PCI DSS Compliance: Anforderungen der Zahlungskarten-Industrie

PCI DSS ist der digitale Sicherheitsstandard der Zahlungskartenindustrie, welcher dem Schutz sensibler Daten wie Inhaber, Kartennummer, Verfallsdatum, Prüfnummer und PIN dient. PCI DSS wurde 2004 von JCB, Visa, Discover, MasterCard und American Express entwickelt um Kreditkartenbetrug zu unterbinden, insbesondere im damals stark wachsenden eCommerce-Segment. Seitdem entwickeln die Mitglieder des Security Standards Council (SSC) die Anforderungen laufend weiter.

Aus ursprünglich sechs haben sich so mittlerweile 12 Anforderungen für PCI DSS Compliance entwickelt:

Dabei handelt es sich natürlich nur um die übergeordneten Ziele, die Händler und Shops im Rahmen der PCI DSS Compliance erfüllen müssen. Der Sicherheitsstandard definiert für jede dieser Anforderungen konkrete Vorgaben an Prozesse und Systeme. Alles in allem besteht PCI DSS aus rund 250 Unterpunkten, welche jedoch nicht auf jede Organisation zutreffen.

Unternehmen, die ihren Kunden Kartenzahlungen über Anbieter wie Visa und MasterCard ermöglichen möchten, müssen sich an die Regeln von PCI DSS halten. Auch wenn der Standard an sich nicht verpflichtend ist, gibt es für die meisten Händler, Dienstleister und Online-Shops keine Alternative zur PCI DSS Compliance, wenn sie die Erwartungen ihrer Kunden erfüllen möchten.

PCI DSS dient dem Schutz von Kartendaten wie Nummer, Inhaber und Prüfcode. Diese Informationen werden gesammelt als Kontodaten bezeichnet. Innerhalb dieser Kategorie unterscheidet PCI DSS darüber hinaus zwischen zwei Formen: Karteninhaberdaten (Card Holder Data bzw. CHD) und sensible Authentifizierungsdaten (SAD). Bestimmte Vorgaben des Sicherheitsstandards richten sich speziell an Karteninhaberdaten oder Authentifizierungsdaten. Zum Beispiel die Anforderung, dass SAD nicht gespeichert werden dürfen.

Grundsätzlich muss sich jedes Unternehmen an PCI DSS halten, das geschützte Kartendaten wie Nummer, Inhaber oder Sicherheitscode speichert bzw. verarbeitet. Firmen, die für Kartenzahlungen ausschließlich auf externe Dienste oder Geräte zurückgreifen, können Teilbereiche der PCI DSS Compliance jedoch auf diesem Weg auslagern.

Beispielsweise sind Online-Shops, die Zahlungen über einen externen Dienstleister abwickeln und selbst keine Kartendaten aufbewahren, nicht von Anforderung 3: Schutz gespeicherter Kontodaten betroffen. Sie sind jedoch für die Sicherheit ihres Webservers verantwortlich, da Angriffe auf die Website dazu führen könnten, dass Daten von Kunden in die falschen Hände geraten (etwa durch die Weiterleitung auf manipulierte Seiten). Ebenso muss der von ihnen gewählte Zahlungsdienstleister PCI DSS erfüllen.

Online-Shops, die externe Zahlungsdienste nutzen, können einige PCI DSS Anforderungen auslagern. Adobe Stock, (c) Mymemo

Der Security Council unterscheidet hier zwischen verschiedenen Abstufungen und technischen Varianten, etwa Zahlungsterminals mit und ohne Internetverbindung, Kartenzahlungen über Web-Applikationen, etc. Zur Orientierung und Selbsteinstufung stellt die PCI-Website eine Reihe an Fragebögen zur Verfügung, in denen die spezifischen Anforderungen für jeden Anwendungsfall definiert sind.

Neben der Art der Zahlungsabwicklung macht auch die Anzahl an verarbeiteten Tranksaktionen pro Jahr einen Unterschied. PCI DSS unterscheidet zwischen 4 verschiedenen Stufen. Diese wirken sich nicht auf die Sicherheitsanforderungen, sondern auf den Zertifzierungsprozess aus: Während kleine Organisationen nur einen Fragebogen zur Selbstbewertung (Self-Assessment Questionnaire bzw. SAQ) ausfüllen müssen, erfolgt die Kontrolle der PCI DSS Compliance in großen Unternehmen durch einen externen Gutachter (Qualified Security Assessor bzw. QSA).

PCI DSS Level Überblick

PCI DSS 4.0, die im März 2022 aktualisierte Version des Standards, bringt zahlreiche Änderungen mit sich. Neben der Verschlüsselung von Daten und dem Festlegen von Rollen und Verantwortlichkeiten innerhalb der Organisation liegt der Fokus dabei primär auf der sicheren Verwaltung von Konten.

Zum Beispiel ist Multi-Faktor-Authentifizierung (MFA) künftig für alle Benutzerkonten vorgeschrieben, die Zugang zur Karteninhaber-Datenumgebung (CDE) haben. Ebenso müssen Zugriffsrechte nun zweimal jährlich im Rahmen von Access Reviews überprüft werden. Weitere Details zur Umstellung können der Änderungsübersicht auf der PCI Website entnommen werden.

Mit der Veröffentlichung von PCI DSS 4.0 im März 2022 beginnt eine zweijährige Übergangsphase, bis die vorherige Version PCI DSS 3.2.1 mit dem 31. März 2024 ihre Gültigkeit verliert. Für Zertifizierungen, die während dieser Übergangsphase stattfinden, können Organisationen entweder PCI DSS 4.0 oder 3.2.1 verwenden. Mehr zur PCI DSS 4.0 Timeline.

Die aktuell gültige Version des PCI DSS Sicherheitsstandards kann in vollem Umfang über die Website der Organisation abgerufen werden. Der Standard selbst, ebenso wie Leitfäden, Fragebögen, Vorlagen für Erklärungen und weitere relevante Dokumente sind dort öffentlich zugänglich. Da PCI DSS mit rund 400 Seiten auf den ersten Blick recht komplex wirken kann, finden Sie in unserer Übersicht eine Zusammenfassung der zentralen Forderungen.

Dieser Abschnitt befasst sich mit der Konfiguration und Implementierung von Netzwerksicherheitskontrollen (NSCs), also Firewalls und ähnliche Schutzmaßnahmen. Das übergeordnete Ziel dieser Anforderung ist die Beschränkung des Netzwerkverkehrs, eingehend wie ausgehend, auf notwendige, sichere und authorisierte Zugriffe.

Zur Erfüllung dieses Ziel müssen Organisationen NSCs gemäß gängiger Standards konfigurieren, die Konfiguration alle sechs Monate überprüfen und durch ein Netzwerkdiagramm Klarheit bezüglich des PCI DSS Geltungsbereichs (Scope) und dem Datenfluss von Kontodaten schaffen. Auch die Überwachung von Änderungen der Netzwerkseinstellungen und Anti-Spoofing-Maßnahmen sind vorgesehen.

Um die Kompromittierung über Standardpasswörter und gängige Schwachstellen zu verhindern, zielt diese Anforderung auf die sichere Konfiguration von Komponenten ab (auch als Härtung bekannt). Dazu zählt das Entfernen nicht verwendeter Standardkonten, das Ändern des Standardpassworts auf allen Geräten und Konten, die Deaktivierung nicht genutzter Funktionen sowie die Aufteilung wesentlicher Funktionen auf unterschiedliche Komponenten (z.B. Trennung von Webserver und interner Datenbank).

Zum Schutz sensibler Informationen sieht PCI DSS generell vor, die Speicherung und den Aufbewahrungszeitraum von Kontodaten auf ein Minimum zu beschränken, das für geschäftliche und gesetzliche Zwecke zwingend notwendig ist. Authentifizierungsdaten dürfen etwa nach Abschluss der Zahlungsautorisierung nicht aufbewahrt werden. Zudem müssen gespeicherte Daten durch Verschlüsselung abgesichert und der Zugriff darauf beschränkt werden. Rufen Mitarbeiter etwa die primäre Kontonummer (PAN) auf, dürfen nur die letzten vier Ziffern und der Bankcode angezeigt werden.

Konto- und Autorisierungsdaten müssen bei Speicherung und Übertragung geschützt werden. Adobe Stock, (c) xiaoliangge

Der Einsatz von Kryptographie ist nicht nur bei der Speicherung, sondern auch der Übertragung von Daten über öffentliche Netzwerke vorgeschrieben. Die genauen Anforderungen dieses Abschnitts betreffen den Umgang mit Zertifikaten und kryptografischen Schlüsseln sowie die Verwendung sicherer Protokolle. Hinsichtlich kryptografischer Standards verweist das Dokument auf Publikationen wie NIST 800-57 und ISO/IEC 18033.

Zur Bekämpfung von Schadsoftware sieht PCI DSS den Einsatz geeigneter Anti-Malware-Lösungen auf allen potenziell gefährdeten Geräten vor. Anti-Malware-Systeme müssen durch automatische Updates auf dem neuesten Stand gehalten werden und regelmäßige Scans durchführen. Die Frequenz ist dabei an die gezielte Risikoanalyse im Rahmen von Punkt 12 geknüpft. Auch entfernbare Speichermedien müssen auf Schadsoftware geprüft werden.

Die Vorgaben an sichere Entwicklungsprozesse, die dieser Abschnitt festlegt, beziehen sich ausschließlich auf eigens entwickelte Softwarelösungen. Darüber hinaus definiert PCI DSS in diesem Kapitel jedoch auch Anforderungen an das Schwachstellenmanagement von Organisationen, darunter etwa ein Inventar aller verwendeten Software-Produkte, das zeitnahe Einspielen von Sicherheitsupdates sowie die laufende Information über neue Bedrohungen wie Zero Day Exploits.

Um dem Missbrauch von Kontodaten vorzubeugen, muss der Zugang zu geschützten Informationen und kritischen Systemen (welche sich auf die Sicherheit sensibler Daten auswirken können) auf ein Minimum beschränkt werden. Dazu müssen Organisationen Zugriffskontrolle auf Basis des Prinzips der geringsten Privilegien bzw. Least Privilege umsetzen: Jeder Mitarbeiter erhält nur Zugriff auf Daten und Systeme, die für seine Arbeit zwingend notwendig sind. Das gilt neben Benutzerkonten ebenso für System- und Dienstkonten.

Die Zuweisung von Rechten an Mitarbeiter erfolgt anhand der Funktion im Unternehmen, also über rollenbasierte Zugriffskontrolle. Da sich die Aufgaben von Mitarbeitern laufend ändern, kann die langfristige Gewährleistung des minimalen Zugriffs nur durch regelmäßige Kontrollen, sogenannte Access Reviews, gewährleistet werden. PCI DSS sieht zu diesem Zweck die Überprüfung aller Rechte im Abstand von sechs Monaten vor. Nicht mehr benötigte Zugänge werden dabei geschlossen, um die schleichende Ausweitung von Privilegien bzw. Privilege Creep zu verhindern.

Der Zugriff auf geschützte Daten und Systeme darf nur nach Authentifizierung und Autorisierung erfolgen. Um Aktivitäten zuordnen zu können, muss jedem User eine eindeutige ID zugewiesen werden. Die Nutzung gemeinsamer Konten ist nur in Ausnahmefällen zulässig. Zugriffe auf die Karteninhaberdatenumgebung müssen mittels Multi-Faktor-Authentifizierung (MFA) abgesichert werden. Zum Schutz vor betrügerischen Anmeldungen ist eine Sperre des Kontos nach höchstens 10 fehlgeschlagenen Anmeldungen vorgesehen, ebenso wie ein Session Timeout nach 15 Minuten Inaktivität.

Um den Missbrauch von Konten zu verhindern, müssen diese über den gesamten User Lifecycle hinweg angemessen verwaltet werden. Dazu zählt, dass Änderungen und Neuanlagen nur mit entsprechender Autorisierung möglich sind und für die Kontrolle durch Admins dokumentiert werden. Konten von Benutzern, die die Organisation verlassen, sind umgehend zu entfernen. Für inaktive Konten ist eine Löschung innerhalb von 90 Tagen vorgesehen.

Neben dem logischen Zugriff auf Systeme sind Unternehmen im Rahmen der PCI DSS Compliance auch verplichtet, den physischen Zugang abzusichern. Dabei unterscheidet der Standard zwischen sensiblen Bereichen wie Serverräumen und der Karteninhaberdatenumgebung im Allgemeinen. Zu den Anforderungen dieses Abschnitts zählen Schutzmechanismen wie Videoüberwachung und Absperrungen, die sichere Verwahrung und Vernichtung von elektronischen und gedruckten Aufzeichnungen, die Absicherung physischer Netzwerkzugänge sowie die Kontrolle von Zahlungsgeräten, um Manipulationsversuche wie Karten-Skimmer auszuschließen.

Für die Erkennung von Sicherheitsvorfällen sowie forensische Analysen sind für alle relevanten Systembereiche Audit-Protokolle einzurichten. Die vorgesehene Aufzeichnung umfasst Anmeldungen (inklusive ungültiger Anmeldeversuche), alle Zugriffe auf Kartendaten, die Anlage neuer Objekte, Änderungen an Benutzerkonten sowie den Zugriff auf die Audit-Protokolle selbst. Um eine Manipulation der Protokolle zu verhindern, werden diese geschützt gespeichert und der Zugriff streng begrenzt.

Zur schnellen Identifizierung sicherheitsrelevanter Vorfälle empfiehlt der Standard die automatisierte Auswertung der Audits über Lösungen für das Security Information & Event Management (SIEM). Jedenfalls ist eine tägliche Auswertung aller Sicherheitsereignisse vorgesehen, ebenso wie der Auditprotokolle von Komponenten die 1) Kontodaten speichern, verarbeiten oder übertragen, 2) kritische Funktionen erfüllen oder 3) Sicherheitsfunktionen erfüllen.

Da von Forschern und Angreifern laufend neue Sicherheitslücken identifziert werden, schreibt PCI DSS Organisationen regelmäßige Kontrollen in Form von Schwachstellenscans und Penetrationstests vor. Externe wie interne Schwachstellenscans sind alle drei Monate sowie nach signifikanten Anpassungen der IT-Systeme durchzuführen und so lange zu wiederholen, bis alle Schwachstellen mit einem CVSS-Wert von 4.0 oder höher nachweislich behoben wurden. Der Zeitrahmen für die Behebung von Schwachstellen unterhalb dieses Grenzwerts ergibt sich aus der gezielten Risikoanalyse (Anforderung 12).

Interne Schwachstellenscans können von eigenen, qualifizierten Mitarbeitern durchgeführt werden, solange auf die Vermeidung von Interessenskonflikten geachtet wird. Die Überprüfung sollte also nicht durch dieselbe Person erfolgen, die ein System im täglichen Betrieb verwaltet. Für externe Scans ist die Nutzung eines vom PCI zugelassenen Scanning-Anbieters (ASV) vorgeschrieben. Interne und externe Penetrationstests sind nach den gleichen Kriterien mindestens alle 12 Monate durchzuführen.

Die Ziele, Pflichten und Verantwortungen von PCI DSS erfordern die Zusammenarbeit aller Personen innerhalb einer Organisation. Firmen sind daher verpflichtet, eine Informationssicherheitsrichtlinie zu veröffentlichen und an alle Mitarbeiter zu kommunizieren. Zum Schutz vor Insider Threats müssen Mitarbeiter außerdem vor der Aufnahme ins Unternehmen im Rahmen der gesetzlichen Möglichkeiten überprüft werden.

Die Sicherheitsrichtlinie muss alle 12 Monate überprüft und bei Bedarf aktualisiert werden, etwa was den Geltungsbereich, das Inventar verwendeter Hardware und Software, sowie Vereinbarungen mit Drittanbietern angeht. Auch der PCI DSS Status verwendeter Geräte und Dienstleister muss dabei kontrolliert werden. Darüber hinaus sind Pläne und Notfallprozeduren für die angemessene Reaktion auf Sicherheitsvorfälle zu etablieren.

Die organisatorischen Anforderungen von PCI DSS decken sich zu weiten Teilen mit den Vorgaben von Sicherheitsstandards wie ISO 27001 oder dem BSI IT-Grundschutz. Betriebe, die bereits eine entsprechende Zertifizierung abgeschlossen haben, müssen also nur PCI-spezifische Abschnitte wie die Kontrolle der Compliance von Drittdienstleistern neu integrieren.

PCI-konformes Benutzermanagement? Mit tenfold kein Problem! Adobe Stock, (c) thodonal

Die Pflichten, die Unternehmen im Rahmen der PCI DSS Compliance erfüllen müssen, hängen stark von dem jeweiligen technischen Setup sowie der Rolle von Zahlungsdaten im laufenden Betrieb ab. Für Organisationen, die Kontodaten in der eigenen IT-Infrastruktur speichern, gestaltet sich die Zertifizierung wesentlich komplexer als für jene, die Zahlungsprozesse vollständig über zugelassene Geräte und Zahlungsdienste outsourcen.

Trotzdem lässt sich PCI DSS Compliance niemals völlig auslagern. Da sich Angriffe auf die Unternehmens-IT indirekt auch auf die Sicherheit von Kontodaten auswirken können – etwa durch den Zugriff auf Sicherheitsaudits oder den Diebstahl von Passwörtern – betrifft PCI DSS oft auch Systeme, die selbst keine Card Holder Data (CHD) speichern bzw. verarbeiten. Auch in diesen Bereichen müssen Firmen den Sicherheitsanforderungen des Standards entsprechen: Der sicheren Konfiguration von Komponenten, dem Schutz vor Malware sowie der Verwaltung von Konten und Berechtigungen.

Ziel von PCI DSS ist es sicherzustellen, dass sensible Kreditkartendaten trotz ihrer weit verbreiteten Nutzung nicht in falsche Hände geraten. Die Frage, wer Zugang zu sensiblen Informationen haben sollte, wird auf IT-Ebene über Zugriffsrechte gesteuert, die festlegen, welche User auf welche Systeme zugreifen können. Wenn es darum geht, missbräuchliche Zugriffe intern wie extern zu verhindern, spielen IT-Berechtigungen dementsprechend eine fundamentale Rolle.

Nicht umsonst stellt die Implementierung starker Zugriffskontrollmaßnahmen einen wesentlichen Teilbereich der PCI DSS Compliance dar. Die sichere Vergabe und Löschung von Rechten erfordert geregelte Prozesse, laufende Kontrollen und Anpassungen, sowie ein hohes Maß an Genauigkeit. Immerhin müssen die Berechtigungen jedes Benutzers genau an dessen Aufgaben angeglichen werden. Als automatisierte Plattform für User Management, Berechtigungsreporting und Access Reviews sorgt tenfold für perfekt zugeschnittene Rechte in allen Systemen und garantiert somit optimale Sicherheit bei minimalem Aufwand.

PCI DSS Anforderungen, die tenfold abdeckt:

Als zentrale Lösung für Identity und Access Management erlaubt tenfold es Organisationen, Benutzerkonten automatisch zu verwalten, IT-Berechtigungen zentral zu steuern und nachzuvollziehen und Admins durch benutzerfreundliche Self-Service-Funktionen zu entlasten. Indem tenfold die Vergabe und Löschung von Rechten automatisiert, stellt es nicht nur sicher, dass sensible Daten vor unberechtigten Zugriffen geschützt sind, sondern spart auch wertvolle Zeit in der IT-Verwaltung.

Zusammen mit den umfangreichen Reporting-Tools von tenfold lässt sich die PCI-konforme Zugriffsverwaltung nicht nur komfortabel umsetzen, sondern auch schnell und einfach nachweisen. Noch nicht überzeugt? In unserem Demo-Video erleben Sie tenfold im Einsatz und können sich ein Bild der wichtigsten Features machen. Oder vereinbaren Sie jetzt einen kostenlosen Test, um sich erster Hand mit den Vorteilen unserer IAM-Lösung vertraut zu machen.