zurück zur Übersicht

Standards überall Teil 2: PCI DSS – Absicherung der glühenden Karte

In unserem letzten Artikel wurde der aufmerksame Cubespotter-Leser schon über die geometrischen Besonderheiten einer Pizza „Napoletana“ aufgeklärt. Ich hoffe Sie haben seitdem einen netten Abend beim Italiener verbracht und Ihr erstes unangekündigtes Audit, sehr zur Überraschung des Restaurantbesitzers, mit dem Maßband erfolgreich abgeschlossen. Nun möchte ich Ihnen dennoch eine weitere, lebenswichtige Information nicht vorenthalten. Dieses Mal ist ein sehr wichtiges und wohlschmeckendes (Natur-)Produkt im Fokus. Dies wird von fleißigen Helfern (den Bienen, Anm. d. Red.“) hergestellt. Richtig geraten, es dreht sich um den Honig. Die Honigverordnung (HonigV) vom 16. Januar 2004 regelt dabei die Qualität und Beschaffenheit des Honigs. Und was haben nun die Honigverordnung und der Payment Card Industry Data Security Standard‘ – PCI DSS gemeinsam? Das erfahren Sie hier.

Falls Sie schon immer Honig in Ihrem Elektronikbaukasten als flüssige und flexible Leitungen verwenden wollten – vergessen Sie es am besten sofort wieder. Honigarten im Allgemeinen und eine Mischung der Honigarten darf höchstens eine elektrische Leitfähigkeit von 0,8 mS/cm (Siemens, SI Einheit des elektrischen Leitwertes und Kehrwert des elektrischen Wiederstandes, Anm. d. Red.) besitzen. Etwas mehr Glück könnte man mit Honigtauhonig, Kastanienhonig oder mit Mischungen dieser Honigarten haben, hier wird eine Leitfähigkeit von mindestens 0,8 mS/cm vorgeschrieben. Gut, dass wir vor diesen Fehlern bewahrt werden! Silber, als das Metall mit der höchsten elektrischen Leitfähigkeit, besitzt die Eigenschaft der Leitfähigkeit von 62 * 106 S/m. Damit gehen Sie auf alle Fälle auf Nummer sicher.

 

Der Payment Card Industry Data Security Standard‘ (PCI DSS)

Glücklicherweise gibt es auch Standards und Regulationen, die im unternehmerischen Alltag eine wichtigere und sinnvollere Rolle spielen, um die Sicherheit bei Finanztransaktionen in Bezug auf Kreditkarten zu erhöhen und diese auf ein bestimmtes Minimum vorschreiben – den ‚Payment Card Industry Data Security Standard‘ – PCI DSS. Dieser Standard bezieht sich auf die Durchführung von Kreditkartentransaktionen im digitalen Zahlungsverkehr. Sobald Kreditkarten-Transaktionen gespeichert, übertragen oder abgewickelt werden, muss eine Konformität dieses Standards gewährleistet werden. Verstöße gegen PCI DSS können mit Strafen geahndet werden, weshalb somit der PCI DSS Compliance eine große Aufmerksamkeit geschenkt werden sollte! Das Ziel dieses Standards ist es, das analoge „Hände hoch, Raubüberfall – Geld über den Banktresen“-Prinzip auf digitaler Ebene zu verhindern. Dies impliziert, dass die entsprechenden Daten vor Diebstahl oder Fraud geschützt sind. Die Einhaltung von PCI DSS wird über den Qualified Security Assessor (QSA) und den Internal Security Assessor (ISA) validiert. Ein Fragebogen zur Selbstbewertung, das Self-Assessment Questionnaire (SAQ) kann bei einer sehr geringen Anzahl an betreffenden Daten ebenfalls ausreichend sein.

 

Die zwölf magischen Anforderungen des PCI DSS

Im Wesentlichen können die Anforderungen des PCI DSS in zwölf Punkte unterteilt werden, die man wiederum in sechs Teilbereiche untergliedern kann:

„Build and Maintain a Secure Network“

  • Installation und Wartung einer Firewall Konfiguration, um Karteninhaberdaten zu schützen
  • Änderung der hersteller-/produktspezifischen Standardpasswörtern und weiteren Sicherheitsparametern

„Protect Cardholder Data“

  • Schützen von gespeicherten Kartendaten
  • Verschlüsselte Übertragung von Kartendaten über offenen und öffentlichen Netzwerken (wobei meiner Meinung nach eine Übertragung in einem öffentlichen, nicht gesicherten Netzwerk generell mit sehr viel Risiko behaftet ist und nicht leichtsinnig sensible Daten im Allgemeinen übertragen werden sollten!)

„Maintain a Vulnerability Management Program“

  • Einsatz einer Anti-Viren Lösung auf allen Systemen, welche immer auf dem neuesten Stand sein sollte. Dabei würde ich Ihnen eine Next Generation Endpoint Protection Lösung ans Herz legen, es gibt definitive Unterschiede zwischen traditionellen und neu entwickelten Erkennungsmethoden.
  • Entwicklung von sicheren Systemen sowie Applikationen und deren Wartung

„Implement Strong Access Control Measures“

  • Zugriffsbeschränkungen auf Kartendaten nach dem Need-To-Know Prinzip
  • Identifizierung und Authentifizierung des Zugriffs auf Systemkomponenten – dies kann beispielsweise durch die Erstellung einer eindeutigen ID für jede Person, die auf die Systeme zugreifen kann umgesetzt werden.
  • Einschränkungen bei physischen Zugriff von Kartendaten

„Regularly Monitor and Test Networks“

  • Aktives Monitoring sowie das nachvollziehen der Zugriffe auf Netzwerkressourcen und Kartendaten
  • Durchführung regelmäßiger Tests in Bezug auf Sicherheitssysteme und -prozesse

„Maintain an Information Security Policy“

  • Erstellung und Umsetzung einer Policy, die sich mit Informationssicherheit für Mitarbeiter und Auftragnehmer befasst

 

Ein Standard bedeutet nicht unbedingt eine Checkliste

Diese 12 Punkte werden im Dokument weiter untergliedert und definiert. Für jeden dieser Punkte existieren in einer Tabelle weitere Unterpunkte, die weitere Hinweise zu ‚Testing Procedures‘ und der Umsetzung (‚Guidance‘) enthält. Die jedoch teilweise sehr allgemein gehaltenen Formulierungen zur Umsetzung, z.B. „sufficient security configurations“, lassen einen gewissen Ermessensspielraum zu sowie eine gewisse Unsicherheit entstehen. Da Sicherheitstechnologie durch den Kampf im Sinne von Himmel und Hölle stetig weiterentwickelt wird (und dies auch muss!), werden immer neue Anforderungen an diese Sicherheitsarchitekturen und deren Konfiguration gestellt, welche wiederum durch die allgemein gehaltenen Formulierungen immer auf das aktuelle Best Practice aktualisiert werden sollten… Nur um auf Nummer sicher zu gehen! In vielen Bereichen kann Ihnen, wie ebenfalls bei der Umsetzung von anderen Anforderungen anderer Standards, das Security Operations Center bestens unter die Arme greifen.

Auf der Homepage des PCI Security Standards werden Tipps im Sinne eines Best Practice Framework-Modells („Quick Steps to Security“) zur praktischen Umsetzung gegeben, die von vielen Unternehmen befolgt werden und ich dem aufmerksamen Leser abschließend in der Originalform nicht vorenthalten möchte:

„The standard works for some of the world’s largest corporations. And it can work for you.

  • Buy and use only approved PIN entry devices at your points-of-sale.
  • Buy and use only validated payment software at your POS or website shopping cart.
  • Do not store any sensitive cardholder data in computers or on paper.
  • Use a firewall on your network and PCs.
  • Make sure your wireless router is password-protected and uses encryption.
  • Use strong passwords. Be sure to change default passwords on hardware and software – most are unsafe.
  • Regularly check PIN entry devices and PCs to make sure no one has installed rogue software or “skimming” devices.
  • Teach your employees about security and protecting cardholder data.
  • Follow the PCI Data Security Standard.“

Fazit:  lasset die Karte sicher glühen!

 


Quellen:

https://www.pcisecuritystandards.org

Payment Card Industry (PCI) Data Security Standard – Requirements and Security Assessment Procedures, Version 3.2.1, May 2018
Titelbild: Photocase – 142472

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer