Cybersecurity

Was ist PCI DSS?

 

PCI DSS (Payment Card Industry Data Security Standard) ist ein Standard für die Sicherung der Daten von Kreditkarteninhabern und gilt für Organisationen, die Kreditkartendaten speichern, verarbeiten oder übermitteln. Er soll dort für stärkere Kontrollen sorgen, wo Daten von Karteninhabern gespeichert, verarbeitet oder übertragen werden, und so Sicherheitslücken bezüglich dieser Daten schließen und Kreditkartenbetrug verhindern. Erfasst werden solche Daten aus der Umgebung des Karteninhabers beispielsweise von Einzelhändlern und Filialen aller Branchen, Onlinezahlungsdiensten, Kreditkarten ausgebenden Banken und von Dienstleistern, die onlinebasierte Cloud-Dienste für die Zahlungsabwicklung anbieten.

Die Einhaltung des PCI DSS wird durch die Erfüllung einer Reihe von Mindestanforderungen erreicht. Der PCI DSS 3.0 enthält etwa 300 Anforderungen, die – wie in der folgenden Tabelle dargestellt – in 12 Kategorien unterteilt sind:

 

 

Die Einhaltung des PCI DSS ist für alle Organisationen verpflichtend, die an der Speicherung, Verarbeitung oder Übertragung von Karteninhaberdaten beteiligt sind. Um ihre Compliance zu belegen, müssen Unternehmen eine Prüfung bestehen, bei der alle Teile des Netzwerks, die mit der Umgebung des Karteninhabers interagieren, kontrolliert werden. In einigen Bereichen hält das PCI Security Standards Council (SSC) genaue Vorgaben bereit, was die Art der einzusetzenden Technologien und Produkte angeht und wie dieser Einsatz zu erfolgen hat. In anderen Bereichen wiederum werden keine Ansätze oder Strukturen vorgegeben, damit ein System als konform gelten kann.

 

Netzwerksegmentierung

Unter den verschiedenen Methoden zur Entwicklung und Implementierung PCI-konformer Datensicherheit hat sich die Netzwerksegmentierung als Best Practice herauskristallisiert, da sie die Kosten und die Komplexität der PCI-Compliance erheblich reduziert. Durch die Netzwerksegmentierung werden die Daten von Karteninhabern auf bestimmte Server oder Bereiche des Netzwerks beschränkt, sodass nur noch ein Teil des Netzwerks der PCI-DSS-Compliance unterliegt. Dadurch sind bei den folgenden Aspekten drastische Reduzierungen möglich:

  • Kosten für PCI-DSS-Prüfungen
  • Kosten für das Erreichen und Aufrechterhalten der Compliance
  • Aufwand für die Entwicklung und Anwendung von Sicherheitsrichtlinien
  • Risiko für das Unternehmen, da die Daten der Karteninhaber so wenig wie möglich exponiert werden und das Netzwerksegment leicht kontrolliert werden kann
  • Forensische Kosten im Falle eines Sicherheitsvorfalls, da der Datenverkehr einfach lokalisiert und untersucht werden kann

Da eine Netzwerksegmentierung mit geringeren Kosten und weniger Komplexität möglich ist, lässt sich zu einem Bruchteil der sonst üblichen Kosten ein hochsicheres Netzwerk gewährleisten. Ohne Netzwerksegmentierung unterliegt das gesamte Netzwerk dem PCI-Audit und höheren Risiken. Im folgenden Diagramm werden ein nicht segmentiertes und ein segmentiertes Netzwerk einander gegenübergestellt:

Auf der linken Seite ist ein flaches Netzwerk zu sehen, das komplett einem PCI-Audit unterliegt. Auf der rechten Seite sind die Daten der Karteninhaber in einer Sicherheitszone isoliert, in der nur autorisierte Benutzer auf die Daten zugreifen können. Mithilfe der Palo Alto Networks Enterprise Security Platform können Organisationen Sicherheitszonen erstellen, auf die sämtliche relevanten Daten und der entsprechende Datenverkehr beschränkt sind. Zudem können Administratoren damit die für Anwendungen, Benutzer und Inhalte geltenden Sicherheitsrichtlinien auf sehr detaillierter Ebene steuern. Nur autorisierter Verkehr darf die jeweilige Sicherheitszone durchlaufen.

 

 

 

Erhalten Sie die neuesten Nachrichten, Einladungen zu Veranstaltungen und Bedrohungswarnungen