Wichtige Neuerungen bei PCI DSS 3.0: Service-Anbieter, Passwörter, Vulnerability

News

Wichtige Neuerungen bei PCI DSS 3.0: Service-Anbieter, Passwörter, Vulnerability

Eric B. Parizo

Die langerwartete Revision der PCI DSS (Datensicherheitsstandards der Paid Card Industry für Händler, die Kreditkartenzahlung anbieten) wird nicht vor November 2013 abgeschlossen. Dafür gibt es jedoch bereits Einblicke auf die vorgeschlagenen Änderungen für die einzuhaltenden unternehmensbezogenen Sicherheitsvorschriften. Dieser erste Artikelteil widmet sich den kommenden Änderungen

Das PCI Security Standards Council (PCI SSC) hat dazu mögliche Änderungen für die PCI DSS Version 3.0 bekannt gegeben. Hervorzuheben sind über ein Dutzend Änderungen, die ein erhöhtes Augenmerk auf die Kontrolle von Sicherheitslücken auf Händlerseite, eine detailliertere Dokumentation aller involvierten Systemkomponenten und dem Datenfluss der auf Karten enthaltenen Informationen verlangen. Vorgesehen ist außerdem eine stärkere Berücksichtigung für den Schutz von Malware und das Vulnerability-Management, eine höhere Flexibilität bei den Vorraussetzungen für Passwörter und eine Verbesserung bei „Anforderung 12: Befolgung einer Informationssicherheits-Richtlinie für das gesamte Personal“ mit Fokus auf das Compliance-Management von Serviceanbietern.

In einem Interview mit SearchSecurity sagte Bob Russo, General Manager bei PCI SSC, dass sich das Credo der PCI DSS seit der Einführung im Jahr 2004 nicht geändert habe. Händler sollen dabei unterstützt werden, Kartendaten zu schützen, ob beim Speichern, Übermitteln oder Abwickeln. Bei der Version 3.0 jedoch soll die Einhaltung der Standards zum „Business as usual“ erklärt werden, genauer, die Einhaltung der Anforderungen soll zum Tagesablauf gehören wie andere Business-Tätigkeiten.

„Es geht darum, die PCI DSS ohne Aufhebens zum Teil des Geschäfts zu machen. Nicht ,einmal im Jahr’ oder zum ,Ausprobieren’, sondern immer,“ so Russo. „Allerdings gibt es eine Menge Neuerungen sowie Änderungen. Daher ist es unser Ziel, uns verstärkt um Aufklärungsarbeit und auch die Wahrnehmung zu bemühen. Wir wollen sicherstellen, dass allen bewusst ist, worum es geht.“

PCI DSS 3.0: Änderungen bei Anforderung 12

Die für PCI DSS 3.0 vorgeschlagen Änderungen enthalten eine Reihe von Ergänzungen und Erläuterungen zur vorherigen Version. Sie beinhalten allgemeingültige Richtlinien, die verschiedene der Anforderungen oder den gesamten Prozess der Einhaltung betreffen sowie bedeutende Änderungen hinsichtlich der Anforderung 12.

Die Neuerung bei Anforderung 12 verdeutlicht nun, dass Händler Informationen bereitstellen müssen, welche der Anforderungen der PCI DSS von externen Serviceanbietern erbracht und welche vom Händler selbst gehandhabt werden. Dazu wird von externen Serviceanbietern verlangt, die Verantwortung für die Einhaltung dieser Anforderungen anzuerkennen. Die zuvor in Anforderung 12 enthaltenen Sicherheitsrichtlinien sind in Version 3.0 in die anderen Anforderungen aufgenommen worden.

„Für die Anforderungen unter Punkt 12 haben wir vorgesehen, dort die Arbeitsabläufe und Sicherheitsrichtlinien (siehe 12.1.1 und 12.2 der Version 2.0) zu entnehmen und in den einzelnen Unterpunkten der Anforderungen aufzuführen.“ erläutert Troy Leach, Chief Technology Officer des PCI SSC. „Wir reagieren damit auf die sich ändernden Anforderungen und Umstände.“

Diese Änderung verfolgt daneben das Ziel, die Einhaltung der Standards zur Prämisse zu machen. Sie richtet sich auch an Händler, bei denen die Infrastruktur des Bezahlvorgangs ein Element des Cloud-Computing ist. Bisher war das Einhalten der PCI DSS bei Nutzung von Cloud-Systemen schwierig für viele Händler. Die Auslegung, ob die Standards bezüglich der Art und Struktur des genutzten Cloud-Systems eingehalten wurden, war unter den qualifizierten Sicherheitsgutachtern (QSA), die die Einhaltung der Standards regelmäßig prüfen, nicht immer eindeutig im Ergebnis.

Leach fügt hinzu, der SSC reagiere mit den Änderungen ebenfalls auf Unsicherheiten, die bei Lösungen mit Drittanbietern bestehen. Ebenfalls seien Empfehlungen der SIG berücksichtigt worden, der Special-Interest-Gruppe, die sich mit der Security-Assurance bei Konstellationen mit Drittanbietern befasst.

„Heutzutage gibt es nicht nur neue Bezahlkanäle, wie zum Beispiel mobile Methoden (Smart Phone, Tablet). Es kommen auch immer mehr neue Technologien hinzu, wie zum Beispiel Cloud-Systeme,“ so Leach weiter. „Daher gehen wir mit den neuen Anforderungen auf diese Änderungen ein. Händler, die diese Technologien für den Bezahlvorgang nutzen, sind nun in den Anforderungen berücksichtigt worden.“

„Der Fokus wurde hier ganz klar auf Händler gelegt. Die sollen verstehen, in welchem Umfang sie im Rahmen der PCI DSS verantwortlich sind, wenn sie mit externen Serviceanbietern zusammenarbeiten. Dazu zählen auch Cloud-Systeme,“ fasst Leach zusammen.

Branden R. Williams, Experte der PCI DSS und Executive Vize-Präsident im Bereich Strategie der Sysnet Global Solutions, Belfast (Irland), bewertet die Änderungen der Anforderung 12 als Klarstellung. Es sei nun verdeutlicht worden, wo die Verantwortlichkeiten der externen Serviceanbieter liegen und dass Geldstrafen folgen, sollte ein Händler durch deren Verschulden die Anforderungen nicht einhalten.

„Wird eine Anforderung nicht eingehalten, so kann sich der Händler auf den externen Serviceanbieter berufen,“ so Williams.

PCI DSS 3.0: Internes Vulnerability-Assessment

Eine Änderung, die möglicherweise Debatten auslösen könnte, findet sich in Anforderung 11. Hier wird nicht nur eine Methodik für Penetrationstests angeordnet. Es wird auch definiert, dass Tests zum Überprüfen von Segmentierungsmethoden funktionsfähig und effektiv sind. Auf diese Art, sagt Leach, sollen Händler die Möglichkeit haben, Vulnerability-Tests eigenhändig neben der vierteljährlich stattfindenden angeordneten Prüfung durchführen zu können.

Laut Leach hofft das PCI SSC dabei, dass Händler die eigenen Ergebnisse nutzen, um den Umfang der selbst gespeicherten Karteninhaberdaten zu reduzieren.

„Wir hoffen, dass noch mehr Augenmerk auf die Sicherheit gelegt wird, wenn Händler diese Möglichkeit bekommen und demonstrieren können, dass die erfassten „Fußabdrücke“ minimiert und die Menge der gespeicherten Karteninhaberdaten reduziert wurde,“ merkt Leach an. „Es ist eine ähnliche, aber doch andere Vorgehensweise, als sie Anforderung 11 „Regelmäßiges Testen der Sicherheitssysteme und -prozesse“ derzeit vorschreibt.“

„Ich gehe davon aus, dass es von einigen Seiten Widerstand geben wird, weil diese Änderung einen Mehraufwand bedeutet. Führt man sich jedoch vor Augen, dass die Gefährdung zunimmt, ist es sicherlich eine nachvollziehbare, vernünftige Änderung,“ sagt Julie Conroy, Research Director der Aite Group, Boston. „Mittlerweile besteht eine recht agile Entwicklung, ständig gibt es neue Möglichkeiten – und neue Missstände.“

Williams begrüßte diese Änderung ebenfalls und betonte, dass nun einige der Auslegungsprobleme hinsichtlich der anwendbaren Arten des Vulnerabilty-Assessment beseitigt werden konnten.

PCI DSS 3.0: Passwortrichtlinien und Passwort-Management

Diverse Änderungsvorschläge betreffen Anordnungen bei den Passwortrichtlinien und dem Passwort-Management. Anforderung 2 verdeutlicht, dass das Ändern des voreingestellten Passwortes für Anwendungs- und Servicekonten sowie Kundenkonten vonnöten ist. Anforderung 8 bietet eine erhöhte Flexibilität bei Passwortstärke und -komplexität an und gestattet Passwortvariationen, die einander ähneln.

„Es ging immer um Passwörter von mindestens 7 Zeichen, die Buchstaben und Ziffern enthalten,“ erläutert Russo die Neuerung. „Jetzt jedoch sind auch Phrasen ohne Ziffern gestattet, weil diese ebenso stark sind und einfach zu erinnern. Daher haben wir diesen Prozess flexibler gestaltet.“

Die aktualisierte Version der Anforderung 8 betont die Wichtigkeit eines starken Passwortes und dass dieses nicht weitergegeben wird. Besteht der Verdacht, dass das Passwort Unbefugten bekannt ist, sollte es umgehend geändert werden.

Conroy erklärt, dass der Schwerpunkt auf Passwortsicherheit einer der wichtigsten Punkte in der neuen Version der PCI Standards ist, da in der Vergangenheit schlecht gewählte Passwörter der Hauptgrund für Datendiebstahl waren.

Er lobte außerdem die Einführung einer Phrase neben der Möglichkeit eines Passwortes. Studien hatten gezeigt, dass Phrasen die gleiche Stärke haben wie kurze Passwörter, die mit Groß- und Kleinschreibung, Ziffern und Sonderzeichen versehen sind.

„Ich freue mich, dass nun erkannt wurde, dass Phrasen eine Möglichkeit sind, Nutzer davon abzuhalten, immer das gleiche Passwort für eine Reihe von Funktionen zu verwenden und am besten noch einen Zettel mit dem Passwort auf dem Tisch liegen zu haben. Phrasen sind leichter erinnerbar als Ziffern und Sonderzeichen,“ sagt Conroy. „Diese Anpassung ist eine gute Sache“.

Im Teil 2 zu den Neuerungen von PCI DSS 3.0 beschäftigen wir uns mit der Definition von genutzten Services, Berücksichtigung von neuen Malware-Gefahren und weiteren Änderungen.


Ihre Meinung zum Artikel Kommentar

Teilen
Kommentare

    Ergebnisse

    Tragen Sie zu dem Gespräch bei

    Alle Felder sind erforderlich. Kommentare werden unterhalb des Artikels erscheinen.