartennummer an (z. B. die ersten sechs und die letzten vier Ziffern). Maskieren oder kürzen Sie die restlichen Ziffern.

Codebeispiel: Datenverschlüsselung mit AES-256 (Python)

from cryptography.fernet import Fernet

# Schlüssel generieren
key = Fernet.generate_key()
f = Fernet(key)

# Zu verschlüsselnde Daten
data = b"Kreditkartennummer: 1234567890123456"

# Daten verschlüsseln
encrypted_data = f.encrypt(data)

# Verschlüsselte Daten ausgeben
print("Verschlüsselte Daten:", encrypted_data)

# Daten entschlüsseln
decrypted_data = f.decrypt(encrypted_data)

# Entschlüsselte Daten ausgeben
print("Entschlüsselte Daten:", decrypted_data.decode())

Was sind die PCI DSS-Konformitätsstufen?

Die PCI DSS-Konformitätsstufen werden anhand des jährlichen Transaktionsvolumens eines Unternehmens bestimmt. Für jede Stufe gelten unterschiedliche Validierungsanforderungen.

Wie wird die PCI DSS-Konformität sichergestellt?

Um die PCI DSS-Konformität sicherzustellen, können die folgenden Schritte unternommen werden:

1. Festlegung des Geltungsbereichs: Identifizieren Sie alle Systeme, Netzwerke und Prozesse, die unter den PCI DSS-Geltungsbereich fallen.
2. Lückenanalyse: Vergleichen Sie Ihre aktuellen Sicherheitsmaßnahmen mit den PCI DSS-Anforderungen und identifizieren Sie die Mängel.
3. Erstellung eines Verbesserungsplans: Erstellen Sie einen Verbesserungsplan, um die identifizierten Mängel zu beheben.
4. Implementierung von Sicherheitsmaßnahmen: Implementieren Sie die erforderlichen Sicherheitsmaßnahmen wie Firewalls, Antivirensoftware, Verschlüsselung und Zugriffskontrollen.
5. Dokumentation: Dokumentieren Sie alle Sicherheitsmaßnahmen und Prozesse.
6. Bewertung: Füllen Sie einen Self-Assessment Questionnaire (SAQ) aus oder führen Sie eine unabhängige Sicherheitsbewertung (QSA) durch, um Ihre Konformität zu bewerten.
7. Korrekturmaßnahmen: Beheben Sie die im Ergebnis der Bewertung festgestellten Mängel.
8. Aufrechterhaltung der Konformität: Aktualisieren Sie Ihre Sicherheitsmaßnahmen regelmäßig und halten Sie Ihre Konformität aufrecht.

Was ist ein PCI DSS SAQ (Self-Assessment Questionnaire)?

SAQ (Self-Assessment Questionnaire) ist ein Selbstbeurteilungsfragebogen, der zur Bewertung der PCI DSS-Konformität verwendet wird. Es gibt verschiedene SAQ-Typen, und welcher SAQ verwendet werden sollte, hängt von der Art der Transaktion und der Systemarchitektur eines Unternehmens ab.

SAQ-Typen:

• SAQ A: Für Händler, die die Daten von Karteninhabern vollständig an einen Drittanbieter auslagern.
• SAQ A-EP: Für E-Commerce-Händler, deren Websites von einem Dritten gehostet werden und alle Zahlungsabwicklungen von einem Dritten verwaltet werden.
• SAQ B: Für Händler, die eigenständige, elektronische Zahlungsterminals verwenden (keine Speicherung von Karteninhaberdaten).
• SAQ B-IP: Für Händler, die IP-verbundene, eigenständige Zahlungsterminals verwenden (keine Speicherung von Karteninhaberdaten).
• SAQ C: Für Händler mit Zahlungsanwendungssystemen.
• SAQ C-VT: Für Händler, die Karteninhaberdaten manuell über virtuelle Terminals eingeben (keine Speicherung von Karteninhaberdaten).
• SAQ P2PE: Für Händler, die zugelassene P2PE-Lösungen (Point-to-Point Encryption) verwenden.
• SAQ D: Für alle anderen Händler und Dienstleister.

Welche Konsequenzen hat die Nichteinhaltung von PCI DSS?

Die Nichteinhaltung von PCI DSS kann schwerwiegende Folgen haben:

• Geldstrafen: Kreditkartenunternehmen können bei Nichteinhaltung Geldstrafen verhängen.
• Verlust der Berechtigung zur Kartenakzeptanz: Kreditkartenunternehmen können die Berechtigung zur Kartenakzeptanz aussetzen oder widerrufen, wenn die Nichteinhaltung fortbesteht.
• Reputationsverlust: Datenverstöße können das Vertrauen der Kunden untergraben und den Ruf der Marke schädigen.
• Haftung: Kunden können infolge von Datenverstößen Klagen einreichen und eine rechtliche Haftung entsteht.
• Erhöhung der Versicherungsprämien: Datenverstöße können zu einer Erhöhung der Cyberversicherungsprämien führen.

Beispiel aus dem echten Leben: Target-Datenverstoß (2013)

Im Jahr 2013 erlebte Target einen großen Datenverstoß. Angreifer infizierten die POS-Systeme (Point of Sale) von Target mit Schadsoftware und erbeuteten so die Daten von etwa 40 Millionen Kredit- und Debitkarten. Der Verstoß verursachte für Target Schäden in Millionenhöhe, untergrub das Vertrauen der Kunden und schädigte den Ruf der Marke. Dieses Ereignis verdeutlicht die Bedeutung der PCI DSS-Konformität.

Fallstudie: Der Kampf eines kleinen Unternehmens mit PCI DSS

Ein kleines E-Commerce-Unternehmen hatte aufgrund der Komplexität und der Kosten der PCI DSS-Konformität Schwierigkeiten. Der Geschäftsinhaber verfügte nicht über ausreichende Kenntnisse in technischen Fragen wie Firewall-Konfiguration, Verschlüsselung und Schwachstellenscans. Darüber hinaus überstiegen die Kosten für eine unabhängige Sicherheitsbewertung (QSA) das Budget. Der Geschäftsinhaber arbeitete mit einer Beratungsfirma zusammen, um die PCI DSS-Anforderungen zu verstehen und die Konformität sicherzustellen. Die Beratungsfirma half dem Unternehmen, Sicherheitslücken zu beheben, Sicherheitsmaßnahmen zu implementieren und den Self-Assessment Questionnaire (SAQ) auszufüllen. Infolgedessen erreichte das Unternehmen die PCI DSS-Konformität und steigerte das Vertrauen der Kunden.

Wie sieht die Zukunft von PCI DSS aus?

PCI DSS ist ein Standard, der sich ständig weiterentwickelt. Das PCI SSC aktualisiert den Standard regelmäßig, um sich an neue Bedrohungen und technologische Entwicklungen anzupassen. Es wird erwartet, dass PCI DSS in Zukunft flexibler, skalierbarer und risikoorientierter sein wird. Darüber hinaus wird erwartet, dass neue Technologien wie Cloud Computing, mobile Zahlungen und IoT (Internet der Dinge) stärker in den Geltungsbereich von PCI DSS einbezogen werden.

Tipps zur Vereinfachung der PCI DSS-Konformität

• Umfang minimieren: Vermeiden Sie die Speicherung unnötiger Karteninhaberdaten.
• Vereinfachen: Vereinfachen Sie Ihre Systemarchitektur und beseitigen Sie komplexe Prozesse.
• Outsourcen: Lagern Sie Kreditkartentransaktionen an einen sicheren Drittanbieter aus.
• Automatisieren: Automatisieren Sie Sicherheitsprozesse und reduzieren Sie menschliche Fehler.
• Schulen: Schulen Sie Ihre Mitarbeiter in Bezug auf die PCI DSS-Anforderungen.