Ziele des PCI-DSS

Der Payment Card Industry Data Security Standard (PCI bzw. PCI-DSS) ist ein Regelwerk im Zahlungsverkehr, das sich auf die Abwicklung von Kreditkartentransaktionen bezieht und für Banken (Issuer und Acquirer), Service Provider, Händler und andere externe Dienstleister gleichermaßen gilt. Im PCI-DSS werden Sicherheitsanforderungen für die Verarbeitung, Speicherung und Übertragung von Karteninformationen definiert, die maßgeblich zur Missbrauchsbekämpfung und Betrugsvorbeugung beitragen.

Diese Sicherheitsvorgaben des PCI-DSS, die aus 12 zwölf Anforderungen an die Rechnernetze der jeweiligen Unternehmen bestehen, sind nachweislich einzuhalten:

• Installation und Pflege einer Firewall zum Schutz der Daten
• Schutz der gespeicherten Daten von Kreditkarteninhabern
• Einsatz und regelmäßige Updates von Virenschutzprogrammen
• Einschränkung von Datenzugriffen auf das Notwendige
• Regelmäßige Prüfungen aller Sicherheitssysteme und -prozesse
• Beschränkung des physischen Zugriffs auf Daten von Kreditkarteninhabern
• Ändern von Kennwörtern und anderen Sicherheitseinstellungen nach der Werkauslieferung
• Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern
• Entwicklung und Pflege sicherer Systeme und Anwendungen
• Zuteilen einer eindeutigen Benutzerkennung für jede Person mit Rechnerzugang
• Einführen und Einhalten von Richtlinien in Bezug auf Informationssicherheit
• Protokollieren und Prüfung aller Zugriffe auf Daten von Kreditkarteninhabern

Enstehung und Entwicklung des PCI-DSS

PCI-DSS wurde 2006 von den führenden internationalen Kartenorganisationen MasterCard, VISA, JCB, American Express und Discover Financial Services gemeinsam aufgestellt, um die Integrität der Zahlungssysteme dauerhaft zu schützen.
Zuvor hatten alle fünf großen Kreditkartenunternehmen ihre eigenen Sicherheitsregularien wie z. B. VISA (CISP - Cardholder Information Security Program), VISA (AIS - Account Information Security) oder MasterCard (SDP - Site Data Protection). Da deren Anforderungen und Ziele an den sicheren Umgang mit sensiblen Karten- und Transaktionsdaten jedoch weitestgehend übereinstimmten, entschlossen sie sich, eine einzige, globale und vor allem herstellerübergreifende Standardrichtlinie zu schaffen.

Links

• www.pcisecuritystandards.org/pci_security/
• de.pcisecuritystandards.org/minisite/env2/
• www.security-insider.de/was-unternehmen-hinsichtlich-pci-dss-wissen-sollten-und-beachten-muessen-a-99910/

Maßnahmen zur Erfüllung der Anforderungen

• Alle Anwendungen, die dem PCI-DSS unterliegen, werden strikt getrennt in eigenen „Zonen“ betrieben. Eine Validierung der PCI-Konformität findet in der Regel einmal im Jahr z. B. durch Pen-Tests (Penetrationstest, Schwachstellen-Scan) und Audits (Sicherheitsprüfung, Begehung vor Ort) statt.
• Einsatz von Netzwerksicherheits-Appliances, Information-Logging definierter Ereignisse (Events) von relevanten Systemen, um die Nachvollziehbarkeit von Aktivitäten in den jeweiligen Zonen zu gewährleisten.
• Einsatz eines Security Information and Event Management Tools (SIEM) für die Echtzeitanalyse von Sicherheitsalarmen aus den Anwendungen und Netzwerkkomponenten.

Weiterführende Informationen:

Der Bank-Verlag stellt seinen Kunden Informationen zu folgenden Berichten und Dokumenten zur Verfügung:

• Zertifizierung nach PCI-DSS
• ISO 27001 Zertifizierung für den IT-Betrieb/inkl. 27002 ff.
• Zertifizierung durch den TÜV „Trusted Site Infrastructure“ Level 3 zur Bestätigung einer zuverlässigen IT-Infrastruktur