Zahlungskartenindustrie-Datensicherheitsstandard Workflow

PCI DSS Schritt 1: Installieren und Warten Sie eine Firewall-Konfiguration ist ein wichtiger Sicherheitsmaßnahmen zum Schutz von Karteninhaberdaten. Dieser Schritt beinhaltet das Installieren und Warten einer Firewall-Konfiguration, um unbefugten Zugriff auf Karteninhaberdaten und sensible Systeme zu verhindern. Der Workflow besteht aus:

• Installation einer Firewall an jedem Internetzugang und an jedem anderen Netzwerkzugriffspunkt
• Konfigurieren der Firewall zur Zulassung nur notwendiger Verkehr, basierend auf Geschäftsbedürfnissen
• Regelmäßige Aktualisierung und Testen der Firewall-Konfiguration, um sicherzustellen, dass sie so wie geplant funktioniert
• Durchführung eines Änderungsmanagements für Firewalls-Änderungen zur Verhinderung von unbefugten Modifikationen
• Überwachung und Protokollierung der Firewall zum Erkennen potenzieller Sicherheitsbedrohungen.

Durch das Folgen dieses Schrittes können Organisationen sicherstellen, dass ihre Karteninhaberdaten vor externen und internen Bedrohungen geschützt sind und die PCI DSS-Regelungen erfüllt werden. Regelmäßige Wartung und Überwachung sind wesentlich, um die Wirksamkeit der Firewall-Konfiguration aufrechtzuerhalten.

PCI DSS Schritt 2: Verwenden Sie keine vom Hersteller bereitgestellten Voreinstellungen für Systempasswörter und andere Sicherheitsparameter

Bei diesem Schritt geht es darum, sicherzustellen, dass die System- und Anwendungsconfigurations so eingestellt sind, dass sie die sichere Aufzeichnung oder Übertragung von Karteninhaberdaten gewährleisten. Organisationen dürfen keine vom Hersteller bereitgestellten Voreinstellungen für Passwörter oder Sicherheitsparameter verwenden, da diese einen Zugang für Angriffer ermöglichen können. Stattdessen sollten einzigartige und starke Passwörter für alle System- und Anwendungsaccounts erstellt werden. Bei diesem Schritt ist eine enge Zusammenarbeit zwischen IT-Teams, Entwicklern und Sicherheitsmitarbeitern erforderlich, um sicherzustellen, dass Voreinstellungen durch personalisierte Konfigurationen ersetzt werden. Durch die Umsetzung dieses Schrittes können Organisationen den Risikobereich für unautorisiertem Zugriff und Datenlecks erheblich verringern und letztendlich die Karteninhaberdaten vor falschen Händen schützen.

PCI DSS Schritt 3: Geschützte Karteninformationen schützen

Bei diesem Schritt geht es darum, die von Card-Inhabern verwendeten Daten innerhalb einer Organisation zu schützen. Dies umfasst die Verschlüsselung aller Daten von Card-Inhabern bei Ruhestandsicherung, sowohl im Verkehr als auch wenn sie auf Servern, Arbeitsplätzen oder anderen elektronischen Medien gespeichert werden. Der verwendete Verschlüßelsungsverfahren muss den Standards der Zahlungs-Kartenindustrie (PCI) entsprechen. Bei allen Zugriffen auf die gespeicherten Daten von Card-Inhabern müssen nur autorisierte Personen zugreifen können. Dies umfasst das Kontrollieren des physischen Zugangs zu Speicherbereichen, das Gebrauchen sichrer Login-Prozeduren und den Implementierung eines starken Passworts-Reglements. Darüber hinaus müssen Organisationen sicherstellen, dass Drittanbieter, die sensible Informationen bearbeiten, denselben Sicherheitsstandards entsprechen wie die Organisation selbst. Durch diese Maßnahmen können Unternehmen die Vertraulichkeit und Integrität der Daten von Card-Inhabern aufrechterhalten.

In diesem Schritt setzen Organisationen Maßnahmen um, Cardholder-Daten bei der Übertragung zu schützen. Dazu werden Firewall und Netzwerksprotokolle so konfiguriert, dass sensible Informationen verschlüsselt werden.

Der Workflow beginnt mit der Identifizierung der Systeme, die Cardholder-Daten übertragen. Als nächstes konfigurieren technische Mitarbeiter auf diesen Systemen die notwendigen Verschlusssicherungen wie SSL/TLS oder IPsec und aktualisieren die Firewallregeln, um nur verschlüsselte Verkehr zwischen den Systemen zuzulassen.

Sobald alle Konfigurationen durchgeführt sind, testet man das System, ob es korrekt Cardholder-Daten während der Übertragung verschlüsselt. Dazu können Werkzeuge verwendet werden, die eine Simulierung der Übertragung und die Überprüfung auf korrekte Verschlüsselung der sensiblen Informationen simulieren. Sollte diese Test erfolgreich verlaufen, wird die Konfiguration so angepasst, dass die neue Sicherheitsmaßnahmen fortlaufend Cardholder-Daten während der Übertragung schützen. Dieser Schritt hilft vor unbefugten Zugriffen auf sensible Informationen zu schützen.

In diesem kritischen Schritt der PCI DSS-Übereinstimmung müssen Organisationen starke Sicherheitsmaßnahmen zur Schutz von Karteninhaberdaten implementieren. Dabei handelt es sich um die Verwendung von Technologien, die bewiesen haben, dass sie unautorisiertem Zugriff oder Änderungen vorbeugen können.

Die Verwendung starken Kryptographie und sicherer Protokolle ist im Schutz sensibler Informationen entscheidend. Die Organisationen müssen auch sicherstellen, dass robuste Firewall- und -Intrusionserkennungssysteme implementiert werden, um mögliche Bedrohungen abzuwehren.

Darüber hinaus müssen sie sichere Kommunikationsprotokolle wie Secure Sockets Layer (SSL)/Transport Layer Security (TLS) verwenden, wenn Karteninhaberdaten über öffentliche Netzwerke übertragen werden. Zudem müssen die Organisationen Verschlüsselung zur Schutz von gespeicherten Karteninhaberdaten und Wartung neuester Sicherheitsmaßnahmen zur Verhinderung von Angriffen durch fortgeschrittene Angreifer anwenden.

In diesem kritischen Schritt des PCI DSS-Konformitätprozesses sind Organisationen verpflichtet, sichere Systemrichtlinien zu entwickeln und umzusetzen, die sensible Karteninhaberdaten schützen. Hierbei handelt es sich um die Erstellung von Richtlinien, die den Zugriffskontrollen, der Datentransmission, Verschlüsselung und anderen Sicherheitsmaßnahmen Rechnung tragen.

Sichere Systemrichtlinien zu entwickeln ist ein entscheidender Bestandteil bei der Wahrung einer robusten Sicherheitsposition innerhalb einer Organisation. Durch die Festlegung klarer Leitlinien für Systemadministratoren, Entwickler und alle Personen, die mit Karteninhaberdaten interagieren, können Unternehmen sicherstellen, dass ihre Systeme so gestaltet und betrieben werden, um eine Einbruchserie und eine unbefugte Zugriff zu verhindern.

Bei diesem Schritt ist es den Organisationen erforderlich, Richtlinien zu entwickeln, die wichtige Bereiche wie:

• Zugriffssteuerung und Authentifizierung
• Datenverschlüsselung und -transmissions-Sicherheit
• Systemaktualisierungen und Patches-Management
• Incidents-Reaktion und -Berichterstattung

Durch die Umsetzung dieser Richtlinien können Organisationen ihre Zuneigung zum Schutz von Karteninhaberdaten und zur Wahrung der höchsten Sicherheitsstandards unter Beweis stellen.

Bei diesem wichtigen Schritt der PCI DSS-Einhaltung müssen Unternehmen den Zugriff auf Karteninhaberdaten durch die Implementierung strenger Rechte und Berechtigungen beschränken. Nur Mitarbeitern mit einer legitimen Geschäftsnotwendigkeit wird Zugriff auf sensible Informationen gewährt.

1. Durchführung der rollenbasierten Zugriffssteuerung (RBAC), um Aufgaben zu trennen und den Zugriff für autorisierte Personen einzchränken.
2. Begrenzung des Einsatzes von administrativen Konten auf nur jene, die zur Erfüllung spezifischer Aufgaben erforderlich sind.
3. Gewährleistung, dass alle Mitarbeiter ihre Rolle und Verantwortlichkeit im Umgang mit Karteninhaberdaten verstehen.
4. Regelmäßige Überprüfung und Aktualisierung von Zugriffsrechten, um sicherzustellen, dass diese der sich ändernden Geschäftsbedürfnisse entsprechen.

Durch die Einhaltung dieser Anforderungen können Unternehmen das Risiko unautorisierten Zugriffs minimieren und sensible Kundendaten schützen. Dadurch kann die Wahrscheinlichkeit von Datenverletzungen und damit verbundenen Sicherheitsrisiken verringert werden.

PCI DSS Schritt 8: Zuweisen eines eindeutigen ID an jeden Benutzer

Bei diesem wichtigen Schritt der PCI-Compliance müssen Unternehmen jeder Person eine eindeutige Identifizierung (ID) zuweisen, die mit Karteninhaberdaten interagiert. Dazu gehören Mitarbeiter, Auftragnehmer und externe Dienstleister. Ziel ist es sicherzustellen, dass jede Person ihren spezifischen Aktionen innerhalb des Systems nachvollziehbar ist. Eine eindeutige ID trackingt nicht nur die Zugriffsrechte eines Mitarbeiters, sondern ermöglicht auch die Überwachung von Sicherheitsvorfällen oder Policyverstößen. Unternehmen müssen eine robuste ID-Management-Anwendung implementieren, um unbeauftragte Zugriffe zu verhindern und die Datenintegrität aufrechtzuerhalten. Dieser Schritt unterstreicht die Bedeutung der Identitätsbasierten Zugriffssteuerung, schützt sensible Karteninhaberinformationen vor potenziellen Bedrohungen. Durch das Zuweisen von eindeutigen IDs gewährleisten Unternehmen eine Verantwortlichkeit und demonstrieren ihre Bemühungen, PCI-Compliance-Standards einzuhalten.

Unternehmensarbeitsablauf Schritt: PCI DSS Schritt 9

Bei diesem Arbeitsablaufschritt geht es darum, alle Zugriffe auf Netzressourcen und Kartenhalterdaten zu überwachen. Ziel ist es sicherzustellen, dass sich alle Mitarbeiter mit logischem Zugriff auf Kartenhalterdaten authentifiziert, autorisiert und im Hinblick auf die Einhaltung der Sicherheitsrichtlinien und -verfahren des Unternehmens zur Überwachung gestellt wurden.

Zu diesem Schritt gehören:

• Die Implementierung eines Systems zur Überwachung und Protokollierung aller Zugriffe auf Netzressourcen und Kartenhalterdaten.
• Regelmäßige Überprüfungen der Rechte und Berechtigungen für alle Mitarbeiter.
• Sichergestellt, dass sich alle Änderungen an Netzressourcen und Kartenhalterdaten korrekt protokolieren und überprüfen lassen.
• Die Einrichtung von Verfahren zur Handhabung von Sicherheitsvorfällen und Meldung an die Führung.

Regelmäßige Überwachung und Wartung dieser Aktivitäten helfen dabei, unautorisierten Zugriff auf sensible Informationen zu verhindern, wodurch der Einhaltung der Anforderungen des PCI DSS entsprochen wird.

PCI DSS Schritt 10: Regelmäßig Sicherheitssysteme und Prozesse testen

Dieser kritische Schritt sichert die laufende Sicherheit der Karteninhaberdaten durch regelmäßige Testverfahren für alle Sicherheitssysteme und Prozesse. Ein umfassendes Programm wird eingerichtet, um die Wirksamkeit bestehender Kontrollen zu validieren und Bereiche für Verbesserungen zu identifizieren. Dazu gehören periodische Schwachstellenanalysen, Penetrationstests und Prüfungen auf Einhaltung relevanter PCI DSS-Anforderungen.

Ein dokumentierter Plan umfasst den Umfang, die Häufigkeit und Methodik dieser Tests sowie die Verfahren zur Beseitigung von Sicherheitslücken oder Nichteinhaltung. Darüber hinaus werden die Ergebnisse dieser Tests verwendet, um bestehende Sicherheitskontrollen zu überarbeiten, notwendige Änderungen vorzunehmen und Nachweise für die Einhaltung der PCI DSS-Anforderungen bereitzustellen.

Durch regelmäßiges Testen von Sicherheitssystemen und Prozessen können Organisationen sicherstellen, dass ihre Verteidigungsmechanismen robust und wirksam gegen sich ändernde Bedrohungen bleiben.

"Ein Programm zur Verwaltung von Schwachstellen ist der elfte Schritt zur Einhaltung der PCI-DSS-Standards. Dabei geht es darum, einen Plan zu implementieren, mit dem Schwachstellen in Systemen, Netzwerken und Anwendungen identifiziert werden, die von Händlern zum Umgang mit Karteninformationen genutzt werden. Ziel dieses Programms ist es sicherzustellen, dass potenzielle Schwächen regelmäßig gescannt und abgehoben werden, bevor sie ausgenutzt werden können.

Schwerpunkte bei der Unterhaltung eines Programms zur Verwaltung von Schwachstellen sind:

• Durchführung eines Prozesses, um alle kritischen Assets im Zusammenhang mit dem Umgang mit Karteninhaberdaten zu identifizieren
• Durchführung regelmäßiger Sicherheits-Scans mithilfe aktuellster Werkzeuge und Methoden
• Identifizierung, Meldung und Sanierung von Schwachstellen, die während des Scans gefunden werden
• Aufrechterhaltung von Aufzeichnungen über Aktivitäten zur Verwaltung von Schwachstellen"

Durch die Implementierung von Richtlinien für die Zuweisung von Kundenrechten wird ein wichtiger Schritt zur Einhaltung der Anforderungen des PCI DSS getroffen. Bei diesem Workflowschritt werden Verfahren erstellt und durchgesetzt, die Benutzerrollen und Zugriffslevel innerhalb eines Unternehmensumfelds definieren.

Ziel dieses Schritts ist es sicherzustellen, dass nur autorisiertes Personal auf sensible Informationen und Systeme Zugriff hat, wodurch der Risiko von unerlaubtem Zugriff oder Datenverletzungen minimiert wird. Kritische Aspekte bei der Implementierung von Richtlinien für die Zuweisung von Kundenrechten umfassen:

Benutzerrollen und Verantwortlichkeiten definieren Zugriffssteuerungen und Authentifizierungsverfahren festlegen Regelmäßige Überprüfungen und Aktualisierungen der Rechtezuweisungen durchführen

Indem man diesem Schritt folgt, können Unternehmen ein sicheres Umfeld unterhalten, das sensible Kundeninformationen schützt und den PCI DSS-Richtlinien entspricht. Dies tritt wiederum zum Aufbau von Vertrauen bei den Kunden und zur Erhaltung eines starken Rufs innerhalb der Industrie bei.

Bei diesem kritischen Schritt der PCI DSS-Konformität müssen Organisationen ein robustes Zugriffskontrollsystem implementieren, um Karteninhaberdaten zu schützen. Durch die Einschränkung des Zugangs zu sensiblen Informationen auf Basis von "Bedarf zur Kenntnis" können Unternehmen das Risiko einer unbefugigen Offenlegung oder Entwendung minimieren.

Im 13. Schritt muss eine umfassende Risikobewertung durchgeführt werden, um festzustellen, wer innerhalb der Organisation Zugriff auf Karteninhaberdaten für seine Arbeitstätigkeit benötigt. Nur diejenigen mit einem legitimen Geschäftsgrund sollten Zugriff erhalten. Die Zugriffsrechte müssen sorgfältig verwaltet und regelmäßig überprüft werden, um sicherzustellen, dass sie weiterhin genaue und notwendige sind.

Mitarbeiter müssen ein Bedarf-zur-Kenntnis-Anforderung nachweisen, bevor ihnen der Zugriff gewährt wird, und bestehende Berechtigungen sollten widerrufen werden, wenn die Rolle eines Mitarbeiters sich ändert oder nicht mehr Zugriff auf Karteninhaberdaten benötigt. Durch die Umsetzung dieses Schrittes können Insiderbedrohungen verhindert und die Integrität sensibler Informationen gewährleistet werden.

Hier ist die Übersetzung:

Schritt 1: Bezieht sich darauf, Zugang von Mitarbeitern zur Karteninhaberdaten auf der Grundlage ihrer Arbeitsanforderungen zu begrenzen. Es ist wichtig sicherzustellen, dass nur Zugriff auf Informationen besteht, die für das Ausführen ihrer Aufgaben notwendig sind.

1. Alle mit elektronischem oder physischen Zugang zur Karteninhaberdaten-Umgebung identifizieren.
2. Jeder Personens Jobfunktion bewerten und bestimmen Sie, welcher Zugriff sie benötigen, um ihre Aufgaben auszuführen.
3. Prozess für die Begrenzung der Mitarbeiterzugänge zur Karteninhaberdaten auf der Grundlage ihrer Arbeitsanforderungen implementieren.
4. Regelmäßig Zugangslevel überprüfen und aktualisieren Sie, wenn Jobverantwortlichkeiten ändern oder wenn neue Personal hinzukommen.
5. Eine einzigartige ID und starkes Passwort verwenden, um den unbefugten Zugriff zu verhindern.

Durch die Implementierung dieses Schritts wird geschützt, indem sichergestellt wird, dass Mitarbeiter mit Zugang zu Karteninhaberdaten einen legitimen Geschäftsbedarf haben, diesen zu nutzen.

PCI DSS Schritt 15: Stellen Sie sicher, dass alle Mitarbeiter ausgebildet sind

In diesem kritischen Schritt des PCI DSS Compliance-Verfahrens wird sichergestellt, dass alle Mitarbeiter, die mit Kreditkarten-Daten oder sensible Systeme umgehen, eine adäquate Ausbildung erhalten. Ziel ist es, unbeabsichtigten Zugriff zu verhindern und Kundendaten vor Sicherheitsverletzungen zu schützen. Dazu müssen Händler ein umfassendes Schulungsprogramm entwickeln und durchführen, das wichtige Aspekte des PCI DSS abdeckt, einschließlich Datenverarbeitungsverfahren, Passwörter-Management und Reaktionsprozessen auf Vorfälle.

Ausbildete Mitarbeiter sind besser geeignet, potenzielle Sicherheitsbedrohungen zu erkennen und korrektive Maßnahmen zu ergreifen, um sie zu verhindern. Dieser Schritt hilft auch dabei, sicherzustellen, dass Mitarbeiter ihre Rolle und Verantwortung verstehen, bei der Wahrung der Sicherheit und Integrität von Kundenkreditkarteninformationen. Durch Investition in die Ausbildung von Mitarbeitern können Händler das Risiko von Datenverletzungen erheblich reduzieren und PCI DSS-Kompliance aufrechterhalten.