Die Grundlagen der PCI-Compliance: Was Sie wissen müssen

Veröffentlicht: 2023-04-14

Kreditkarteninformationen sind der wertvollste Datentyp für Cyberkriminelle, da diese Datensätze auf dem Schwarzmarkt Millionen von Dollar wert sind.

Heute verarbeiten Unternehmen aller Größen Kredit- und Debitkarteninformationen von Kunden und erhalten Kreditkartenzahlungen. Jedes Unternehmen, das Finanzdaten verarbeitet, speichert und überträgt, steht unter dem Radar böswilliger Akteure und ist den höchsten Cyberangriffsrisiken ausgesetzt.

Aus diesen Gründen haben große Kreditkartenunternehmen den PCI-Standard geschaffen, um Sicherheitsrichtlinien für Unternehmen zum Schutz der Finanzdaten von Kunden bereitzustellen. In diesem Artikel werden wir die Grundlagen der PCI-Compliance untersuchen.

Beginnen wir mit einer weiteren Erläuterung der PCI-DSS-Compliance.

Was ist PCI-DSS-Compliance?

Der Payment Card Industry Data Security Standard (PCI DSS) ist ein technischer und operativer Satz von Sicherheitsspezifikationen zum Schutz der Daten von Kreditkarteninhabern.

PCI-Compliance wurde von großen Kreditkartenunternehmen wie Visa, Mastercard, American Express, Discover Financial Services und JCB Express gegründet. PCI versucht, einen internationalen Rahmen für die Sicherung der Finanzdaten von Kunden zu schaffen.

Alle Unternehmen, die Daten sammeln, speichern und übertragen, unterliegen der PCI-DSS-Konformität und sind verpflichtet, Sicherheitsrichtlinien und -anforderungen einzuhalten.

PCI DSS hat vier Konformitätsstufen (1,2,3,4). Die PCI-Compliance-Stufen der Unternehmen werden auf der Grundlage des Transaktionsvolumens über ein Jahr bestimmt. Unternehmen, die unter Level 4 fallen, verarbeiten weniger als 20.000 Transaktionen pro Jahr.

Stufe 3 gilt für Händler, die Transaktionen zwischen 20.000 und 1 Million pro Jahr verarbeiten. Stufe 2 gilt für Unternehmen, die Transaktionen zwischen 1 und 6 Millionen pro Jahr verarbeiten. Unternehmen, die mehr als 6 Transaktionen pro Jahr abwickeln, fallen unter Level 1.

Die PCI-Anforderungen werden strenger, wenn das Level von 4 auf 1 steigt. Aber unabhängig vom Compliance-Level sind alle Unternehmen verpflichtet, alle PCI-Anforderungen bis zu einem gewissen Grad zu erfüllen.

Der sichere Umgang mit Karteninhaberdaten wird durch PCI-Compliance in sechs Kategorien festgelegt. Die PCI-Anforderungskategorien umfassen Karteninhaberdatenschutz, Schwachstellenmanagementplan, Netzwerküberwachung, sicheres Netzwerk- und Systemmanagement, Zugriffskontrollbeschränkungen und Informationssicherheitsrichtlinien.

Der Inhalt dieser Kategorien bildet insgesamt zwölf Anforderungsschritte. Die PCI-Anforderungen gewährleisten die Sicherheit bei der Handhabung von Karteninhaberdaten. Hier ist eine Checkliste für die PCI-Konformität.

PCI-Anforderungen

1- Installieren und warten Sie eine Firewall zum Schutz der Karteninhaberdaten

Da Firewalls der erste Verteidigungsmechanismus des Netzwerks sind, ist die ordnungsgemäße Konfiguration und Wartung einer Firewall entscheidend für die Sicherheit der Karteninhaberdaten. Firewalls sind hochwirksame Tools zum Schutz sensibler Daten vor Cyber-Bedrohungen, da sie den Netzwerkverkehr einschränken und unbefugten Zugriff blockieren. Deshalb ist die Einrichtung einer Firewall die erste Voraussetzung.

02. Sorgen Sie für einen angemessenen Passwortschutz

Die meisten Netzwerkdienste, Kassensysteme (POS) und Produkte von Drittanbietern sind mit Standardeinstellungen konfiguriert.

Cyberkriminelle können sich leicht Zugang zu Netzwerken und sensiblen Daten verschaffen, wenn Organisationen diese Werkseinstellungen nicht neu konfigurieren, da Standardpasswörter und Benutzernamen allgemein bekannt sind.

Abgesehen von der Änderung der Passworteinstellungen müssen Unternehmen regelmäßig die Passwörter aller Geräte und Software ändern, die eines erfordern.

03. Schützen Sie gespeicherte Karteninhaberdaten

Alle gespeicherten Karteninhaberdaten müssen verschlüsselt werden. Händler müssen den Schutz dieser sensiblen Daten durch kryptografische Schlüssel und Algorithmen sicherstellen und regelmäßige Scans durchführen.

04. Verschlüsseln der übermittelten Daten des Karteninhabers

Die Aufrechterhaltung der Sicherheit von Karteninhaberdaten ist die wichtigste Anforderung bei der PCI-Compliance. Daher müssen Händler auch die Übertragung von Karteninhaberdaten über öffentliche Netzwerke verschlüsseln und sichern.

05. Verwenden Sie Antivirus-Software

Eine Antivirensoftware ist eine Notwendigkeit für den Datenschutz vor Malware. Daher müssen Unternehmen ihre Antivirensoftware auf allen Geräten verwenden und regelmäßig aktualisieren, um Malware zu erkennen und zu beseitigen.

06. Software- und Systemwartung

Alle Software und Systeme sollten regelmäßig aktualisiert werden, um Sicherheitslücken zu schließen. Denken Sie daran, dass manche Software wie Datenbanken, Antivirensoftware und Firewalls häufiger aktualisiert werden müssen.

07. Beschränken Sie den Datenzugriff

Nur autorisiertem Personal sollte bei Bedarf Zugang zu den Daten der Karteninhaber gewährt werden. Dritte und Mitarbeiter sollten keinen Zugriff auf vertrauliche Informationen haben.

08. Eindeutige Identifikation für den Benutzerzugang

Jedem autorisierten Benutzer, der Zugriff auf Karteninhaberdaten hat, muss ein einzigartiger Satz von Benutzernamen und Passwörtern gegeben werden. Anmeldeinformationen für den Benutzerzugriff stellen die Verantwortlichkeit sicher und verkürzen die Reaktionszeit.

09. Beschränken Sie den physischen Zugang

Der physische Zugriff muss ebenso eingeschränkt werden wie der digitale Zugriff, um sensible Daten zu schützen. Unternehmen müssen die Daten der Karteninhaber an einem physisch sicheren Ort speichern und strenge Kontrollen und Autorisierungen durchsetzen.

10- Verfolgen und überwachen Sie den Netzwerkzugriff

Der gesamte Netzwerkzugriff und -verkehr muss verfolgt und überwacht werden, wenn es um Karteninhaberdaten und primäre Kontonummern geht. Zugriffsprotokolle mit Karteninhaberdaten müssen geführt und kontinuierlich überprüft werden.

11- Regelmäßige Bewertung der Sicherheitssysteme

Regelmäßige Sicherheitssystembewertungen und Penetrationstests sollten durchgeführt werden, um Sicherheitslücken zu ermitteln und zu beheben. Dieses Vorgehen stellt sicher, dass der aktuelle Zustand von Sicherheitssystemen ermittelt und entsprechend verbessert wird.

12- Pflegen Sie eine Cybersicherheitsrichtlinie

Alle PCI-Anforderungen müssen mit einer Cybersicherheitsrichtlinie adressiert und dokumentiert werden. Durch die Aufrechterhaltung einer Cybersicherheitsrichtlinie können Unternehmen die Einhaltung und Sicherheit ihrer Netzwerke gewährleisten.

Folgen der Nichteinhaltung von PCI DSS

Die Nichteinhaltung von PCI DSS kann hohe Bußgelder und Strafen nach sich ziehen. Je nach Schwere und Dauer der Verstöße können die PCI-Behörden Bußgelder zwischen 5.000 und 100.000 US-Dollar pro Monat verhängen.

Bußgelder können monatlich steigen, wenn die Dauer des Verstoßes länger wird. Außerdem können Unternehmen nach Vorfällen von Datenschutzverletzungen verpflichtet werden, alle Neuausstellungs- und Behebungskosten zu tragen.

Abgesehen davon kann die Nichteinhaltung von PCI zu zusätzlichen Strafen wie einem Anstieg der Transaktionsgebühren und dem Verlust von Händlern für Kreditkartenzahlungen für einige Zeit oder dauerhaft führen. Die Einhaltung der PCI-Anforderungen ist unerlässlich, um Strafen zu vermeiden und die vertraulichen Finanzdaten der Kunden zu schützen.

Letzte Worte

Die Finanzdaten der Kunden müssen jederzeit vor Cyberangriffen geschützt werden.

Die Einhaltung des Payment Card Industry Data Security Standard (PCI DSS) kann Unternehmen dabei helfen, Finanzdatensätze zu sichern, die verarbeitet, gespeichert und übertragen werden.

In einer Zeit, in der Cyberrisiken, Compliance-Bußgelder und Strafen so hoch sind, sollte jedes Unternehmen, das PCI unterliegt, seine Anforderungen erfüllen und PCI-konform werden.