ANZEIGE: Home / Magazin / PCI DSS Anforderungen

PCI DSS Anforderungen

Die Bewertung des PCI DSS (Payment Card Industry Data Security Standard) bei Finanzinstituten wie Banken, Organisationen und anderen Unternehmen, die sich sowohl mit Kredit- als auch mit Debitkarten befassen, trägt zur Minderung von Kredit- und Debitkartenbetrug bei. Aber wie genau funktioniert das? In diesem Beitrag soll dieser Prozess näher erläutert werden.

  • Was ist PCI DSS-Konformität?
  • Was sind die PCI DSS-Anforderungen?
  • PCI DSS-Konformitätsbewertung
  • Wie bereite ich mich auf eine PCI DSS-Konformitätsbewertung vor und was ist zu erwarten?
  • Rollen eines qualifizierten Sicherheitsprüfers (QSA)
  • Fazit

Die Welt, wie wir sie kennen, hat sich sehr verändert, und sie verändert sich immer noch. Vorbei sind die Zeiten, in denen Zahlungen für Waren und Dienstleistungen in bar geleistet wurden. Die Menschen leisten immer noch Zahlungen von Hand zu Hand, aber die Einführung von Kredit- und Debitkarten in den frühen 1950er Jahren ebnete den Weg für elektronische Zahlungen und dergleichen. Diese Zahlungsmethode hat zwar ihre eigenen Vor- und Nachteile. Einer und vielleicht der größte Vorteil von Kreditkartenzahlungen ist, wie bequem sie bei der Ausführung von Zahlungen sind.

Zu den Nachteilen zählen die Angst vor Identitäts- und Informationsdiebstahl sowie die Angst vor Verstößen gegen die Zahlungssicherheit. In den frühen 1990-er Jahren nahm der Kreditkartenbetrug zu, und Kreditkartenriesen wie Visa und MasterCard verloren durch diesen Betrug eine Menge Geld. In letzter Zeit gab es bei Home Depot, Walmart usw. schwerwiegende Verstöße gegen die Zahlungssicherheit. Daher schreitet die Entwicklung von PCI DSS voran.

Was ist PCI DSS-Konformität?

PCI DSS steht einfach für Data Security Standard der Zahlungskartenindustrie und kann als eine Reihe von Anforderungen angesehen werden, deren einziger Zweck darin besteht, sicherzustellen, dass alle Finanzunternehmen, die sich mit Kreditkarteninformationen befassen, durch Speichern, Verarbeiten oder Übertragen von Kreditkarteninformationen eine sehr sichere Umgebung aufrechterhalten werden.

PCI Compliance wurde am 7. September 2006 gestartet. Der Grund für die Erstellung besteht darin, die Durchsetzung der PCI-Sicherheitsstandards zu unterstützen und die Sicherheit des Kontos jedes Kreditkartenbenutzers während aller Transaktionssitzungen zu verbessern.

Entworfen und verwaltet von einer Expertengruppe einiger der größten Kartenmarken wie Visa, JCB, American Express, MasterCard und Discover als eine Reihe von Sicherheitskontrollen, die jede Form von Kreditkartenbetrug verhindern. Diese Sicherheitsmaßnahmen gelten für alle Objekte, unabhängig von ihrer Größe, sofern sie Zahlungskartendaten speichern, verarbeiten und übertragen.

Bei PCI DSS muss jeder Geschäftsinhaber PCI-konform sein, da die Nichteinhaltung der Regeln zu hohen Bußgeldern führen kann.

Was sind die Anforderungen von PCI DSS?

  • Installieren Sie Firewalls, um Ihr System zu schützen.
  • Installieren und aktualisieren Sie Ihr Antivirenprogramm immer.
  • Aktualisieren und reparieren Sie das System regelmäßig.
  • Beschränken Sie den Zugriff auf vertrauliche Geschäftsdaten.
  • Passen Sie Ihr Passwort und Ihre Einstellungen an.
  • Karteninhaberdaten schützen.
  • Karteninhaberdaten verschlüsseln.
  • Richten Sie eine persönliche ID für den Computer jeder Person ein.
  • Beschränken Sie den unbefugten Zugriff auf Karteninhaberdaten.
  • Dokumentieren Sie alle Karteninhaberdaten korrekt.
  • Führen Sie regelmäßig Penetrationstests durch.
  • Protokollierung und Protokollverwaltung müssen sorgfältig implementiert werden.

PCI DSS-Konformitätsbewertung

Es bezieht sich einfach auf den Prozess der Messung der Sicherheitsrichtlinien eines Unternehmens. Dies beinhaltet auch eine Bewertung der Sicherheitsverfahren des Unternehmens. Diese Verfahren umfassen das Testen der Systemkomponenten des Unternehmens und ihrer Ausrüstung als Ganzes.

Jedes Finanzinstitut, das Kredit- oder Debitkarten besitzt oder verarbeitet und beabsichtigt, eine vollständige PCI-DSS-Bewertung durchzuführen, muss entscheiden, welche Art von Bewertung für sein Unternehmen am besten geeignet ist. Die Bewertungsarten umfassen die Selbstbewertung der Konformität und die vollständige Bewertung vor Ort.

Selbstbewertung

Bei der Durchführung von Selbstbewertungen sind nur Discover-Händlern der Stufen 2 und 3 zulässig. Es ist wichtig zu beachten, dass Sie nach Abschluss der Selbstbewertung noch eine zusätzliche vollständige Bewertung vor Ort durchführen können und nicht umgekehrt.

Das beste und am besten geeignete Instrument zur Durchführung einer PCI-Selbstbewertung ist der Fragebogen zur Selbstbewertung (SAQ). Dieses Tool ist auf der offiziellen PCI-Website verfügbar.

Vollständige Bewertung vor Ort

Eine vollständige Bewertung vor Ort wird normalerweise von Level 1 Discover-Händlern durchgeführt. Angenommen, Sie müssen eine vollständige Vor-Ort-Bewertung einer anderen Kartenmarke durchführen, müssen Sie für Discover keine weitere Selbstbewertung durchführen. Das für diese Art der Bewertung erforderliche Tool sind Sicherheitsbewertungsverfahren und PCI-DSS-Anforderungen. Und sie sind alle auf der offiziellen PCI-Website verfügbar.

Wenn möglich, gibt es Fälle von Datenschutzverletzungen bei Händlern. Dies führte zu einem Kompromiss bei den Karteninhaberdaten. Wie nur von Discover definiert, sind Karteninhaberdaten erforderlich, um die PCI-DSS-Konformität auf einem sehr hohen Niveau zu validieren.

Bitte beachten Sie, dass für die Bewertung nur die aktuelle Version der PCI DSS-Tools auf der Website zusammen mit dem richtigen Händler verwendet werden sollte. Sie fragen sich vielleicht, wie die Händler Ebenen bestimmt werden? Lassen Sie uns dies genauer diskutieren.

Die Händler Ebenen werden durch die Anzahl der Zahlungen bestimmt, die das Finanzinstitut jedes Jahr verarbeitet. Dies bedeutet, dass das höhere Wachstum einer Organisation letztendlich das Niveau des Verkäufers bestimmt, auf dem sich die Organisation befindet.

Bevor Sie sich mit der PCI-DSS-Bewertung befassen, müssen Sie sich mit den Händlerstufen vertraut machen.

Jede der Händlerstufen dokumentiert die Einhaltung fast mit der gleichen Methode. Dazu gehört das Ausfüllen eines PCI DSS Self-Assessment Questionnaire (SAQ), der für die jeweilige Händlerebene entwickelt wurde.

Nachdem Sie möglicherweise den PCI DSS Self-Assessment Questionnaire (SAQ) ausgefüllt haben, sendet die Organisation eine offizielle Konformitätsbestätigung (AOC) an die Bank.

Wie bereite ich mich auf die PCI DSS-Konformitätsbewertung vor und was ist zu erwarten?

In diesem Abschnitt werde ich kurz über die notwendigen Schritte sprechen, die Sie ausführen müssen, bevor ein QSA oder Assessor eine PCI-DSS-Bewertung durchführt. Dies geschieht, um Zeit, Geld usw. zu sparen.

Der erste Schritt besteht darin, herauszufinden, wo sich die Zahlungskarte befindet. Es ist ziemlich offensichtlich, dass Sie nicht behalten können, was Sie nicht haben. Und dieser Schritt spricht darüber. Wenn es um Zahlungskartendaten geht, ist es daher wichtig, alle Aspekte zu kennen, eine eingehende Analyse des Zahlungsprozesses durchzuführen usw. Ein detailliertes Netzwerkdiagramm hilft Ihnen dabei, zu verstehen und festzustellen, wo sich alle Ihre Zahlungsinformationen befinden und wo nicht bleiben sollten.

Versuchen Sie, Ihre Infrastruktur gründlich zu untersuchen, um Risiken und Schwachstellen zu identifizieren. Dies kann erreicht werden, indem die Zahlungskartenumgebung auf das beschränkt wird, was für den Auftrag benötigt wird.

Bereiten Sie die Sicherheitsrichtlinien der Organisation vor. Vor Beginn einer Bewertung müssen alle Sicherheitsrichtlinien und -verfahren ordnungsgemäß dokumentiert werden, da sie die Grundlage des Sicherheitsprogramms bilden.

Rollen eines qualifizierten Sicherheitsprüfers (QSA)

Nachdem Sie sich für die PCI-DSS-Bewertung entschieden haben, wenden Sie sich im nächsten Schritt an einen qualifizierten Sicherheitsprüfer (QSA) und teilen Sie alles mit, was Sie dokumentiert haben. Der Grund dafür ist, dass Sie beide eine gemeinsame Sprache finden, um neue Ausgleichskontrollen zu erstellen, die effektiv sind.

Qualifizierte Sicherheitsprüfer sind vom PCI DSS registriert und vollständig getestet. Ihre Aufgabe ist es, mit Organisationen zusammenzuarbeiten, um Zugang zu ihren Operationen gemäß PCI DSS und anderen Kriterien zu erhalten. Einige der Dinge, die QSA bei der Bewertung tut, sind:

  • Überprüft alle Zahlungssysteme.
  • Sucht nach Schwachstellen oder anderen Bereichen, die nicht dem erforderlichen Standard entsprechen.
  • Arbeitet Hand in Hand mit Ihrem Sicherheitsteam, um Gegenmaßnahmen zu ermitteln.

Fazit

Als Organisation liegen Sie falsch, wenn Sie der Meinung sind, dass die Sicherheit Ihrer Zahlungen oder Karteninhaberdaten nicht beeinträchtigt werden kann. Jede Organisation, die sich mit Kredit- und Debitkarten befasst, kann jederzeit Zahlungsbetrug ausgesetzt sein. Daher muss eine Organisation immer die PCI-DSS-Anforderungen erfüllen. Andernfalls kann es zu Geldstrafen und in schweren Fällen zu Verstößen gegen Zahlungsinformationen kommen, die zu Reputation und finanziellem Schaden führen. Die Verbesserung der Zahlungssicherheit ist einer der wichtigsten Vorteile der PCI-DSS-Konformität, wenn nicht sogar der wichtigste.

Auch cool

Domain-Hoster im Überblick: Diese gibt es und kurze Erklärung dazu 

Es ist gar nicht so schwer, eine eigene Homepage zu erstellen. Dennoch werden dafür einige …