Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Was ist PCI Compliance? Anforderungen und Sanktionen

Geschrieben von Michael Buckbee | Jun 7, 2019 10:22:00 AM

Die PCI-Cmpliance ist eine Reihe von Standards und Richtlinien für Unternehmen um personenbezogene Daten  im Zusammenhang mit Kreditkarten zu verwalten und zu sichern. . Die großen Kreditkartenanbieter – Visa, Mastercard und American Express – haben im Jahr 2006 eine Richtlinie mit der Bezeichnung Payment Card Industry Data Security Standards (PCI DSS) eingeführt, um Kreditkartendaten vor Diebstahl zu schützen.

Experten schätzen, dass Kreditkartenbetrug  Unternehmen, zB. in den Vereinigten Staaten jedes Jahr mehrere Milliarden Dollar kostet. Es ist ziemlich klar zu erkennen, dass Cyberkriminelle derzeit im Krieg um die Kreditkarten (noch) vorne liegen. Der Schutz von Kundendaten und Zahlungsinformationen muss für Verbraucher, Unternehmen und Banken Priorität haben, damit die Verschwendung von Milliarden  für Kreditkartenbetrug endlich ein Ende hat. Das Verständnis von PCI-Compliance und eine Verbesserung der entsprechenden Kompetenzen bilden einen wesentliche Beitrag, wenn wir diesen Krieg für uns ( die Ehrlichen ) entscheiden wollen.

Warum sollten Unternehmen unbedingt auf PCI-Compliance achten?

PCI DSS-Compliance sollte zu den wichtigsten durchgängigen Projekten in jedem Unternehmen gehören, welches die privaten Kreditkartendaten seiner Kunden erfasst und speichert. Nach dem 2018 Verizon Payment Security Report erfüllen nur 52,5 % aller Organisationen diese Compliance-Kriterien vollständig. Das muss besser gehen!

Die Untersuchung von Verizon zeigt eine Korrelation zwischen Unternehmen, die einen Datenverstoß festgestellt haben, und solchen, bei denen PCI-DSS-Kontrollen fehlen. Kurz gesagt: Betroffene Unternehmen haben nicht alle Anforderungen erfüllt, was nicht wirklich überraschend ist.

Wesentlicher ist, dass Sie durch Einhalten des PCI DSS ihre Konformität mit Datenschutzgesetzen wie der Datenschutz-Grundverordnung (DSGVO) oder dem Gramm-Leach-Bliley Act (GLBA) sicherstellen können. Der PCI DSS steht für bewährte Praktiken im Datenschutz, die jedes Unternehmen befolgen sollte.

Wie werden Sie PCI-konform?

Der PCI DSS liefert Ihnen die Roadmap für Ihren Weg zur PCI-Compliance. Im PCI DSS finden Sie einen 12-stufigen Plan für den Schutz von Kundendaten.

12 Anforderungen des PCI DSS

Ziele Anforderungen
Aufbau und Pflege sicherer Netzwerke und Systeme Anforderung 1: Installieren und Pflegen einer Firewall-Konfiguration für den Schutz der Daten von Kreditkarteninhabern
Anforderung 2: Nicht die vom Vendor gelieferten Standards bei Passwörtern für Systeme und andere Sicherheitsparameter verwenden
Schutz der Daten von Kreditkarteninhabern Anforderung 3: Schützen der gespeicherten Daten von Kreditkarteninhabern
Anforderung 4: Verschlüsselung der Karteninhaberdaten bei der Übertragung über offene, öffentliche Netzwerke
Pflege eines systematischen Managements von Sicherheitslücken Anforderung 5: Schützen aller Systeme gegen Malware und regelmäßiges Aktualisieren von Virenschutzsoftware und Programmen
Anforderung 6: Entwickeln und Pflegen sicherer Systeme und Anwendungen
Implementieren starker Zugriffskontrollmaßnahmen Anforderung 7: Einschränken des Zugriffs auf Karteninhaberdaten auf Personen mit unbedingtem geschäftlichen Bedarf
Anforderung 8: Identifizieren und Authentifizieren des Zugriffs auf Systemkomponenten
Anforderung 9: Einschränken des physikalischen Zugriffs auf Karteninhaberdaten
Regelmäßige Überwachung und Prüfung der Netzwerke Anforderung 10: Verfolgen und Überwachen des gesamten Zugriffs auf Netzwerkressourcen und Karteninhaberdaten
Anforderung 11: Regelmäßige Überprüfung der Sicherheitssysteme und -verfahren
Pflegen eine Informationssicherheitsrichtlinie Anforderung 12: Pflegen einer Richtlinie, in der auf Informationssicherheit für alle Mitarbeiter eingegangen wird

Wieviel kostet es, PCI-konform zu werden?

Das ist nicht leicht zu beantworten.

Die Kosten der PCI-Compliance sind im Vergleich zu denen einer Datenschutzverletzung gering.

Die PCI-Compliance ist einfach gute Datensicherheitspraxis und unterscheidet sich nicht wesentlich von NIST– oder SANS-Sicherheitskontrollen. Betrachten Sie die Kosten für PCI-Compliance eher als „Kosten für gute Datensicherheitspraktiken“  und rechnen Sie dann entsprechend.

Wie kann ich meine PCI-Compliance validieren?

Jedes Kreditkartenunternehmen hat seine eigenen Compliance-Validierungsstufen, die es einhalten muss. Sie können entweder Ihr eigenen PCI Compliance Self-Assessment Questionnaire (SAQ) durchführen oder einen Vertrag mit einem zertifizierten PCI Quality Security Assessor (QSA) abschließen.

PCI Compliance Qualified Security Assessors (QSA)

PCI QSAs sind für die Durchführung von PCI-Sicherheitsbewertungen zertifiziert und geschult. Die einzelnen QSAs werden mit dem einen oder anderen Geschäftsfeld besser vertraut sein. Wenn Sie also diesen Weg wählen, achten Sie darauf, dass Sie den einen finden, der zur Ihren Geschäftsanforderungen passt.

PCI Compliance Self-Assessment Questionnaire (SAQ)

Die andere Möglichkeit besteht darin, ein SAQ-Formular auszufüllen, das eine Reihe von Ja- oder Nein-Fragen enthält, mit denen Ihr Konformitätsgrad mit dem PCI DSS bestimmt wird. Alle Unternehmen füllen diesn SAQ aus und übermitteln ihre Quartalsberichte an die dafür vorgesehenen Organisationen.

Wie erhalte ich meine PCI-Compliance aufrecht?

Um Ihre PCI-Compliance aufrechtzuerhalten, sollten Sie mit PCI-konformen Unternehmen für die Verarbeitung von Kreditkartendaten und Banken zusammenarbeiten. Die Daten, die Sie schützen, sind nur dann von Bedeutung, wenn sie in allen Phasen des Transaktionslebenszyklus geschützt bleiben.

Zunächst müssen Sie in Ihrem Unternehmen gute Datensicherheitspraktiken umsetzen und regelmäßig interne Audits und Qualitätskontrollen im Hinblick auf Ihre PCI-konformen Daten durchführen. Im Folgenden finden Sie einige spezifische Kontrollen, die Sie implementieren können, um Ihre PCI-Daten zu schützen.

  • Sensible Daten entdecken und klassifizieren
    • Alle sensiblen Daten lokalisieren und sichern
    • Daten auf der Grundlage Ihrer Unternehmensrichtlinie klassifizieren
  • Daten und Berechtigungen kartieren
    • Benutzer, Gruppen, Ordner- und Dateiberechtigungen identifizieren
    • Ermitteln, wer auf welche Daten zugreifen darf
  • Zugriffskontrolle verwalten
    • Veraltete Benutzer identifizieren und deaktivieren
    • Benutzer und Gruppenmitgliedschaften verwalten
    • Globale Zugriffsgruppen entfernen
    • Modell nach dem Prinzip der notwendigsten Berechtigung einführen
  • Daten, Dateiaktivitäten und Benutzerverhalten überwachen
    • Aktivitäten mit Dateien und Ereignisse überprüfen und melden
    • Überwachung im Hinblick auf Insider-Risiken, Malware, Fehlkonfigurationen und Datenschutzverletzungen
    • Sicherheitsschwachstellen erkennen und beheben

Strafen für PCI-Compliance-Verstöße

Gemäß dem maßgeblichen PCI Compliance Blog werden Geldbußen nicht veröffentlicht oder gemeldet sondern in der Regel an die Händler durchgereicht. Banken geben diese Geldbußen dann in Form erhöhter Transaktionsgebühren oder durch die Kündigung von Geschäftsbeziehungen weiter.

Bußgelder variieren zwischen 5.000 und 100.000 Dollar pro Monat, bis die Händler Compliance erreichen. Bußgelder in dieser Höhe sind machbar für große Banken, können ein kleines Unternehmen aber schnell in den Bankrott treiben.

Allerdings sind dievon der PCI verhängten Bußgelder klein im Vergleich zu Kreditüberwachungsgebühren, Gerichtskosten und staatlichen Verfahren, die anfallen können, wenn Sie nicht wirklich PCI DSS-konform sind.   Das Unternehmen Target hat beispielsweise gemeldet, dass sich die Gesamtkosten der massiven Datenschutzverletzung mit Kreditkartendaten beim Unternehmen auf über 200 Millionen USD beliefen, wovon 18,5 Millionen USD auf einen gerichtlichen Vergleich mit 47 Generalstaatsanwälten entfielen.

Die Varonis Datensicherheitsplattform bietet Ihnen die Grundlagen, die Sie auf Ihrem Weg zur PCI-Compliance benötigen. Varonis kartiert Ihre Ordner und Ordnerzugriffe und scannt Dateien im Hinblick auf PCI-konformen Daten. Sobald Sie wissen, wo sich Ihre PCI-Compliance-Daten befinden, können Sie daran arbeiten, das Risiko von Verstößen zu reduzieren und diese Daten auf anormale Zugriffsmuster zu überwachen. Varonis schützt Ihre PCI-Daten langfristig. Sie können sogar Datenzugriffsberichte für Ihre PCI-Compliance-Audits erstellen.

Laden Sie unseren kostenlosen Compliance- und Verordnungsleitfaden herunter, um mehr darüber zu lesen, wie Varonis Sie auf Ihrem Weg zur Compliance unterstützt.