F

PCI-DSS-konform mit Sicherheitskontrollen der Datenbanken

Bei einigen Datenbanken ist PCI DSS Pflicht. Braucht ein Unternehmen diese Datenbank, sind einige Schritte für die Konformität notwendig.

Dieser Artikel behandelt

PCI-Standards

Was sind bewährte Kontrollen für die Datenbank-Security, um PCI-DSS-konform zu handeln?

Sollten sich in der Datenbank Daten von Karteninhabern befinden, müssen Sie jeden einzelnen Punkt von PCI DSS (Payment Card Industry Data Security Standards) erfüllen. Prüfen Sie deswegen den Leitfaden von PCI DSS sorgfältig und stellen Sie sicher, dass das Betriebssystem sämtliche Auflagen in diesem Standard erfüllt.

Es gibt einige Schritte, die Ihnen die Erstellung einer PCI-konformen Datenbank erleichtern. Denken Sie zunächst darüber nach, ob Sie Informationen von Karteninhabern unbedingt in der entsprechenden Datenbank speichern müssen. Das gilt im besonders für die jeweiligen Nummern. Vielleicht lässt sich die Geschäftspraxis so modifizieren, dass diese Informationen nicht in elektronischer Form gespeichert werden müssen. Somit reduzieren Sie den Aufwand drastisch, um die Datenbank PCI-konform zu gestalten. Einige Unternehmen verwenden für Kreditkarten-Transaktionen Drittanbieter und speichern lediglich die letzten vier Nummer der Kreditkarten.

Wenn das Unternehmen Kreditkarten-Daten in seiner eigenen Datenbank speichern möchte, müssen diese Zahlen jederzeit verschlüsselt sein. Weiterhin brauchen Sie angemessene Verschlüsselungs-Prozesse, damit die Sicherheit dieser hoch sensiblen Informationen zu jederzeit gewährleistet ist. Außerdem dürfen Sie niemals den Sicherheits-Code oder kompletten Inhalt des Magnetstreifens der Kreditkarte speichern.

Darüber hinaus sind bestimmte Praktiken hinsichtlich der sicheren Systemadministration notwendig, wie sie in PCI DSS bezüglich Datenbanken aufgeführt sind. Damit sind sichere Authentifizierung, Verschlüsselung für administrativen Zugriff und das Vorhalten eines detaillierten Verlaufs-Logs für den Datenbank-Server gemeint. Die Datenbanken müssen auf Servern liegen, die dediziert für diese Funktion aufgesetzt sind. Außerdem ist eine Netzwerkzone für diese Server ratsam, die nicht direkt aus dem Internet erreichbar ist.

Eine PCI-konforme Datenbank zu verwalten ist eine komplexe und verpflichtende Verantwortung, die Sie nicht auf die leichte Schulter nehmen sollten. Ich rate, noch einmal zu evaluieren, ob die jeweilige Firma unbedingt selbst Kreditkarten-Daten für die Geschäftspraktiken speichern muss. Ist das der Fall, sollten Sie methodisch die Risiken einschätzen. Weiterhin ist eine Revision der Security-Kontrollen bezüglich der vorhandenen Datenbanken im Hinblick auf die Anforderungen von PCI DSS erforderlich.

Über den Autor: Mike Chapple, Ph.D., CISA, CISSP, ist IT-Sicherheitsmanager an der University of Notre Dame. Zuvor hat er bei der National Security Agency und der U.S. Air Force im Bereich Informationssicherheit geforscht. Chapple schreibt regelmäßig Artikel für SearchSecurity.com, wo er auch als ständiger Experte für Compliance, Frameworks und Standards tätig ist. Außerdem ist er technischer Redakteur für das Magazin Information Security und Autor mehrere Bücher über Informationssicherheit, darunter CISSP Study Guide und Information Security Illuminated.

Artikel wurde zuletzt im November 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über PCI-Datensicherheitsstandards

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close