Die neueste Version des PCI DSS (v4.0) wurde im März 2022 veröffentlicht. Es werden die folgenden 12 Anforderungen zum Schutz von Karteninhaberdaten aufgeführt. Unternehmen müssen diese 12 Anforderungen bis zum 31. März 2025 umsetzen, um die Compliance zu erreichen.

Installieren und warten Sie Netzwerksicherheitskontrollen

Zu den Netzwerksicherheitskontrollen (NSCs) können Firewalls, virtuelle Geräte, Containersysteme, Cloud-Sicherheitssysteme und andere Technologien gehören, die den Zugriff auf Systeme und Daten kontrollieren.

Wenden Sie sichere Konfigurationen auf alle Systemkomponenten an

Standardkennwörter und andere Standardeinstellungen, die von Anbietern bereitgestellt werden, sollten nicht verwendet werden, da sie anfällig für Cyberangriffe sind.

Schützen Sie gespeicherte Karteninhaberdaten

Sofern dies nicht aus geschäftlichen Gründen erforderlich ist, sollten Unternehmen keine Daten von Karteninhabern speichern. Wenn sie gespeichert werden, müssen sie durch Verschlüsselung, Maskierung oder auf andere Weise unlesbar gemacht werden.

Schützen Sie die Karteninhaberdaten mit starker Kryptografie während der Übertragung über offene, öffentliche Netzwerke

Um zu verhindern, dass Hacker auf sensible Informationen wie Kartennummern und personenbezogene Daten (PII) zugreifen, sollten Daten vor und/oder während der Übertragung über öffentliche Netzwerke verschlüsselt werden.

Schützen Sie alle Systeme und Netzwerke vor bösartiger Software

Setzen Sie Antiviren-Software und andere Schutzmaßnahmen gegen Malware wie Spyware, Keylogger, Ransomware, Skripte und andere Viren ein.

Entwicklung und Wartung sicherer Systeme und Software

Durch die Anwendung der neuesten Sicherheitspatches und die Einhaltung sicherer Verfahren bei der Entwicklung von Apps können Unternehmen dazu beitragen, das Risiko von Datenschutzverletzungen zu minimieren.

Beschränken Sie den Zugriff auf Systemkomponenten und Karteninhaberdaten auf die Personen, die diese Informationen aus geschäftlichen Gründen benötigen

Strenge Zugriffskontrollmaßnahmen sollten sicherstellen, dass autorisierte Benutzer nur die für ihre Arbeit erforderlichen Informationen über den Karteninhaber sehen.

Identifizieren Sie Benutzer und authentifizieren Sie den Zugriff auf Systemkomponenten

Jeder Person, die Zugriff auf sensible Systeme und Daten hat, sollte eine eindeutige ID mit nachverfolgbaren Authentifizierungsdaten zugewiesen werden.

Beschränken Sie den physischen Zugriff auf Karteninhaberdaten

Um zu verhindern, dass Unbefugte Hardware oder Ausdrucke mit Karteninhaberdaten entfernen, sollte der physische Zugang zu den Systemen eingeschränkt werden.

Protokollieren und überwachen Sie den gesamten Zugriff auf Systemkomponenten und Karteninhaberdaten

Die Möglichkeit, die Protokollierung und Überwachung sensibler Systeme und Daten zu automatisieren, kann dabei helfen, verdächtige Aktivitäten zu erkennen und die forensische Analyse nach einem Verstoß zu unterstützen.

Sicherheit von Systemen und Netzwerken regelmäßig testen

Da Cyberkriminelle in den sich verändernden IT-Umgebungen laufend nach neuen Schwachstellen suchen, sollten regelmäßig Penetrationsprüfung und Schwachstellen-Scans durchgeführt werden.

Unterstützung der Informationssicherheit durch organisatorische Richtlinien und Programme

Unternehmen sollten eine umfassende Informationssicherheitsrichtlinie erstellen, die Verfahren zur Identifizierung und Verwaltung von Risiken, zur fortlaufenden Schulung der Mitarbeiter in Sicherheitsfragen und zur Einhaltung des PCI DSS enthält.