PCI DSS 3.0 ist ab 2015 verbindlich. Sind Sie bereit?

Ab 2015 muss jedes Unternehmen, das mit Kartenzahlungen zu tun hat, konform zu PCI DSS 3.0 sein. Deswegen sollten Sie schnell mit Tests anfangen.

Dieser Artikel behandelt

PCI-Standards

Die Uhr tickt für die Unternehmen, die ihre Zahlungskarten-Systeme nicht zu PCI DSS 3.0 konform gemacht haben....

Dieser neue Standard ist bereits am 1. Januar 2014 in Kraft getreten. Händler haben die Möglichkeit, sich die Einhaltung des alten Standards für das Jahr 2014 unter der alten Version bescheinigen zu lassen. Allerdings fällt diese Möglichkeit im Jahre 2015 weg und alle Händler müssen beweisen, konform zu PCI DSS 3.0 zu sein. Ist Ihr Unternehmen für diese Änderung bereit?

In diesem Beitrag sehen wir uns drei große Änderungen an, die PCI DSS 3.0 mit sich bringt. Weiterhin geben wir Tipps und erklären die Schritte, die Ihre Firma unternehmen muss, um Konformität rechtzeitig zu erlangen.

Service-Provider-Management

PCI DSS ist eine vertragliche Bindung und kein Gesetz. Der Standard gilt daher nicht für Instanzen, die es nicht mit Kreditkarten-Akzeptanzverträgen zu tun haben. Allerdings sind die meisten Unternehmen zum Teil von externen Services abhängig, die die Kreditkarten-Bezahlungen für sie abwickeln. PCI DSS gilt auch in diesem Fall, da diese Anbieter als Service-Provider deklariert sind. Händlern müssen mit solchen Service-Providern einen Vertrag abschließen, die Kreditkarten-Informationen speichern, verarbeiten oder Zahlungen im Namen des Unternehmens abwickeln. Diese Verträge müssen beinhalten, dass die Service-Provider zu PCI DSS konform sind.

Das Konzept der Service-Provider lässt sich bis zu den ersten Versionen von PCI DSS zurückverfolgen. Händler mussten immer Listen für Service-Provider pflegen, unterschriebene Verträge haben und sich über die Konformität dieser Provider informieren. PCI DSS 3.0 enthält eine neue Vorschrift für Händler hinsichtlich der Service-Provider. Vorgabe 12.8.5 besagt, dass der Händler Informationen vorhält, welche PCI-DSS-Anforderungen in seiner Verantwortung und welche in der Verantwortung des Service-Providers liegen.

Konzentrieren Sie sich beim Aktualisieren der Dokumentation auf die Service-Provider, um diese Anforderung zu erfüllen. Schließlich behandeln sie die gleichen Fragen von jedem Kunden. Viele Service-Provider haben detaillierte Dokumente, die den Umfang der eigenen PCI-DSS-Konformität darlegen, sowie die Verantwortlichkeiten, die in den Händen der Händler verbleiben. In einigen Fällen werden diese Dokumente von so genannten PCI Qualified Security Assessors ausgearbeitet. Unternehmen können sich auf diese Dokumente verlassen und sie als Teil der Konformitäts-Materialien verwenden.

Strenge bei den Penetrationstests

Vorgabe 11.3 von PCI DSS hat schon immer gefordert, dass ein Unternehmen sowohl interne als auch externe Penetrationstests der Systemumgebung durchführt. Sowohl jährlich als auch nach großen Änderungen mussten die Tests stattfinden. Im PCI Compliance Report 2014 hat Verizon herausgestellt, dass Penetrationstests der Kontroll-Mechanismus sind, den alle Kunden sehr stiefmütterlich behandeln. Weniger als 40 Prozent der Händler erfüllen die Konformitäts-Anforderungen für Penetrationstests und dokumentieren angemessen.

Das PCI-Konsortium hat darauf reagiert und die Strenge in Bezug auf die Penetrationstests in PCI DSS 3.0 angezogen. Unternehmen müssen weiterhin jährlich oder nach großen Änderungen testen. Allerdings ist es nun auch notwendig, viele Details der Tests zu spezifizieren. Diese Tests müssen von einer qualifizierten und unabhängigen Person mit von branchenüblichen Standard-Herangehensweisen durchgeführt werden. Weiterhin müssen die Tests die gesamten Daten der Kartensysteme umfassen. Außerdem ist das Testen der Segmentierungs-Kontrollen Pflicht. Darüber hinaus sind viele weitere Details zu adressieren, die in Vorgabe 11.3 enthalten sind.

Aktualisieren Unternehmen Ihre Kontrollmechanismen für Penetrationstests, sollten Sie zunächst die Instanz überprüfen, die die Aktion durchführt. Ist ein Mitarbeiter für die Tests zuständig, muss das Unternehmen gegenüber den Auditoren diverse Fakten beweisen. Erstens muss die Person qualifiziert sein, die Tests durchzuführen. Zweitens muss der entsprechende Mitarbeiter unabhängig von den Angestellten sein, die für die Implementierung und Wartung der Security-Mechanismen zuständig sind. Ist der Tester in der Lage, den neuen Reglementierungen in Sektion 11.3 nachzukommen? Ist das nicht der Fall, sollten Sie die Aufgabe lieber an eine professionelle Penetrationstest-Firma abgeben.

Physische Security-Updates

PCI DSS 3.0 ändert auch die Anforderungen zur physischen Sicherheit für Orte, an denen Daten von Kartenbesitzern verarbeitet werden. Neue Regeln in 9.3 fordern strengere Auflagen in Bezug auf Zutritt für Personen zu sensiblen Bereichen. Unternehmen müssen individuellen Personen nun explizit Zutritt gewähren und dieser muss durch die Job-Funktion gerechtfertigt sein. Weiterhin muss eine Firma Prozeduren implementieren, die Zutritt sofort bei Beendigung des Arbeitsverhältnisses verweigern. Unternehmen sollten die momentanen Prozeduren in diesen Bereichen überprüfen und sofern notwendig, entsprechend auf den neuesten Stand bringen.

Eine etwas schwierigere Herausforderung in Sachen physischer Security bringt Anordnung 9.9 mit sich. Hier geht es um die Kartenlesegeräte, die für entsprechende Transaktionen bei einer Kaufabwicklung verwendet werden. Das Unternehmen muss eine vollständige Liste dieser Geräte pflegen, inklusive Seriennummern. Weiterhin hat die Firma die Geräte regelmäßig zu überprüfen, um eine potenzielle Manipulation auszuschließen. Haben es Mitarbeiter mit solchen Lesegeräten zu tun, müssen sie entsprechend geschult sein. So reduziert man die Gefahr, dass die Geräte von unautorisierten Leuten manipuliert wurden.

Organisationen mit sehr vielen Kartenlesegeräten haben es sicherlich schwerer, die Anforderung 9.9 zu erfüllen. Das gilt im Speziellen dann, wenn die Geräte geografisch verteilt stationiert sind. Unternehmen sollten sich für die Inventarisierung, Schulungen und Inspektionen Zeit nehmen. Nur so kann man garantieren, im Einklang mit dem Standard im Jahr 2015 zu sein.

Fazit

Manche Unternehmen sorgen sich nun sicher, dass Sie bis zum Jahresende 2014 nicht mit PCI DSS 3.0 konform sind. Sie können aber durchatmen. Einige der PCI-DSS-3.0-Kontrollmechanismen haben eine verlängerte Frist, bis man diese einhalten muss. Dazu gehören die Sektionen 11.3 für Penetrationstests und 9.9 für die physischen Sicherheits-Anforderungen. Im Moment gelten sie als Best Practices und werden am 1. Juli 2015 verpflichtend.

PCI DSS 3.0 fordert von Unternehmen neue Verantwortungen, die allerdings nicht unerreichbar sind. Fangen Sie nun mit der Bewertung an und der Übergang wird leichter, wenn die Konformität im Jahre 2015 verbindlich wird.

Artikel wurde zuletzt im Oktober 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über PCI-Datensicherheitsstandards

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close