PCI DSS Compliance: Anforderungen der Zahlungskarten-Industrie

Der Payment Card Industry Data Security Standard (PCI DSS) verpflichtet Unternehmen, die Kartenzahlungen von Anbietern wie Visa, MasterCard und American Express akzeptieren, zur Einhaltung bestimmter IT-Sicherheitsstandards. PCI DSS Compliance setzt sich aus 12 verschiedenen Teilbereichen zusammen, die die Abwehr digitaler Bedrohungen, den Schutz verarbeiteter Daten sowie den sicheren Zugang zu Informationen betreffen. Alles, was Unternehmen 2022 über PCI DSS Compliance wissen müssen.

Was ist PCI DSS?

PCI DSS ist der digitale Sicherheitsstandard der Zahlungskartenindustrie, welcher dem Schutz sensibler Daten wie Inhaber, Kartennummer, Verfallsdatum, Prüfnummer und PIN dient. PCI DSS wurde 2004 von JCB, Visa, Discover, MasterCard und American Express entwickelt um Kreditkartenbetrug zu unterbinden, insbesondere im damals stark wachsenden eCommerce-Segment. Seitdem entwickeln die Mitglieder des Security Standards Council (SSC) die Anforderungen laufend weiter.

Aus ursprünglich sechs haben sich so mittlerweile 12 Anforderungen für PCI DSS Compliance entwickelt:

  • Netzwerksicherheitskontrollen

  • Sichere Konfiguration von Komponenten

  • Schutz von gespeicherten Kontodaten

  • Schutz von Daten während der Übertragung

  • Schutz vor bösartiger Software

  • Entwicklung sicherer Systeme und Software

  • Beschränkung des Zugriffs auf Daten und Komponenten

  • Identifizierung und Authentisierung von Benutzern

  • Beschränkung des physischen Zugriffs

  • Protokollierung aller Zugriffe

  • Regelmäßige Prüfung der Sicherheit

  • Organisatorische Richtlinien für Informationssicherheit

Dabei handelt es sich natürlich nur um die übergeordneten Ziele, die Händler und Shops im Rahmen der PCI DSS Compliance erfüllen müssen. Der Sicherheitsstandard definiert für jede dieser Anforderungen konkrete Vorgaben an Prozesse und Systeme. Alles in allem besteht PCI DSS aus rund 250 Unterpunkten, welche jedoch nicht auf jede Organisation zutreffen.

Ist PCI DSS verpflichtend?

Unternehmen, die ihren Kunden Kartenzahlungen über Anbieter wie Visa und MasterCard ermöglichen möchten, müssen sich an die Regeln von PCI DSS halten. Auch wenn der Standard an sich nicht verpflichtend ist, gibt es für die meisten Händler, Dienstleister und Online-Shops keine Alternative zur PCI DSS Compliance, wenn sie die Erwartungen ihrer Kunden erfüllen möchten.

Welche Daten betrifft PCI DSS?

PCI DSS dient dem Schutz von Kartendaten wie Nummer, Inhaber und Prüfcode. Diese Informationen werden gesammelt als Kontodaten bezeichnet. Innerhalb dieser Kategorie unterscheidet PCI DSS darüber hinaus zwischen zwei Formen: Karteninhaberdaten (Card Holder Data bzw. CHD) und sensible Authentifizierungsdaten (SAD). Bestimmte Vorgaben des Sicherheitsstandards richten sich speziell an Karteninhaberdaten oder Authentifizierungsdaten. Zum Beispiel die Anforderung, dass SAD nicht gespeichert werden dürfen.

Karteninhaberdaten (CHD)

  • Primäre Kontonummer (PAN)

  • Name des Inhabers

  • Ablaufdatum

  • Service Code

Sensible Authentifzierungsdaten (SAD)

  • Magnetstreifendaten

  • Chipdaten

  • CVV-Code

  • PIN

Für wen gilt PCI DSS?

Grundsätzlich muss sich jedes Unternehmen an PCI DSS halten, das geschützte Kartendaten wie Nummer, Inhaber oder Sicherheitscode speichert bzw. verarbeitet. Firmen, die für Kartenzahlungen ausschließlich auf externe Dienste oder Geräte zurückgreifen, können Teilbereiche der PCI DSS Compliance jedoch auf diesem Weg auslagern.

Beispielsweise sind Online-Shops, die Zahlungen über einen externen Dienstleister abwickeln und selbst keine Kartendaten aufbewahren, nicht von Anforderung 3: Schutz gespeicherter Kontodaten betroffen. Sie sind jedoch für die Sicherheit ihres Webservers verantwortlich, da Angriffe auf die Website dazu führen könnten, dass Daten von Kunden in die falschen Hände geraten (etwa durch die Weiterleitung auf manipulierte Seiten). Ebenso muss der von ihnen gewählte Zahlungsdienstleister PCI DSS erfüllen.

Gefüllter Einkaufswagen vor Laptopbildschirm, Symbol für Webshop und eCommerce
Online-Shops, die externe Zahlungsdienste nutzen, können einige PCI DSS Anforderungen auslagern. Adobe Stock, (c) Mymemo

Der Security Council unterscheidet hier zwischen verschiedenen Abstufungen und technischen Varianten, etwa Zahlungsterminals mit und ohne Internetverbindung, Kartenzahlungen über Web-Applikationen, etc. Zur Orientierung und Selbsteinstufung stellt die PCI-Website eine Reihe an Fragebögen zur Verfügung, in denen die spezifischen Anforderungen für jeden Anwendungsfall definiert sind.

PCI DSS Levels: 4 Stufen für Händler

Neben der Art der Zahlungsabwicklung macht auch die Anzahl an verarbeiteten Tranksaktionen pro Jahr einen Unterschied. PCI DSS unterscheidet zwischen 4 verschiedenen Stufen. Diese wirken sich nicht auf die Sicherheitsanforderungen, sondern auf den Zertifzierungsprozess aus: Während kleine Organisationen nur einen Fragebogen zur Selbstbewertung (Self-Assessment Questionnaire bzw. SAQ) ausfüllen müssen, erfolgt die Kontrolle der PCI DSS Compliance in großen Unternehmen durch einen externen Gutachter (Qualified Security Assessor bzw. QSA).

PCI DSS Level Überblick

PCI DSS StufeAnzahl TransaktionenCompliance Nachweis
Level 1Mehr als 6 Millionen Transaktionen pro JahrSchriftliche Erklärung und externes Vor-Ort-Gutachten
Level 2Zwischen 1 Million und 6 Millionen Transaktionen pro JahrFragebogen, schriftliche Erklärung und zusätzliches Gutachten bei SAQ A, A-EP oder D
Level 3Zwischen 20.000 und 1 Million Transaktionen pro JahrFragebogen zur Selbstbewertung, schriftliche Compliance Erklärung (AOC)
Level 4Weniger als 20.000 Transaktionen pro JahrFragebogen zur Selbstbewertung

Achtung: Obwohl PCI einheitliche Sicherheitsanforderungen definiert, stellen Anbieter zum Teil unterschiedliche Ansprüche an den Compliance-Nachweis. Informieren Sie sich am besten direkt über die Website des jeweiligen Anbieters wie Visa und MasterCard.

PCI DSS 4.0: Was ändert sich?

PCI DSS 4.0, die im März 2022 aktualisierte Version des Standards, bringt zahlreiche Änderungen mit sich. Neben der Verschlüsselung von Daten und dem Festlegen von Rollen und Verantwortlichkeiten innerhalb der Organisation liegt der Fokus dabei primär auf der sicheren Verwaltung von Konten.

Zum Beispiel ist Multi-Faktor-Authentifizierung (MFA) künftig für alle Benutzerkonten vorgeschrieben, die Zugang zur Karteninhaber-Datenumgebung (CDE) haben. Ebenso müssen Zugriffsrechte nun zweimal jährlich im Rahmen von Access Reviews überprüft werden. Weitere Details zur Umstellung können der Änderungsübersicht auf der PCI Website entnommen werden.

PCI DSS 4.0: Timeline der Umstellung

Mit der Veröffentlichung von PCI DSS 4.0 im März 2022 beginnt eine zweijährige Übergangsphase, bis die vorherige Version PCI DSS 3.2.1 mit dem 31. März 2024 ihre Gültigkeit verliert. Für Zertifizierungen, die während dieser Übergangsphase stattfinden, können Organisationen entweder PCI DSS 4.0 oder 3.2.1 verwenden. Mehr zur PCI DSS 4.0 Timeline.

Wichtig: Einige der neuen Anforderungen von PCI DSS 4.0 sind vorläufiger Natur und werden erst ab März 2025 für Compliance-Bewertungen herangezogen. Bis zu diesem Zeitpunkt zählen die entsprechenden Punkte als Empfehlung bzw. freiwillige Best Practice.

Whitepaper

Best Practices im Access Management in Microsoft Umgebungen

Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.

PCI DSS Compliance: Anforderungen im Überblick

Die aktuell gültige Version des PCI DSS Sicherheitsstandards kann in vollem Umfang über die Website der Organisation abgerufen werden. Der Standard selbst, ebenso wie Leitfäden, Fragebögen, Vorlagen für Erklärungen und weitere relevante Dokumente sind dort öffentlich zugänglich. Da PCI DSS mit rund 400 Seiten auf den ersten Blick recht komplex wirken kann, finden Sie in unserer Übersicht eine Zusammenfassung der zentralen Forderungen.

1

Installation und Wartung von Netzwerksicherheitskontrollen

Dieser Abschnitt befasst sich mit der Konfiguration und Implementierung von Netzwerksicherheitskontrollen (NSCs), also Firewalls und ähnliche Schutzmaßnahmen. Das übergeordnete Ziel dieser Anforderung ist die Beschränkung des Netzwerkverkehrs, eingehend wie ausgehend, auf notwendige, sichere und authorisierte Zugriffe.

Zur Erfüllung dieses Ziel müssen Organisationen NSCs gemäß gängiger Standards konfigurieren, die Konfiguration alle sechs Monate überprüfen und durch ein Netzwerkdiagramm Klarheit bezüglich des PCI DSS Geltungsbereichs (Scope) und dem Datenfluss von Kontodaten schaffen. Auch die Überwachung von Änderungen der Netzwerkseinstellungen und Anti-Spoofing-Maßnahmen sind vorgesehen.

2

Anwendung sicherer Konfigurationen auf alle Systemkomponenten

Um die Kompromittierung über Standardpasswörter und gängige Schwachstellen zu verhindern, zielt diese Anforderung auf die sichere Konfiguration von Komponenten ab (auch als Härtung bekannt). Dazu zählt das Entfernen nicht verwendeter Standardkonten, das Ändern des Standardpassworts auf allen Geräten und Konten, die Deaktivierung nicht genutzter Funktionen sowie die Aufteilung wesentlicher Funktionen auf unterschiedliche Komponenten (z.B. Trennung von Webserver und interner Datenbank).

3

Schutz von gespeicherten Kontodaten

Zum Schutz sensibler Informationen sieht PCI DSS generell vor, die Speicherung und den Aufbewahrungszeitraum von Kontodaten auf ein Minimum zu beschränken, das für geschäftliche und gesetzliche Zwecke zwingend notwendig ist. Authentifizierungsdaten dürfen etwa nach Abschluss der Zahlungsautorisierung nicht aufbewahrt werden. Zudem müssen gespeicherte Daten durch Verschlüsselung abgesichert und der Zugriff darauf beschränkt werden. Rufen Mitarbeiter etwa die primäre Kontonummer (PAN) auf, dürfen nur die letzten vier Ziffern und der Bankcode angezeigt werden.

Server mit eingehenden und ausgehenden Netzwerk-Verbindungen, die mittels Schluss gesichert sind.
Konto- und Autorisierungsdaten müssen bei Speicherung und Übertragung geschützt werden. Adobe Stock, (c) xiaoliangge
4

Schutz von Karteninhaberdaten mit starker Kryptographie während der Übertragung

Der Einsatz von Kryptographie ist nicht nur bei der Speicherung, sondern auch der Übertragung von Daten über öffentliche Netzwerke vorgeschrieben. Die genauen Anforderungen dieses Abschnitts betreffen den Umgang mit Zertifikaten und kryptografischen Schlüsseln sowie die Verwendung sicherer Protokolle. Hinsichtlich kryptografischer Standards verweist das Dokument auf Publikationen wie NIST 800-57 und ISO/IEC 18033.

5

Schutz aller Systeme und Netzwerke vor bösartiger Software

Zur Bekämpfung von Schadsoftware sieht PCI DSS den Einsatz geeigneter Anti-Malware-Lösungen auf allen potenziell gefährdeten Geräten vor. Anti-Malware-Systeme müssen durch automatische Updates auf dem neuesten Stand gehalten werden und regelmäßige Scans durchführen. Die Frequenz ist dabei an die gezielte Risikoanalyse im Rahmen von Punkt 12 geknüpft. Auch entfernbare Speichermedien müssen auf Schadsoftware geprüft werden.

Die Ergebnisse der Anti-Malware-Scans müssen für Audit-Protokolle mindestens 12 Monate lang aufbewahrt werden. Um User vor Betrugsversuchen zu schützen ist zudem eine automatische Phishing-Erkennung vorgesehen.

6

Entwicklung und Wartung sicherer Systeme und Software

Die Vorgaben an sichere Entwicklungsprozesse, die dieser Abschnitt festlegt, beziehen sich ausschließlich auf eigens entwickelte Softwarelösungen. Darüber hinaus definiert PCI DSS in diesem Kapitel jedoch auch Anforderungen an das Schwachstellenmanagement von Organisationen, darunter etwa ein Inventar aller verwendeten Software-Produkte, das zeitnahe Einspielen von Sicherheitsupdates sowie die laufende Information über neue Schwachstellen und Bedrohungen.

7

Beschränkung des Zugriffs auf Systemkomponenten und Karteninhaberdaten

Um dem Missbrauch von Kontodaten vorzubeugen, muss der Zugang zu geschützten Informationen und kritischen Systemen (welche sich auf die Sicherheit sensibler Daten auswirken können) auf ein Minimum beschränkt werden. Dazu müssen Organisationen ein Zugriffskontrollmodell auf Basis des Prinzips der geringsten Privilegien bzw. Least Privilege umsetzen: Jeder Mitarbeiter erhält nur Zugriff auf Daten und Systeme, die für seine Arbeit zwingend notwendig sind. Das gilt neben Benutzerkonten ebenso für System- und Dienstkonten.

Die Zuweisung von Rechten an Mitarbeiter erfolgt anhand der Funktion im Unternehmen, also über rollenbasierte Zugriffskontrolle. Da sich die Aufgaben von Mitarbeitern laufend ändern, kann die langfristige Gewährleistung des minimalen Zugriffs nur durch regelmäßige Kontrollen, sogenannte Access Reviews, gewährleistet werden. PCI DSS sieht zu diesem Zweck die Überprüfung aller Rechte im Abstand von sechs Monaten vor. Nicht mehr benötigte Zugänge werden dabei geschlossen, um die schleichende Ausweitung von Privilegien bzw. Privilege Creep zu verhindern.

8

Identifizierung von Benutzern und Authentisierung von Zugriff auf Systemkomponenten

Der Zugriff auf geschützte Daten und Systeme darf nur durch autorisierte Benutzer erfolgen. Um Aktivitäten zuordnen zu können, muss jedem User eine eindeutige ID zugewiesen werden. Die Nutzung gemeinsamer Konten ist nur in Ausnahmefällen zulässig. Zugriffe auf die Karteninhaberdatenumgebung müssen mittels Multi-Faktor-Authentifizierung (MFA) abgesichert werden. Zum Schutz vor betrügerischen Anmeldungen ist eine Sperre des Kontos nach höchstens 10 fehlgeschlagenen Anmeldungen vorgesehen, ebenso wie ein Session Timeout nach 15 Minuten Inaktivität.

Um den Missbrauch von Konten zu verhindern, müssen diese über den gesamten User Lifecycle hinweg angemessen verwaltet werden. Dazu zählt, dass Änderungen und Neuanlagen nur mit entsprechender Autorisierung möglich sind und für die Kontrolle durch Admins dokumentiert werden. Konten von Benutzern, die die Organisation verlassen, sind umgehend zu entfernen. Für inaktive Konten ist eine Löschung innerhalb von 90 Tagen vorgesehen.

Webinar

Die TOP 5 Gründe für Identity & Access Management

9

Beschränkung des physischen Zugriffs auf Karteninhaberdaten

Neben dem logischen Zugriff auf Systeme sind Unternehmen im Rahmen der PCI DSS Compliance auch verplichtet, den physischen Zugang abzusichern. Dabei unterscheidet der Standard zwischen sensiblen Bereichen wie Serverräumen und der Karteninhaberdatenumgebung im Allgemeinen. Zu den Anforderungen dieses Abschnitts zählen Schutzmechanismen wie Videoüberwachung und Absperrungen, die sichere Verwahrung und Vernichtung von elektronischen und gedruckten Aufzeichnungen, die Absicherung physischer Netzwerkzugänge sowie die Kontrolle von Zahlungsgeräten, um Manipulationsversuche wie Karten-Skimmer auszuschließen.

10

Protokollierung und Überwachung aller Zugriffe auf Systemkomponenten und Karteninhaberdaten

Für die Erkennung von Sicherheitsvorfällen sowie forensische Analysen sind für alle relevanten Systembereiche Audit-Protokolle einzurichten. Die vorgesehene Aufzeichnung umfasst Anmeldungen (inklusive ungültiger Anmeldeversuche), alle Zugriffe auf Kartendaten, die Anlage neuer Objekte, Änderungen an Benutzerkonten sowie den Zugriff auf die Audit-Protokolle selbst. Um eine Manipulation der Protokolle zu verhindern, werden diese geschützt gespeichert und der Zugriff streng begrenzt.

Zur schnellen Identifizierung sicherheitsrelevanter Vorfälle empfiehlt der Standard die automatisierte Auswertung der Audits über Lösungen für das Security Information & Event Management (SIEM). Jedenfalls ist eine tägliche Auswertung aller Sicherheitsereignisse vorgesehen, ebenso wie der Auditprotokolle von Komponenten die 1) Kontodaten speichern, verarbeiten oder übertragen, 2) kritische Funktionen erfüllen oder 3) Sicherheitsfunktionen erfüllen.

11

Regelmäßige Prüfung der Sicherheit von Systemen und Netzen

Da von Forschern und Angreifern laufend neue Sicherheitslücken identifziert werden, schreibt PCI DSS Organisationen regelmäßige Kontrollen in Form von Schwachstellenscans und Penetrationstests vor. Externe wie interne Schwachstellenscans sind alle drei Monate sowie nach signifikanten Anpassungen der IT-Systeme durchzuführen und so lange zu wiederholen, bis alle Schwachstellen mit einem CVSS-Wert von 4.0 oder höher nachweislich behoben wurden. Der Zeitrahmen für die Behebung von Schwachstellen unterhalb dieses Grenzwerts ergibt sich aus der gezielten Risikoanalyse (Anforderung 12).

Interne Schwachstellenscans können von eigenen, qualifizierten Mitarbeitern durchgeführt werden, solange auf die Vermeidung von Interessenskonflikten geachtet wird. Die Überprüfung sollte also nicht durch dieselbe Person erfolgen, die ein System im täglichen Betrieb verwaltet. Für externe Scans ist die Nutzung eines vom PCI zugelassenen Scanning-Anbieters (ASV) vorgeschrieben. Interne und externe Penetrationstests sind nach den gleichen Kriterien mindestens alle 12 Monate durchzuführen.

Im laufenden Betrieb schreibt PCI DSS darüber hinaus den Einsatz von Systemen zur Eindringungserkennung sowie der Manipulationserkennung auf Zahlungsseiten vor.

12

Unterstützung der Informationssicherheit durch organisatorische Richtlinien

Die Ziele, Pflichten und Verantwortungen von PCI DSS erfordern die Zusammenarbeit aller Personen innerhalb einer Organisation. Firmen sind daher verpflichtet, eine Informationssicherheitsrichtlinie zu veröffentlichen und an alle Mitarbeiter zu kommunizieren. Zum Schutz vor Insider Threats müssen Mitarbeiter außerdem vor der Aufnahme ins Unternehmen im Rahmen der gesetzlichen Möglichkeiten überprüft werden.

Die Sicherheitsrichtlinie muss alle 12 Monate überprüft und bei Bedarf aktualisiert werden, etwa was den Geltungsbereich, das Inventar verwendeter Hardware und Software, sowie Vereinbarungen mit Drittanbietern angeht. Auch der PCI DSS Status verwendeter Geräte und Dienstleister muss dabei kontrolliert werden. Darüber hinaus sind Pläne und Notfallprozeduren für die angemessene Reaktion auf Sicherheitsvorfälle zu etablieren.

Die organisatorischen Anforderungen von PCI DSS decken sich zu weiten Teilen mit den Vorgaben von Sicherheitsstandards wie ISO 27001 oder dem BSI IT-Grundschutz. Betriebe, die bereits eine entsprechende Zertifizierung abgeschlossen haben, müssen also nur PCI-spezifische Abschnitte wie die Kontrolle der Compliance von Drittdienstleistern neu integrieren.

Schloss auf Laptop-Tastatur, Symbol für Cybersicherheit
PCI-konformes Benutzermanagement? Mit tenfold kein Problem! Adobe Stock, (c) thodonal

PCI DSS: Sichere Verwaltung dank Access Management

Die Pflichten, die Unternehmen im Rahmen der PCI DSS Compliance erfüllen müssen, hängen stark von dem jeweiligen technischen Setup sowie der Rolle von Zahlungsdaten im laufenden Betrieb ab. Für Organisationen, die Kontodaten in der eigenen IT-Infrastruktur speichern, gestaltet sich die Zertifizierung wesentlich komplexer als für jene, die Zahlungsprozesse vollständig über zugelassene Geräte und Zahlungsdienste outsourcen.

Trotzdem lässt sich PCI DSS Compliance niemals völlig auslagern. Da sich Angriffe auf die Unternehmens-IT indirekt auch auf die Sicherheit von Kontodaten auswirken können – etwa durch den Zugriff auf Sicherheitsaudits oder den Diebstahl von Passwörtern – betrifft PCI DSS oft auch Systeme, die selbst keine Card Holder Data (CHD) speichern bzw. verarbeiten. Auch in diesen Bereichen müssen Firmen den Sicherheitsanforderungen des Standards entsprechen: Der sicheren Konfiguration von Komponenten, dem Schutz vor Malware sowie der Verwaltung von Konten und Berechtigungen.

Wie trägt tenfold zur PCI DSS Compliance bei?

Ziel von PCI DSS ist es sicherzustellen, dass sensible Kreditkartendaten trotz ihrer weit verbreiteten Nutzung nicht in falsche Hände geraten. Die Frage, wer Zugang zu sensiblen Informationen haben sollte, wird auf IT-Ebene über Zugriffsrechte gesteuert, die festlegen, welche User auf welche Systeme zugreifen können. Wenn es darum geht, missbräuchliche Zugriffe intern wie extern zu verhindern, spielen IT-Berechtigungen dementsprechend eine fundamentale Rolle.

Nicht umsonst stellt die Implementierung starker Zugriffskontrollmaßnahmen einen wesentlichen Teilbereich der PCI DSS Compliance dar. Die sichere Vergabe und Löschung von Rechten erfordert geregelte Prozesse, laufende Kontrollen und Anpassungen, sowie ein hohes Maß an Genauigkeit. Immerhin müssen die Berechtigungen jedes Benutzers genau an dessen Aufgaben angeglichen werden. Als automatisierte Plattform für User Management, Berechtigungsreporting und Access Reviews sorgt tenfold für perfekt zugeschnittene Rechte in allen Systemen und garantiert somit optimale Sicherheit bei minimalem Aufwand.

PCI DSS Anforderungen, die tenfold abdeckt:

7 – Zugriffsverwaltung

Beschränkung des Zugriffs nach geschäftlichem Bedarf

Durch tenfold ist die Einhaltung von Least-Privilege-Zugriff jederzeit gewährleistet: Anhand zuvor definierter Berechtigungsprofile weist die Software-Lösung jedem Benutzer die für seine Rolle vorgesehenen Rechte zu. Ändert sich z.B. die Abteilung eines Benutzers, sorgt das User Lifecycle Management von tenfold für die Vergabe neuer Rechte und die Löschung nicht mehr benötigter Zugänge.

Ebenso lässt sich über tenfold die regelmäßige Kontrolle von Rechten automatisieren. Dabei folgt die Plattform der von PCI empfohlenen Praxis, Dateneigentümer zuzuweisen, die nicht nur Self-Service-Anfragen von Usern bearbeiten, sondern auch für die Überprüfung von Rechten in ihrem Verantwortungsbereich zuständig sind. Da tenfold Dateneigentümer automatisch benachrichtigt und alle ausstehenden Kontrollen in eine übersichtliche Liste zusammenfasst, lässt sich die Überprüfung dabei schnell und einfach abschließen.

8 – Benutzeridentifizierung

Identifizierung von Benutzern und Authentisierung von Zugriff

Die zentrale Benutzerverwaltung mit tenfold stellt sicher, dass der gesamte Lebenszyklus von Konten sicher und ordnungsgemäßg gesteuert wird. Zugänge von Benutzern, die die Organisation verlassen, schließt tenfold automatisch. Auch die zeitnahe Löschung inaktiver Konten lässt sich problemlos implementieren. Darüber hinaus dokumentiert das tenfold Reporting sämtliche Änderungen an Benutzerkonten, was den Nachweis erleichtert, dass diese durch autorisierte Benutzer vorgenommen wurden.

Die Einbindung von Multi-Faktor-Authentifizierung (MFA) muss je nach System über die bereitgestellten Einstellungen konfiguriert werden. Der Zugang zu tenfold selbst kann ebenso mittels MFA abgesichert werden.

9 – Physischer Zugriff

Beschränkung des physischen Zugriffs

Die physische Absicherung von IT-Systemen, Netzwerkzugängen und Zahlungsterminals setzt in erster Linie bauliche und personelle Maßnahmen voraus. Organisationen, die den Zugang zu sensiblen Bereichen über Systeme wie Schlüsselkarten oder Zugangstoken regeln, können deren Verwaltung jedoch in vielen Fällen in die zentrale Zugriffssteuerung von tenfold einbinden. So lässt sich problemlos nachvollziehen, welche Personen aktuell Zugang zu welchen Arealen haben.

Beispiel für physische Zugangskontrolle: tenfold‘s PKE Plugin

Beschränkung des Zugriffs nach geschäftlichem Bedarf

Durch tenfold ist die Einhaltung von Least-Privilege-Zugriff jederzeit gewährleistet: Anhand zuvor definierter Berechtigungsprofile weist die Software-Lösung jedem Benutzer die für seine Rolle vorgesehenen Rechte zu. Ändert sich z.B. die Abteilung eines Benutzers, sorgt das User Lifecycle Management von tenfold für die Vergabe neuer Rechte und die Löschung nicht mehr benötigter Zugänge.

Ebenso lässt sich über tenfold die regelmäßige Kontrolle von Rechten automatisieren. Dabei folgt die Plattform der von PCI empfohlenen Praxis, Dateneigentümer zuzuweisen, die nicht nur Self-Service-Anfragen von Usern bearbeiten, sondern auch für die Überprüfung von Rechten in ihrem Verantwortungsbereich zuständig sind. Da tenfold Dateneigentümer automatisch benachrichtigt und alle ausstehenden Kontrollen in eine übersichtliche Liste zusammenfasst, lässt sich die Überprüfung dabei schnell und einfach abschließen.

tenfold: Effizienz, Sicherheit & Compliance

Als zentrale Lösung für Identity und Access Management erlaubt tenfold es Organisationen, Benutzerkonten automatisch zu verwalten, IT-Berechtigungen zentral zu steuern und nachzuvollziehen und Admins durch benutzerfreundliche Self-Service-Funktionen zu entlasten. Indem tenfold die Vergabe und Löschung von Rechten automatisiert, stellt es nicht nur sicher, dass sensible Daten vor unberechtigten Zugriffen geschützt sind, sondern spart auch wertvolle Zeit in der IT-Verwaltung.

Zusammen mit den umfangreichen Reporting-Tools von tenfold lässt sich die PCI-konforme Zugriffsverwaltung nicht nur komfortabel umsetzen, sondern auch schnell und einfach nachweisen. Noch nicht überzeugt? In unserem Demo-Video erleben Sie tenfold im Einsatz und können sich ein Bild der wichtigsten Features machen. Oder vereinbaren Sie jetzt einen kostenlosen Test, um sich erster Hand mit den Vorteilen unserer IAM-Lösung vertraut zu machen.

Unverbindlich testen

Jetzt gratis testen: Lernen Sie den vollen Funktionsumfang von tenfold kennen!

Verfasst von: Joe Köller

Joe Köller ist Content Manager bei tenfold und beschäftigt sich auf diesem Blog mit Themen wie Compliance, IT-Sicherheit und Access Management. Außerdem zählen digitale Medien, amerikanische Literatur und das Gärtnern zu seinen Leidenschaften.