Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
zurück zum Glossar

PCI DSS

PCI DSS steht für Payment Card Industry Data Security Standard und ist eine Reihe von Informationssicherheitsstandards für jedes Unternehmen, das Markenkreditkarten der wichtigsten Kreditkartennetzwerke – American Express, Discover Financial Services, JCB International, MasterCard und Visa – verwaltet und akzeptiert. PCI DSS gibt es seit 2006 und betroffene Organisationen sind derzeit verpflichtet, PCI DSS 3.2.1 einzuhalten. Unternehmen und Konzerne, die die PCI-Datensicherheitsstandards einhalten, genießen das Vertrauen ihrer Kunden und geben ihnen die Gewissheit, dass sie sensible Informationen sicher aufbewahren. Die Nichteinhaltung dieser Standards kann zu Sicherheitsverletzungen und damit zu erheblichen Umsatz- und Kundenverlusten führen.

Eine neue Version, der PCI DSS 4.0, befindet sich derzeit in der RFC-Phase (Request for Comments) und wird voraussichtlich Mitte 2021 fertiggestellt sein. Nach Angaben des PCI Council wird PCI DSS 3.2.1 18 Monate lang aktiv bleiben, sobald alle PCI DSS 4-Materialien veröffentlicht wurden.

Der PCI-Standard wird von den Kartennetzwerken und Unternehmen durchgesetzt, die Karteninteraktionen verwenden, wird jedoch vom Payment Card Industry Security Standards Council verwaltet. Das Security Standards Council stellt sicher, dass alle Compliance-Informationen und -Richtlinien auf dem neuesten Stand sind und die genauesten und hilfreichsten Informationen für Unternehmen bereitstellen.

Wer muss PCI DSS einhalten?

Ziel des PCI Data Security Standard (PCI DSS) ist es, Karteninhaberdaten (CHD) und sensible Authentifizierungsdaten (SAD) überall dort zu schützen, wo sie verarbeitet, gespeichert oder übertragen werden. Die Aufrechterhaltung der Zahlungssicherheit ist für alle Organisationen erforderlich, die Karteninhaberdaten speichern, verarbeiten oder übertragen.

Die PCI-Sicherheitsstandards umfassen technische und betriebliche Anforderungen für:

  • Organisationen, die Zahlungsvorgänge akzeptieren oder verarbeiten
  • Softwareentwickler und Hersteller von Anwendungen und Geräten, die bei diesen Transaktionen verwendet werden

PCI 3.2.1, die im Mai 2018 veröffentlicht wurde, ist die aktuelle Version, an die sich betroffene Organisationen halten müssen.

Die Validierung der Compliance erfolgt jährlich oder vierteljährlich mit einer Methode, die der Händlerebene des Unternehmens entspricht, die eine Funktion des jährlichen Volumens der abgewickelten Kreditkartentransaktionen ist.

Zusammenfassung der PCI-Händlerstufen und der Audit- und Reporting-Anforderungen

Die folgende Tabelle bietet einen Überblick über die PCI-Händlerstufen, die gängigen Zahlungsarchitekturen, die typischerweise auf jeder Ebene verwendet werden, und die entsprechenden PCI-Audit- und Reporting-Anforderungen. Hinweis: Es gibt einige subtile Unterschiede in den Benchmarks auf Händlerebene zwischen den Kreditkartenunternehmen, daher wird den Lesern empfohlen, sich mit ihren PCI-Beratungs- und QSA-Partnern in Verbindung zu setzen, um eine genaue Einschätzung der Anforderungen zu erhalten, die für ihr Unternehmen gelten. 

Händler-Ebene Volumen der Kreditkartentransaktionen pro Jahr Gemeinsame Zahlungsarchitektur PCI-Audit- und Reporting-Anforderungen
STUFE 1 Insgesamt mehr als 6 Millionen Transaktionen in allen Regionen der Welt
  • E-Commerce
  • Karte nicht vorhanden
  • Karte geschenkt
  • Annual Report on Compliance (ROC) durch einen Qualified Security Assessor (QSA)
  • Vierteljährliche Netzwerkscans durch einen Approved Scanning Vendor (ASV)
  • Formular zur Bescheinigung der Einhaltung
STUFE 2

1 Million bis 6 Millionen in allen Regionen der Welt

  • E-Commerce
  • Karte nicht vorhanden
  • Karte geschenkt
  • Jährlicher Fragebogen zur Selbsteinschätzung (SAQ) (interne Revision)
  • Vierteljährlicher Netzwerkscan durch einen ASV
  • Formular zur Bescheinigung der Einhaltung
STUFE 3 20.000 bis 1 Million in globalen Regionen
  • Nur E-Commerce
  • Jährlicher SAQ
  • Vierteljährlicher Netzwerkscan durch einen ASV
  • Formular zur Bescheinigung der Einhaltung
STUFE 4

Weniger als 20.000

ODER

1 Million über alle Kanäle, ABER

Weniger als 20.000 Kartentransaktionen

  • Nur E-Commerce

 

  • Karte geschenkt
  • E-Commerce
  • Jährlicher SAQ
  • Vierteljährlicher Netzwerkscan durch einen ASV
  • Formular zur Bescheinigung der Einhaltung

12 Voraussetzungen für PCI DSS

PCI DSS 3.2.1 umfasst 6 Ziele, 12 Anforderungen, 78 Basisanforderungen und über 400 Testverfahren. In der folgenden Tabelle sind die PCI DSS-Ziele und die damit verbundenen Anforderungen zusammengefasst. Einzelheiten zu den Teilanforderungen und Tests finden Sie im PCI DSS-Referenzhandbuch.

PCI DSS-ZIELE Anforderungen
AUFBAU UND WARTUNG EINES SICHEREN NETZWERKS UND SICHERER SYSTEME

1. Installieren und pflegen Sie eine Firewall-Konfiguration zum Schutz der Karteninhaberdaten

2. Verwenden Sie keine vom Anbieter bereitgestellten Standardeinstellungen für Systemkennwörter und andere Sicherheitsparameter

SCHUTZ DER DATEN VON KARTENINHABERN

3. Schützen Sie gespeicherte Karteninhaberdaten

4. Verschlüsselte Übertragung von Karteninhaberdaten über offene, öffentliche Netze

PFLEGEN SIE EIN SCHWACHSTELLENMANAGEMENT-PROGRAMM

5. Schützen Sie alle Systeme vor Malware und aktualisieren Sie regelmäßig Antivirensoftware oder -programme

6. Entwickeln und pflegen Sie sichere Systeme und Anwendungen

IMPLEMENTIEREN SIE STRENGE ZUGRIFFSKONTROLLMASSNAHMEN

7. Beschränken Sie den Zugriff auf Karteninhaberdaten nach geschäftlichen Anforderungen

8. Identifizieren und Authentifizieren des Zugriffs auf Systemkomponenten

9. Beschränken Sie den physischen Zugriff auf Karteninhaberdaten

REGELMÄSSIGE ÜBERWACHUNG UND PRÜFUNG VON NETZWERKEN

10. Verfolgen und überwachen Sie alle Zugriffe auf Netzwerkressourcen und Karteninhaberdaten

11. Testen Sie regelmäßig Sicherheitssysteme und -prozesse

PFLEGEN SIE EINE INFORMATIONSSICHERHEITSRICHTLINIE 12. Pflegen Sie eine Richtlinie, die die Informationssicherheit für alle Mitarbeiter berücksichtigt

Potenzielle Risiken durch PCI-Nichteinhaltung

PCI DSS gibt es seit mehr als 12 Jahren, aber viele Unternehmen sehen sich bei Audits weiterhin mit kritischen negativen Ergebnissen konfrontiert. Eine Handvoll Unternehmen berichtet auch weiterhin, dass es zu einer Datenschutzverletzung gekommen ist, selbst nachdem sie kürzlich ein PCI-Audit bestanden haben. Die wichtigste Erkenntnis dabei ist, dass Compliance nicht unbedingt bedeutet, dass die Daten und Anwendungen sicher sind. Die Einhaltung sollte als Grundlage betrachtet werden; Und Unternehmen sollten sich auch darauf konzentrieren, Bedrohungsvektoren zu identifizieren und zu entschärfen, die nicht unbedingt durch die Compliance-Vorschriften abgedeckt sind.

Dies sind die häufigsten Herausforderungen bei der PCI-Compliance :

  1. Sie müssen den Umfang und die Kosten von PCI-Audits verwalten. Der PCI-Sicherheitsrat hat einen Leitfaden für Scoping und Netzwerksegmentierung veröffentlicht. Das Dokument bietet einen Rahmen, der den betroffenen Organisationen hilft, die CDE-Komponenten (Cardholder Data Environment), PCI-verbundene und PCI-sicherheitsrelevante Systeme sowie Komponenten, die nicht in den Geltungsbereich fallen, zu identifizieren. Leider ist die Umsetzung des Scoping- und Segmenting-Frameworks für viele Unternehmen aufgrund der zunehmend dynamischen und komplexen Natur von Rechenzentrumsumgebungen und Zahlungsarchitekturen eine Herausforderung. Das Vertrauen auf statische Point-in-Time-Daten und Netzwerkflusskarten zur Befüllung und Pflege des PCI-Komponentenbestands in Kombination mit inkonsistenten IT-Änderungen und Firewall-Change-Management-Praktiken führen zu Scoping- und Segmentierungsfehlern, die wiederum zu Fehlern bei der PCI-Bewertung und höheren Auditkosten führen.
  2. Unfähigkeit, die PCI-Sicherheitskonformität und den Segmentierungsstatus kontinuierlich aufrechtzuerhalten. Die PCI-Sicherheitsstandards verlangen von Unternehmen, dass sie ihre PCI-Segmentierungshaltung kontinuierlich beibehalten und sicherstellen, dass sie kontinuierlich mit den PCI-Anforderungen und den Basisanforderungen konform ist. Dynamische und komplexe Rechenzentrums- und Zahlungsarchitekturen in Kombination mit Fehlausrichtungen bei Sicherheitsprozessen und IT-Abläufen führen zu Sicherheits- und Kontrolllücken. Infolge von IT-Praktiken vermischen sich PCI-Komponenten häufig mit Nicht-PCI-Komponenten innerhalb derselben Zone, desselben VLANS oder desselben Subnetzes und ohne zusätzliche Kontrollen zur Einschränkung des Datenverkehrs zur CDE. In einigen Fällen führt die Trennung zwischen IT-Änderungsmanagement, Ressourcenbereitstellung und Firewall-Änderungsmanagementprozessen zu einer falschen Bestandsaufnahme von PCI-verbundenen Systemen und falsch konfigurierten Firewall-Regeln. Schlechte Prozesse für das Schwachstellenmanagement und das Patch-Management hindern ein Unternehmen auch daran, seine PCI-Sicherheitslage kontinuierlich aufrechtzuerhalten. Der Verizon Payment Security Report bietet einen detaillierten Überblick über die Trends bei der Zahlungssicherheit und die kritischen Sicherheitsherausforderungen, mit denen Unternehmen nach wie vor konfrontiert sind. Verizon veröffentlicht diesen Bericht seit 2010 jährlich. Im Bericht von 2020 kommen die Autoren zu dem Schluss, dass die folgenden PCI-Anforderungen die schlimmsten Kontrolllücken aufweisen:
  3. Req. 11. Testen Sie Sicherheitssysteme und -prozesse
  4. Req. 5. Schutz vor bösartiger Software
  5. Req. 10. Verfolgen und Überwachen des Zugriffs
  6. Zu Frage 12. Sicherheitsmanagement
  7. Zu Frage 8. Authentifizieren des Zugriffs
  8. Zu Frage 1. Installieren und Verwalten einer Firewallkonfiguration
  9. Flache Netzwerke. Überraschenderweise haben viele Unternehmen auch heute noch flache Netzwerke, da diese einfach zu entwerfen und leicht zu bedienen und zu warten sind. Ein flaches Netzwerk bedeutet jedoch, dass alles in der Umgebung (einschließlich nicht PCI-verbundener und nicht CDE-fähiger Komponenten) in den PCI-Geltungsbereich fällt, was zu höheren PCI-Audit-Kosten führt. Ein flaches Netzwerk bedeutet auch, dass ein böswilliger Akteur, wenn er in der Lage ist, einen einzelnen Host erfolgreich zu kompromittieren, das Netzwerk leicht durchqueren und auf die Zahlungsanwendungen und die Karteninhaberdatenbank zugreifen kann.
  10. Sie müssen den Übergang zum Betriebsmodell für die Remote-Arbeit sicherstellen. Wenn Unternehmen auf ein vollständig remote arbeitendes Betriebsmodell umstellen, müssen sie bewerten, wie sich diese Änderungen auf den Umfang ihrer PCI-Umgebung auswirken und welche zusätzlichen Kontrollen sie implementieren müssen, um den legitimen Datenverkehr zum CDE zu kontrollieren. Beispiele hierfür sind die Sicherung des legitimen Fernzugriffs autorisierter Administratoren auf Zahlungsanwendungen von Mitarbeiter-Laptops aus, die Sicherung des Kundensupports und der Abrechnung aus der Ferne sowie die kontaktlose Sicherung autorisierter Verbindungen zwischen kontaktlosen Kiosken mit Internetzugriff und den Anwendungen des Rechenzentrums.

Was sind die häufigsten Herausforderungen bei der Implementierung des PCI Data Security Standards?

Echtzeit-Transparenz der Workloads, Benutzer, Geräte und deren Verbindungen und Abläufe ist wichtig für:

  • Sicherstellen, dass der Umfang der PCI-Umgebung aktuell und genau ist, was wiederum bedeutet, dass Segmentierungs- und Firewall-Regeln korrekt angewendet werden.
  • Bereitstellung wertvoller Beiträge zu den vorgeschriebenen vierteljährlichen internen Schwachstellenscans und Verwendung dieser Informationen, um die potenziellen lateralen Angriffspfade im Zusammenhang mit Schwachstellen abzubilden.
  • Kontinuierliche Überwachung der PCI-Umgebung auf Änderungen bei Workloads, Geräten, Benutzern, Verbindungen und fehlgeschlagenen Verbindungsversuchen, die Indikatoren für einen potenziellen Angriff sein könnten.
  • Identifizierung von Änderungen in der Angriffsfläche und den Bedrohungsvektoren, die nicht unbedingt durch die PCI-Compliance-Anforderungen abgedeckt sind.

Die Bedeutung von Echtzeit-Transparenz für eine effektive PCI DSS-Compliance

  • Die Echtzeittransparenz trägt dazu bei, die Genauigkeit des PCI-Geltungsbereichs sicherzustellen, indem alle Verbindungen der CDE-, PCI-verbundenen und PCI-sicherheitsrelevanten Systeme, die alle in den PCI-Geltungsbereich fallen, kontinuierlich überwacht werden. Ein Unternehmen kann dann eine hostbasierte Mikrosegmentierung anwenden, um die geltenden Firewall-Regeln durchzusetzen und den ein- und ausgehenden Datenverkehr in die PCI-Umgebung nur auf diejenigen zu beschränken, die "erlaubt" oder "legitim" sind. (Anforderung 1)
  • Die kontinuierliche Aufrechterhaltung einer effektiven und genauen Segmentierung der PCI-Umgebung trägt zur Kontrolle der PCI-Auditkosten bei.
  • Durch die Eliminierung falsch konfigurierter und veralteter Firewall-Regeln wird die Anfälligkeit eines betroffenen Unternehmens für eine potenzielle Datenschutzverletzung verringert.
  • Profitieren Sie von der Integration mit IT-Automatisierungstools (wie Chef, Puppet und Ansible, Terraform), um sicherzustellen, dass Segmentierungsrichtlinien gleichzeitig mit der Bereitstellung von Workload-Ressourcen und der Freigabe für die Produktionsumgebung bereitgestellt werden.
  • Echtzeit-Transparenz hilft dem Unternehmen, die Änderungen am PCI-Bereich zu bewerten, wenn ein Unternehmen auf Remote-Arbeit umstellt. Es hilft dem Unternehmen, kritische Kontrolllücken und potenzielle Angriffsvektoren zu identifizieren. Unternehmen können dann eine hostbasierte Mikrosegmentierung anwenden, um Peer-to-Peer-Verbindungen von Heimgeräten zu den Laptops des Remote-Benutzers einzuschränken und die Verbindungen zwischen Benutzer und Rechenzentrumsanwendung zu steuern.
  • Kontrollieren Sie Verbindungen zwischen autorisierten PCI-Workloads, Benutzern und Geräten, die über mehrere VLANs, Zonen und Subnetze verstreut sind, und halten Sie mit Änderungen des IT-Betriebs Schritt, ohne die Architektur der Netzwerkumgebung neu zu gestalten.
  • In Cloud-nativen und Greenfield-Umgebungen können Unternehmen die Integration mit Container-Orchestrierungsplattformen nutzen, um "Segmentierungsrichtlinien" zu Beginn eines Workloads bereitzustellen.
  • Neben der direkten Erfüllung der PCI-Compliance-Anforderungen kann ein Unternehmen Mikrosegmentierung anwenden, um seine Angriffsfläche zu reduzieren, laterale Bewegungen zu behindern und die schnelle Ausbreitung von Ransomware einzudämmen.

Verwendung von hostbasierter Mikrosegmentierung zur Bewältigung Ihrer Herausforderungen in den Bereichen PCI-Compliance und Cybersicherheit

  • Die Echtzeittransparenz trägt dazu bei, die Genauigkeit des PCI-Geltungsbereichs sicherzustellen, indem alle Verbindungen der CDE-, PCI-verbundenen und PCI-sicherheitsrelevanten Systeme, die alle in den PCI-Geltungsbereich fallen, kontinuierlich überwacht werden. Ein Unternehmen kann dann eine hostbasierte Mikrosegmentierung anwenden, um die geltenden Firewall-Regeln durchzusetzen und den ein- und ausgehenden Datenverkehr in die PCI-Umgebung nur auf diejenigen zu beschränken, die "erlaubt" oder "legitim" sind. (Anforderung 1)
  • Die kontinuierliche Aufrechterhaltung einer effektiven und genauen Segmentierung der PCI-Umgebung trägt zur Kontrolle der PCI-Auditkosten bei.
  • Durch die Eliminierung falsch konfigurierter und veralteter Firewall-Regeln wird die Anfälligkeit eines betroffenen Unternehmens für eine potenzielle Datenschutzverletzung verringert.
  • Profitieren Sie von der Integration mit IT-Automatisierungstools (wie Chef, Puppet und Ansible, Terraform), um sicherzustellen, dass Segmentierungsrichtlinien gleichzeitig mit der Bereitstellung von Workload-Ressourcen und der Freigabe für die Produktionsumgebung bereitgestellt werden.
  • Echtzeit-Transparenz hilft dem Unternehmen, die Änderungen am PCI-Bereich zu bewerten, wenn ein Unternehmen auf Remote-Arbeit umstellt. Es hilft dem Unternehmen, kritische Kontrolllücken und potenzielle Angriffsvektoren zu identifizieren. Unternehmen können dann eine hostbasierte Mikrosegmentierung anwenden, um Peer-to-Peer-Verbindungen von Heimgeräten zu den Laptops des Remote-Benutzers einzuschränken und die Verbindungen zwischen Benutzer und Rechenzentrumsanwendung zu steuern.
  • Kontrollieren Sie Verbindungen zwischen autorisierten PCI-Workloads, Benutzern und Geräten, die über mehrere VLANs, Zonen und Subnetze verstreut sind, und halten Sie mit Änderungen des IT-Betriebs Schritt, ohne die Architektur der Netzwerkumgebung neu zu gestalten.
  • In Cloud-nativen und Greenfield-Umgebungen können Unternehmen die Integration mit Container-Orchestrierungsplattformen nutzen, um "Segmentierungsrichtlinien" zu Beginn eines Workloads bereitzustellen.
  • Neben der direkten Erfüllung der PCI-Compliance-Anforderungen kann ein Unternehmen Mikrosegmentierung anwenden, um seine Angriffsfläche zu reduzieren, laterale Bewegungen zu behindern und die schnelle Ausbreitung von Ransomware einzudämmen.

Learn more

Beginnen Sie jetzt mit der Umsetzung von Schritten, um PCI-konform zu werden und Ihre Kunden und Ihr Unternehmen zu schützen.

Erfahren Sie mehr darüber, wie Mikrosegmentierung dazu beitragen kann, Ihren PCI-DSS-Umfang zu reduzieren und Compliance zu erreichen, in unserem Whitepaper "Drei Schritte zur effektiven Segmentierung Ihrer PCI-Compliance".

zurück zum Glossar

PCI DSS

Blogbeiträge

Cyber Resilience

Zwei Verstöße, eine Bank: Lehren aus der ICBC-Cyberkrise

Erfahren Sie wichtige Lehren aus der ICBC-Cyberkrise, bei der zwei große Sicherheitsverletzungen – Ransomware in den USA und ein Datendiebstahl in London – systemische Schwachstellen im globalen Banking aufdeckten.
Jetzt lesen
Cyber Resilience

Wie die ISO 27001-Zertifizierung von Illumio die Sicherheit Ihrer Lieferkette stärkt

Erfahren Sie, was die Zertifizierungen ISO 27001 und ISO 27701 von Illumio für die Cyber-Resilienz und die Sicherheit der Lieferkette unserer Kunden bedeuten.
Jetzt lesen
Cyber Resilience

BT und Illumio: Vereinfachung der DORA-Compliance

Justin Craigon, Senior Consultancy Specialist bei BT, erhält Einblicke in die Vorbereitung auf die DORA-Compliance bis zum 17. Januar 2025 Frist.
Jetzt lesen

PCI DSS

Unterhosen

Brief

Illumio + Netskope für DORA-Konformität

Erfüllen Sie die wichtigsten DORA-Anforderungen mit dem Illumio-Plugin für Threat Exchange, das Teil von Netskope Cloud Exchange ist.

Jetzt lesen
Brief

Le gouvernement met en œuvre Zero Trust pour un avenir plus sûr

Webinaire du panel d'experts de FedInsider sur Zero Trust

Jetzt lesen
Brief

Einhaltung der Datenschutzgesetze der Golfstaaten

Illumio Zero Trust Segmentation hilft Unternehmen, sensible Daten zu schützen und neue Datenschutzbestimmungen in den Golfstaaten einzuhalten.

Jetzt lesen

PCI DSS

demos

No items found.

PCI DSS

Führer

Guide

Strategien für DORA-Compliance: Die Schlüsselrolle der Mikrosegmentierung

Die Frist für den EU-Finanzsektor läuft im Januar 2025 ab. Ist Ihr Unternehmen vorbereitet?

Jetzt lesen
Guide

Mapping von Illumio auf die Zero-Trust-Architektur NIST SP 800-207

Erfahren Sie, wie die Komponenten von Illumio Core und Illumio Edge den logischen Kernkomponenten der NIST Zero Trust Architecture zugeordnet werden.

Jetzt lesen
Guide

TCO für PCI-Segmentierung: Hardware-Firewalls vs. Illumio Core

Verschaffen Sie sich einen Vergleich der Gesamtbetriebskosten zwischen Hardware-Firewalls und Illumio Core zur Unterstützung der PCI-Segmentierung.

Jetzt lesen

PCI DSS

Infografiken

No items found.

PCI DSS

Berichte

No items found.

PCI DSS

webinars

No items found.

PCI DSS

videos

Video

PCI-Konformität mit illumio

Mit Illumio Core können Sie Ihre PCI-Umgebung umrahmen und die Segmentierung schnell implementieren, um den Prüfungsaufwand zu reduzieren und QSAs zufrieden zu stellen.

Jetzt lesen

PCI DSS

Blogbeiträge

No items found.

PCI DSS

Unterhosen

No items found.

PCI DSS

Führer

No items found.

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Learn more