Der Payment Card Industry Data Security Standard (PCI DSS) besteht aus einer Reihe von Sicherheitsanforderungen zum Schutz von Karteninhaberdaten – primäre Kontonummern (PANs), Namen, Ablaufdaten, Service-Codes – und anderen sensiblen Karteninhaberdaten während ihres gesamten Lebenszyklus.
Der PCI DSS betrifft alle Händler, Dienstleister und sonstigen Unternehmen, die Karteninhaberdaten speichern, verarbeiten oder übertragen, sowie alle Unternehmen, die mit Systemen verbunden sind, die Karteninhaberdaten speichern, verarbeiten oder übertragen. (Diese Systeme werden als „Cardholder Data Environment” (CDE) bezeichnet.) Der PCI DSS beschreibt detaillierte Sicherheitskontrollen, -prozesse und -tests, die Unternehmen zum Schutz von Karteninhaberdaten implementieren sollten. Diese Sicherheitsmaßnahmen decken eine Vielzahl von Funktionsbereichen in der Umgebung der Karteninhaberdaten ab, darunter E-Commerce-Transaktionen, POS-Systeme, drahtlose Hotspots, mobile Geräte, Cloud Computing und papierbasierte Speichersysteme.
Die Einhaltung des PCI DSS erfordert eine jährliche Berichterstattung durch Händler und Dienstleister sowie eine zusätzliche Berichterstattung nach wesentlichen Änderungen an der CDE. Die Überprüfung der Einhaltung der Vorschriften umfasst auch eine kontinuierliche Bewertung des Sicherheitsstatus eines Unternehmens und die kontinuierliche Behebung von Sicherheitslücken in Richtlinien, Technologien oder Verfahren.
Unternehmen und Dienstleister können von einem qualifizierten Sicherheitsprüfer (QSA) bewertet werden, der nach Abschluss einer erfolgreichen Bewertung eine Konformitätsbescheinigung (AOC) ausstellt.
Die erste Version des PCI DSS wurde 2004 von den Kreditkartenunternehmen American Express, Discover, JCB International, MasterCard und Visa veröffentlicht, die gemeinsam den Payment Card Industry Security Standards Council (PCI SSC) gründeten, um die technischen Anforderungen des Standards zu verwalten. Im Jahr 2020 nahm das PCI SSC die UnionPay Bankcard Association auf. Der PCI DSS wird regelmäßig aktualisiert, um den neuesten Cybersicherheitsbedrohungen von Zahlungskartendaten wie Identitätsdiebstahl, Betrug und Datenschutzverletzungen entgegenzuwirken.
IBM ist ein Level 1 Serviceanbieter für PCI DSS, und Kunden können mit IBM Cloud PCI-DSS-konforme Umgebungen und Anwendungen aufbauen.
Viele IBM Cloud-Plattformdienste verfügen über eine PCI DSS Attestation of Compliance (AOC), die von einem Qualified Security Assessor (QSA) ausgestellt wurde.
- IBM Cloud Activity Tracker (über Mezmo)
- IBM Cloud App-ID
- IBM Cloud Backup
- IBM Cloud Backup für VPC
- IBM Cloud Bare Metal
- IBM Cloud Bare Metal Servers für VPC
- IBM Cloud Block Storage
- IBM Cloud Block Storage für Virtual Private Cloud
- IBM Cloud Block Storage Snapshots für VPC
- IBM Cloud Container Registry
- IBM Cloud Databases for DataStax
- IBM Cloud Databases for Elasticsearch
- IBM Cloud Databases for EnterpriseDB
- IBM Cloud Databases for etcd
- IBM Cloud Databases for MongoDB
- IBM Cloud Databases for MySQL
- IBM Cloud Databases for PostgreSQL
- IBM Cloud Databases für Redis
- IBM Cloud Direct Link
- IBM Cloud Direct Link Connect (2.0)
- IBM Cloud Direct Link Dedicated (2.0)
- IBM Cloud DNS-Services
- IBM Cloud File Storage
- IBM Cloud File Storage for Virtual Private Cloud
- IBM Cloud Flow Logs for VPC
- IBM Cloud for VMware Solutions (Dedicated)
- IBM Cloud Hardware Security Module
- IBM Cloud Internet Services Enterprise Package (über Cloudflare)
- IBM Cloud Internet Services Enterprise Usage (über Cloudflare)
- IBM Cloud Internet Services Standard (über Cloudflare)
- IBM Cloud Kubernetes Service and Red Hat OpenShift on IBM Cloud
- IBM Cloud Load Balancer
- IBM Cloud Messages for RabbitMQ
- IBM Cloud Object Storage
- IBM Cloud Object Storage (IaaS)
- IBM Cloud Platform – Basisservices – IBM Cloud Identity and Access Management
- IBM Cloud Secrets Manager
- IBM Cloud Transit Gateway
- IBM Cloud Virtual Private Cloud
- IBM Cloud Virtual Private Cloud – Load Balancer für VPC: Application Load Balancer und Network Load Balancer
- IBM Cloud Virtual Private Cloud – VPN for VPC : Site-to-Site-Gateway und Client-to-Site-Server
- IBM Cloud Virtual Private Endpoint for VPC
- IBM Cloud Virtual Servers
- IBM Cloud Virtual Server for VPC
- IBM Cloud Virtual Server for VPC - Auto Scale for VPC
- IBM Cloud Virtual Server for VPC – Dedicated Host für VPC
- IBM Cloudant for IBM Cloud
- IBM Event Streams for IBM Cloud (Enterprise)
- IBM Event Streams for IBM Cloud (Standard)
- IBM Key Protect für IBM Cloud
- IBM-Protokollanalyse (über Mezmo)
- IBM Power Virtual Server on IBM Cloud
- IPSec VPN
- SAP-Certified Cloud Infrastructure
Beschleunigen Sie Ihre Compliance mit IBM Cloud-Services
Die neueste Version des PCI DSS (v4.0) wurde im März 2022 veröffentlicht. Unternehmen müssen diese 12 Anforderungen bis zum 31. März 2025 umsetzen, um die Compliance zu erreichen.
IBM Cloud bietet folgende Service-Suite, die Ihnen dabei hilft, spezifische PCI DSS-Anforderungen zu erfüllen und Ihre Compliance-Reise zu beschleunigen.
|
1. Installieren und pflegen Sie Netzsicherheitskontrollen |
|---|
IBM Cloud Internet Services (CIS)
Netzwerk
IBM Cloud Internet Services bietet marktführende Sicherheit und Leistung für Ihre externen Webinhalte und Internetanwendungen, bevor diese die Cloud erreichen.
IBM Cloud Direct Link
Netzwerk
Die Geschwindigkeit und Zuverlässigkeit von IBM Cloud Direct Link hilft Ihnen, das Netzwerk des Rechenzentrums Ihres Unternehmens zu erweitern – ohne das öffentliche Internet zu nutzen.
IBM Cloud Gateway-Geräte
Netzwerk
Gateway-Appliances sind Geräte, die Ihnen eine verbesserte Kontrolle über den Netzwerkverkehr ermöglichen, die Leistung Ihres Netzwerks beschleunigen und Ihrem Netzwerk einen Sicherheitsschub verleihen.
IBM Cloud Transit Gateway
Netzwerk
IBM Cloud Transit Gateway unterstützt Sie bei der Verbindung und Verwaltung Ihrer IBM Cloud Virtual Private Cloud (VPC)-Netzwerke.
FortiGate Security Appliance
Netzwerk
Stellen Sie in Ihrer Umgebung ein Paar FortiGate Virtual Appliances bereit, die Ihnen dabei helfen können, Risiken zu reduzieren, indem sie kritische Sicherheitskontrollen in Ihrer virtuellen Infrastruktur implementieren.
Hardware-Firewall
Netzwerk
Eine wichtige Sicherheitsschicht, die bei Bedarf ohne Serviceunterbrechung bereitgestellt wird.
|
2. Wenden Sie sichere Konfigurationen auf alle Systemkomponenten an |
|---|
FortiGate Security Appliance
Netzwerk
Stellen Sie in Ihrer Umgebung ein Paar FortiGate Virtual Appliances bereit, die Ihnen dabei helfen können, Risiken zu reduzieren, indem sie kritische Sicherheitskontrollen in Ihrer virtuellen Infrastruktur implementieren.
Hardware-Firewall
Netzwerk
Eine wichtige Sicherheitsschicht, die bei Bedarf ohne Serviceunterbrechung bereitgestellt wird.
IBM Security and Compliance Center
Sicherheit
Eine integrierte Lösungssuite zur Definition von Richtlinien als Code, zur Implementierung von Kontrollen für sichere Daten- und Workload-Bereitstellungen und zur Bewertung der Sicherheits- und Compliance-Position.
IBM Cloud Security and Compliance Center – Schutz von Workloads
Sicherheit
Finden und priorisieren Sie Software-Schwachstellen, erkennen und reagieren Sie auf Bedrohungen und verwalten Sie Konfigurationen, Berechtigungen und Compliance von der Quelle bis zur Ausführung.
IBM QRadar Suite
Sicherheit
IBM Security® QRadar® Suite ist eine modernisierte Lösung zur Erkennung von und Reaktion auf Bedrohungen, die darauf abzielt, die Erfahrung von Sicherheitsanalysten zu vereinheitlichen und ihre Geschwindigkeit während des gesamten Lebenszyklus von Vorfällen zu erhöhen.
|
3. Schützen Sie gespeicherte Karteninhaberdaten |
|---|
IBM Key Protect für IBM Cloud
Sicherheit
Mit dem IBM Key Protect for IBM Cloud-Service können Sie verschlüsselte Schlüssel für Anwendungen in IBM Cloud-Services bereitstellen und speichern, sodass Sie die Datenverschlüsselung und den gesamten Schlüssellebenszyklus von einem zentralen Ort aus anzeigen und verwalten können.
IBM Security and Compliance Center – Data Security Broker – Manager
Sicherheit
Eine Sicherheitslösung in der Security and Compliance Center-Suite, die zentralisierte Verschlüsselungsrichtlinien und die Prüfung von Daten über verschiedene Datenquellen hinweg ermöglicht.
IBM Cloud Hyper Protect Virtual Server
Container
Eine vollständig verwaltete, vertrauliche Compute-Container-Laufzeitumgebung, die die Bereitstellung sensibler containerisierter Workloads in einer hochgradig isolierten Umgebung mit technischer Sicherheit ermöglicht.
IBM Cloud Hardware Security Module
Sicherheit
Schützt die kryptografische Infrastruktur durch eine sicherere Verwaltung, Verarbeitung und Speicherung kryptografischer Schlüssel in einem manipulationssicheren Hardware-Gerät.
IBM Security Guardium
Sicherheit
Datensicherheitssoftware in dem IBM-Sicherheitsportfolio, die Schwachstellen aufdeckt und sensible Daten lokal und in der Cloud schützt.
IBM Cloud-Speicherservices
Speicher
Skalierbares, sicheres und kostengünstiges Zuhause für Ihre Daten bei gleichzeitiger Unterstützung traditioneller und cloudnativer Workloads. Bereitstellung und Deployment von Services wie Zugriffsobjekt-, Block- und Dateispeicher.
IBM Cloud Database Services
Datenbanken
Entlasten Sie Entwickler und IT-Mitarbeiter von komplexen und zeitaufwändigen Aufgaben wie dem Deployment und Aktualisierung von Infrastruktur- und Datenbanksoftware, dem Infrastrukturbetrieb und Backups.
|
4. Schützen Sie Karteninhaberdaten mit starker Kryptografie während der Übertragung über offene, öffentliche Netzwerke |
|---|
IBM Cloud Direct Link
Netzwerk
Die Geschwindigkeit und Zuverlässigkeit von IBM Cloud Direct Link hilft Ihnen, das Netzwerk des Rechenzentrums Ihres Unternehmens zu erweitern – ohne das öffentliche Internet zu nutzen.
IBM Cloud Transit Gateway
Netzwerk
IBM Cloud Transit Gateway unterstützt Sie bei der Verbindung und Verwaltung Ihrer IBM Cloud Virtual Private Cloud (VPC)-Netzwerke.
IBM Key Protect für IBM Cloud
Sicherheit
Mit dem IBM Key Protect for IBM Cloud-Service können Sie verschlüsselte Schlüssel für Anwendungen in IBM Cloud-Services bereitstellen und speichern, sodass Sie die Datenverschlüsselung und den gesamten Schlüssellebenszyklus von einem zentralen Ort aus anzeigen und verwalten können.
|
5. Schützen Sie alle Systeme und Netzwerke vor bösartiger Software |
|---|
IBM Cloud Internet Services (CIS)
Netzwerk
IBM Cloud Internet Services bietet marktführende Sicherheit und Leistung für Ihre externen Webinhalte und Internetanwendungen, bevor diese die Cloud erreichen.
IBM Cloud Direct Link
Netzwerk
Die Geschwindigkeit und Zuverlässigkeit von IBM Cloud Direct Link hilft Ihnen, das Netzwerk des Rechenzentrums Ihres Unternehmens zu erweitern – ohne das öffentliche Internet zu nutzen.
FortiGate Security Appliance
Netzwerk
Stellen Sie in Ihrer Umgebung ein Paar FortiGate Virtual Appliances bereit, die Ihnen dabei helfen können, Risiken zu reduzieren, indem sie kritische Sicherheitskontrollen in Ihrer virtuellen Infrastruktur implementieren.
IBM QRadar Suite
Sicherheit
IBM Security® QRadar® Suite ist eine modernisierte Lösung zur Erkennung von und Reaktion auf Bedrohungen, die darauf abzielt, die Erfahrung von Sicherheitsanalysten zu vereinheitlichen und ihre Geschwindigkeit während des gesamten Lebenszyklus von Vorfällen zu erhöhen.
IBM Security Guardium
Sicherheit
Datensicherheitssoftware in dem IBM-Sicherheitsportfolio, die Schwachstellen aufdeckt und sensible Daten lokal und in der Cloud schützt.
|
6. Entwicklung und Wartung sicherer Systeme und Software |
|---|
IBM Cloud Internet Services (CIS)
Netzwerk
IBM Cloud Internet Services bietet marktführende Sicherheit und Leistung für Ihre externen Webinhalte und Internetanwendungen, bevor diese die Cloud erreichen.
IBM Cloud Security and Compliance Center – Schutz von Workloads
Sicherheit
Finden und priorisieren Sie Software-Schwachstellen, erkennen und reagieren Sie auf Bedrohungen und verwalten Sie Konfigurationen, Berechtigungen und Compliance von der Quelle bis zur Ausführung.
IBM Security Guardium
Sicherheit
Datensicherheitssoftware in dem IBM-Sicherheitsportfolio, die Schwachstellen aufdeckt und sensible Daten lokal und in der Cloud schützt.
IBM Cloud Container Registry
Container
Speichern und verteilen Sie Container-Images in einer vollständig verwalteten privaten Registry. Verschieben Sie private Images, um sie bequem im IBM Cloud Kubernetes Service und anderen Laufzeitumgebungen auszuführen.
IBM Cloud Continuous Delivery
Developer Tools
Nutzen Sie unternehmenstaugliche DevOps. Erstellen Sie Toolchains, die Ihre App-Bereitstellungsaufgaben unterstützen. Automatisieren Sie Builds, Tests, Bereitstellungen und mehr.
IBM Cloud Kubernetes Service
Container
Stellen Sie sichere und hochverfügbare Cluster in einer nativen Kubernetes-Erfahrung bereit.
|
7. Beschränken Sie den Zugriff auf Systemkomponenten und Karteninhaberdaten auf die Personen, die diese Informationen aus geschäftlichen Gründen benötigen |
|---|
IBM Cloud App-ID
Sicherheit
Fügen Sie ganz einfach Authentifizierung zu Web- und mobilen Apps hinzu. Verbessern Sie Ihre Apps mit erweiterten Sicherheitsfunktionen wie Multi-Faktor-Authentifizierung und Single Sign-on.
IBM Cloud Identity and Access Management (IAM)
Sicherheit
Der IBM Cloud Identity and Access Management Service authentifiziert Benutzer sicher und steuert den Zugriff auf alle Ressourcen in der IBM Cloud-Plattform.
|
8. Identifizieren Sie Benutzer und authentifizieren Sie den Zugriff auf Systemkomponenten. |
|---|
IBM Cloud App-ID
Sicherheit
Fügen Sie ganz einfach Authentifizierung zu Web- und mobilen Apps hinzu. Verbessern Sie Ihre Apps mit erweiterten Sicherheitsfunktionen wie Multi-Faktor-Authentifizierung und Single Sign-on.
IBM Cloud Secrets Manager
Sicherheit
Erstellen Sie dynamisch Geheimnisse und vermieten Sie sie an Anwendungen, während Sie den Zugriff von einem einzigen Standort aus steuern. Erstellt mit Open-Source HashiCorp Vault.
IBM Cloud Identity and Access Management (IAM)
Sicherheit
Der IBM Cloud Identity and Access Management Service authentifiziert Benutzer sicher und steuert den Zugriff auf alle Ressourcen in der IBM Cloud-Plattform.
|
9. Beschränken Sie den physischen Zugriff auf Karteninhaberdaten |
|---|
IBM Cloud implementiert mehrere Maßnahmen zur Erhöhung der physischen Sicherheit:
Sicherheit
- Physische Sicherheit des Rechenzentrumsperimeters
- Ein- und Ausgangszugriffskontrollen und Protokollierung
- Sichere Büros, Räume und Einrichtungen
- Schutz vor externen und umweltbedingten Bedrohungen
- Redundanz des Strom- und Netzwerkequipments
- Sichere Entsorgung von Equipment während der De-Provisionierung
- Unternehmensrichtlinien für Personalwesen und Sicherheit bei der Einstellung, dem Training und dem Offboarding
|
10. Protokollierung und Überwachung aller Zugriffe auf Systemkomponenten und Karteninhaberdaten |
|---|
IBM Cloud Flow Logs for VPC
Netzwerk
Ermöglichen Sie die Erfassung, Speicherung und Darstellung von Informationen über den Internetprotokoll-Datenverkehr (IP), der über Netzwerk-Schnittstellen in Ihrer virtuellen privaten Cloud (VPC) läuft.
IBM QRadar Suite
Sicherheit
IBM Security® QRadar® Suite ist eine modernisierte Lösung zur Erkennung von und Reaktion auf Bedrohungen, die darauf abzielt, die Erfahrung von Sicherheitsanalysten zu vereinheitlichen und ihre Geschwindigkeit während des gesamten Lebenszyklus von Vorfällen zu erhöhen.
IBM Cloud Identity and Access Management (IAM)
Sicherheit
Der IBM Cloud Identity and Access Management Service authentifiziert Benutzer sicher und steuert den Zugriff auf alle Ressourcen in der IBM Cloud-Plattform.
IBM Security Guardium
Sicherheit
Datensicherheitssoftware in dem IBM-Sicherheitsportfolio, die Schwachstellen aufdeckt und sensible Daten lokal und in der Cloud schützt.
IBM Cloud Logs
Protokollierung & Überwachung
Verbessern Sie die Observability mit IBM Cloud Logs, um die Infrastruktur und die Leistung von Apps zu optimieren.
IBM Cloud Monitoring
Protokollierung & Überwachung
Cloud-Überwachung und -Fehlerbehebung für Infrastruktur, Cloud-Services und Anwendungen.
|
11. Sicherheit von Systemen und Netzwerken regelmäßig testen |
|---|
IBM Security and Compliance Center
Sicherheit
Eine integrierte Lösungssuite zur Definition von Richtlinien als Code, zur Implementierung von Kontrollen für sichere Daten- und Workload-Bereitstellungen und zur Bewertung der Sicherheits- und Compliance-Position.
IBM Cloud Security and Compliance Center – Schutz von Workloads
Sicherheit
Finden und priorisieren Sie Software-Schwachstellen, erkennen und reagieren Sie auf Bedrohungen und verwalten Sie Konfigurationen, Berechtigungen und Compliance von der Quelle bis zur Ausführung.
IBM QRadar Suite
Sicherheit
IBM Security® QRadar® Suite ist eine modernisierte Lösung zur Erkennung von und Reaktion auf Bedrohungen, die darauf abzielt, die Erfahrung von Sicherheitsanalysten zu vereinheitlichen und ihre Geschwindigkeit während des gesamten Lebenszyklus von Vorfällen zu erhöhen.
IBM Security Guardium
Sicherheit
Datensicherheitssoftware in dem IBM-Sicherheitsportfolio, die Schwachstellen aufdeckt und sensible Daten lokal und in der Cloud schützt.
|
12. Unterstützung der Informationssicherheit durch organisatorische Richtlinien und Programme |
|---|
IBM Security and Compliance Center
Sicherheit
Eine integrierte Lösungssuite zur Definition von Richtlinien als Code, zur Implementierung von Kontrollen für sichere Daten- und Workload-Bereitstellungen und zur Bewertung der Sicherheits- und Compliance-Position.
IBM Cloud Security and Compliance Center – Schutz von Workloads
Sicherheit
Finden und priorisieren Sie Software-Schwachstellen, erkennen und reagieren Sie auf Bedrohungen und verwalten Sie Konfigurationen, Berechtigungen und Compliance von der Quelle bis zur Ausführung.
IBM Cloud Logs
Protokollierung & Überwachung
Verbessern Sie die Observability mit IBM Cloud Logs, um die Infrastruktur und die Leistung von Apps zu optimieren.
IBM Cloud Monitoring
Protokollierung & Überwachung
Cloud-Überwachung und -Fehlerbehebung für Infrastruktur, Cloud-Services und Anwendungen.
Häufig gestellte Fragen
Die neueste Version des PCI DSS (v4.0) wurde im März 2022 veröffentlicht. Es werden die folgenden 12 Anforderungen zum Schutz von Karteninhaberdaten aufgeführt. Unternehmen müssen diese 12 Anforderungen bis zum 31. März 2025 umsetzen, um die Compliance zu erreichen.
Installieren und warten Sie Netzwerksicherheitskontrollen
Zu den Netzwerksicherheitskontrollen (NSCs) können Firewalls, virtuelle Geräte, Containersysteme, Cloud-Sicherheitssysteme und andere Technologien gehören, die den Zugriff auf Systeme und Daten kontrollieren.
Wenden Sie sichere Konfigurationen auf alle Systemkomponenten an
Standardkennwörter und andere Standardeinstellungen, die von Anbietern bereitgestellt werden, sollten nicht verwendet werden, da sie anfällig für Cyberangriffe sind.
Schützen Sie gespeicherte Karteninhaberdaten
Sofern dies nicht aus geschäftlichen Gründen erforderlich ist, sollten Unternehmen keine Daten von Karteninhabern speichern. Wenn sie gespeichert werden, müssen sie durch Verschlüsselung, Maskierung oder auf andere Weise unlesbar gemacht werden.
Schützen Sie die Karteninhaberdaten mit starker Kryptografie während der Übertragung über offene, öffentliche Netzwerke
Um zu verhindern, dass Hacker auf sensible Informationen wie Kartennummern und personenbezogene Daten (PII) zugreifen, sollten Daten vor und/oder während der Übertragung über öffentliche Netzwerke verschlüsselt werden.
Schützen Sie alle Systeme und Netzwerke vor bösartiger Software
Setzen Sie Antiviren-Software und andere Schutzmaßnahmen gegen Malware wie Spyware, Keylogger, Ransomware, Skripte und andere Viren ein.
Entwicklung und Wartung sicherer Systeme und Software
Durch die Anwendung der neuesten Sicherheitspatches und die Einhaltung sicherer Verfahren bei der Entwicklung von Apps können Unternehmen dazu beitragen, das Risiko von Datenschutzverletzungen zu minimieren.
Beschränken Sie den Zugriff auf Systemkomponenten und Karteninhaberdaten auf die Personen, die diese Informationen aus geschäftlichen Gründen benötigen
Strenge Zugriffskontrollmaßnahmen sollten sicherstellen, dass autorisierte Benutzer nur die für ihre Arbeit erforderlichen Informationen über den Karteninhaber sehen.
Identifizieren Sie Benutzer und authentifizieren Sie den Zugriff auf Systemkomponenten
Jeder Person, die Zugriff auf sensible Systeme und Daten hat, sollte eine eindeutige ID mit nachverfolgbaren Authentifizierungsdaten zugewiesen werden.
Beschränken Sie den physischen Zugriff auf Karteninhaberdaten
Um zu verhindern, dass Unbefugte Hardware oder Ausdrucke mit Karteninhaberdaten entfernen, sollte der physische Zugang zu den Systemen eingeschränkt werden.
Protokollieren und überwachen Sie den gesamten Zugriff auf Systemkomponenten und Karteninhaberdaten
Die Möglichkeit, die Protokollierung und Überwachung sensibler Systeme und Daten zu automatisieren, kann dabei helfen, verdächtige Aktivitäten zu erkennen und die forensische Analyse nach einem Verstoß zu unterstützen.
Sicherheit von Systemen und Netzwerken regelmäßig testen
Da Cyberkriminelle in den sich verändernden IT-Umgebungen laufend nach neuen Schwachstellen suchen, sollten regelmäßig Penetrationsprüfung und Schwachstellen-Scans durchgeführt werden.
Unterstützung der Informationssicherheit durch organisatorische Richtlinien und Programme
Unternehmen sollten eine umfassende Informationssicherheitsrichtlinie erstellen, die Verfahren zur Identifizierung und Verwaltung von Risiken, zur fortlaufenden Schulung der Mitarbeiter in Sicherheitsfragen und zur Einhaltung des PCI DSS enthält.
Unternehmen, die dem PCI DSS unterliegen, müssen die Einhaltung der Richtlinien jährlich dokumentieren. Größere Unternehmen müssen einen detaillierten Report on Compliance (ROC) und eine Attestation of Compliance (AOC) einreichen. Sowohl das ROC- als auch das AOC-Dokument müssen von einem Qualified Security Assessor (QSA) ausgefüllt und unterzeichnet werden, der vom PCI Standard Security Council zertifiziert wurde. Kleine und mittelgroße Unternehmen können ein Self-Assessment Questionnaire (SAQ) ausfüllen, um die Compliance zu überprüfen.
Wenn ein Unternehmen die Übertragung von Kartendaten über das Internet durchführt, kann es auch erforderlich sein, ein Schwachstellenmanagement zu implementieren, um ein sicheres Netzwerk zu gewährleisten. Um die Compliance zu erreichen, muss ein vom PCI SSC zertifizierter Approved Scanning Vendor (ASV) vierteljährlich eine Schwachstellenanalyse durchführen, um die Netzwerksicherheit zu testen.
Die Anforderungen an die Berichterstattung für den PCI DSS unterscheiden sich je nach Anzahl der Transaktionen, die ein Unternehmen jährlich verarbeitet. Es gibt vier Compliance-Level.
Level 1
Mehr als 6 Millionen Zahlungskartentransaktionen pro Jahr. Muss einen von einem Qualified Security Assessor ausgefüllten Compliance-Bericht einreichen. Ein zugelassener Scan-Anbieter muss vierteljährlich eine Schwachstellenanalyse des Netzwerks durchführen.
Level 2
Jährlich eine bis sechs Millionen Zahlungskartentransaktionen. Muss ein Self-Assessment Questionnaire ausfüllen und möglicherweise vierteljährliche Netzwerk-Schwachstellenscans durchführen.
Level 3
20.000 bis 1 Million Zahlungskartentransaktionen pro Jahr. Muss ein Self-Assessment Questionnaire ausfüllen und möglicherweise vierteljährliche Netzwerk-Schwachstellenscans durchführen.
Level 4
Weniger als 20.000 jährliche Kartentransaktionen. Muss ein Self-Assessment Questionnaire ausfüllen und möglicherweise vierteljährliche Netzwerk-Schwachstellenscans durchführen.
Obwohl Händler und Zahlungsdienstleister verpflichtet sind, den PCI DSS einzuhalten, wird deren Compliance nicht durch Gesetze, Regierungen oder sogar den PCI Security Standards Council durchgesetzt. Stattdessen wird die Compliance von Kreditkartenunternehmen wie Visa oder MasterCard und Acquirern, d. h. Banken oder Finanzinstituten, die Kartenzahlungen verarbeiten, verwaltet.
Einmal im Jahr müssen Unternehmen, die Kartendaten verarbeiten oder speichern, ihre Compliance der PCI DSS-Richtlinien bestätigen. Wenn ein Unternehmen die Zahlungsabwicklung outsourct, muss es dennoch bestätigen, dass Kreditkartentransaktionen gemäß den Anforderungen des PCI DSS-Standards geschützt sind.
Die Höhe der Bußgelder für die Nichteinhaltung des PCI DSS wird von den Zahlungskartenanbietern festgelegt und zwischen den Anbietern, dem Händler oder Dienstleister und den betroffenen Banken oder anderen Finanzinstituten ausgehandelt. Die Zahlungskartenanbieter veröffentlichen keine Bußgeld- oder Gebührenordnungen und stellen der Öffentlichkeit in der Regel keine Informationen über Strafzahlungen zur Verfügung.
Als Faustregel gilt, dass die Geldbußen für die Nichteinhaltung der Vorschriften in den ersten drei Monaten der Nichteinhaltung zwischen 5.000 und 10.000 US-Dollar und nach sechs Monaten der Nichteinhaltung zwischen 50.000 und 100.000 US-Dollar pro Monat betragen können. Im Falle einer Datenschutzverletzung können nicht konforme Händler oder Dienstleister mit einer zusätzlichen Geldstrafe von 50 bis 90 USD pro Kunde belegt werden, bis zu einem Höchstbetrag von 500.000 USD.
Zahlungskartenanbieter können nach eigenem Ermessen wesentlich höhere Strafen verhängen, und die letztendlich ausgehandelte Strafe für die Nichteinhaltung des PCI DSS durch ein Unternehmen – insbesondere bei einer, die zu einer Datenschutzverletzung führt – kann sich auf Millionen oder sogar Hunderte Millionen Dollar belaufen, um die Kosten für Untersuchungen, Forderungen der Regierung, Sammelklagen und vieles mehr zu decken.
Neben Geldstrafen können nicht konforme Unternehmen auch von der Abwicklung von Zahlungskartentransaktionen ausgeschlossen werden.
Schutz sensibler Daten
Die Folgen einer Datenschutzverletzung, bei der Daten von Karteninhabern betroffen sind, sind schwerwiegend. Neben Geldstrafen, rechtlichen Sanktionen und Rufschädigung können Unternehmen auch den Verlust von aktuellen und potenziellen Kunden erleiden. Die Anforderungen des PCI DSS helfen beim Schutz vor dem Diebstahl vertraulicher Daten.
Steigerung des Kundenvertrauens
Da Betrug und Identitätsdiebstahl häufig in den Schlagzeilen stehen, sind Verbraucher möglicherweise zögerlich, Einzelhändlern sensible Kreditkarteninformationen zur Verfügung zu stellen. Die PCI DSS-Compliance gibt Kunden die Gewissheit, dass ihre Daten geschützt sind, und ermöglicht es ihnen, beim Einkauf mehr Vertrauen zu haben.
Unterstützung einer umfassenderen Einhaltung gesetzlicher Vorschriften
Obwohl PCI DSS rechtlich nicht bindend ist, können die darin festgelegten Sicherheitskontrollen Unternehmen dabei helfen, die Einhaltung gesetzlicher Vorschriften zu gewährleisten. Teile des PCI DSS ergänzen Datenschutzgesetze wie den Health Insurance Portability and Accountability Act (HIPAA) von 1996, den Sarbanes Oxley Act (SOX) und die Datenschutz-Grundverordnung (DSGVO).
Einheitliche Sicherheit, Compliance und Risikotransparenz in hybriden Multicloud-Umgebungen.
Entwickeln Sie eine skalierbare Infrastruktur zu geringeren Kosten. Stellen Sie neue Anwendungen sofort bereit und skalieren Sie geschäftskritische und sensible Workloads je nach Bedarf – alles auf einer Plattform mit hohem Sicherheitsstandard.
Ursachen für Datenschutzverletzungen zu kennen und über die Faktoren informiert zu sein, die Kosten erhöhen bzw. senken, hilft, besser vorbereitet zu sein. Lernen Sie aus den Erfahrungen von mehr als 550 Organisationen, die von einem Datenschutzverstoß betroffen waren.
Personenbezogene Daten sind alle Informationen, die dazu verwendet werden können, die Identität einer Person festzustellen, wie beispielsweise ihre Sozialversicherungsnummer, ihr vollständiger Name oder ihre E-Mail-Adresse.
Netzsicherheit ist der Bereich der Cybersicherheit, der sich auf den Schutz von Computernetzwerken vor Cyberbedrohungen konzentriert.