Blog Datensicherheit & Compliance

Was ist PCI Compliance? Anforderungen und Sanktionen

Die PCI-Cmpliance ist eine Reihe von Standards und Richtlinien für Unternehmen um personenbezogene Daten im Zusammenhang mit Kreditkarten zu verwalten und zu sichern. . Die großen Kreditkartenanbieter – Visa, Mastercard...
Michael Buckbee
4 minute gelesen
Letzte aktualisierung 28. Oktober 2021

Contents

    Die PCI-Cmpliance ist eine Reihe von Standards und Richtlinien für Unternehmen um personenbezogene Daten  im Zusammenhang mit Kreditkarten zu verwalten und zu sichern. . Die großen Kreditkartenanbieter – Visa, Mastercard und American Express – haben im Jahr 2006 eine Richtlinie mit der Bezeichnung Payment Card Industry Data Security Standards (PCI DSS) eingeführt, um Kreditkartendaten vor Diebstahl zu schützen.

    Experten schätzen, dass Kreditkartenbetrug  Unternehmen, zB. in den Vereinigten Staaten jedes Jahr mehrere Milliarden Dollar kostet. Es ist ziemlich klar zu erkennen, dass Cyberkriminelle derzeit im Krieg um die Kreditkarten (noch) vorne liegen. Der Schutz von Kundendaten und Zahlungsinformationen muss für Verbraucher, Unternehmen und Banken Priorität haben, damit die Verschwendung von Milliarden  für Kreditkartenbetrug endlich ein Ende hat. Das Verständnis von PCI-Compliance und eine Verbesserung der entsprechenden Kompetenzen bilden einen wesentliche Beitrag, wenn wir diesen Krieg für uns ( die Ehrlichen ) entscheiden wollen.

    Warum sollten Unternehmen unbedingt auf PCI-Compliance achten?

    PCI DSS-Compliance sollte zu den wichtigsten durchgängigen Projekten in jedem Unternehmen gehören, welches die privaten Kreditkartendaten seiner Kunden erfasst und speichert. Nach dem 2018 Verizon Payment Security Report erfüllen nur 52,5 % aller Organisationen diese Compliance-Kriterien vollständig. Das muss besser gehen!

    Die Untersuchung von Verizon zeigt eine Korrelation zwischen Unternehmen, die einen Datenverstoß festgestellt haben, und solchen, bei denen PCI-DSS-Kontrollen fehlen. Kurz gesagt: Betroffene Unternehmen haben nicht alle Anforderungen erfüllt, was nicht wirklich überraschend ist.

    Wesentlicher ist, dass Sie durch Einhalten des PCI DSS ihre Konformität mit Datenschutzgesetzen wie der Datenschutz-Grundverordnung (DSGVO) oder dem Gramm-Leach-Bliley Act (GLBA) sicherstellen können. Der PCI DSS steht für bewährte Praktiken im Datenschutz, die jedes Unternehmen befolgen sollte.

    Wie werden Sie PCI-konform?

    Der PCI DSS liefert Ihnen die Roadmap für Ihren Weg zur PCI-Compliance. Im PCI DSS finden Sie einen 12-stufigen Plan für den Schutz von Kundendaten.

    goals of PCI DSS compliance

    12 Anforderungen des PCI DSS

    Ziele Anforderungen
    Aufbau und Pflege sicherer Netzwerke und Systeme Anforderung 1: Installieren und Pflegen einer Firewall-Konfiguration für den Schutz der Daten von Kreditkarteninhabern
    Anforderung 2: Nicht die vom Vendor gelieferten Standards bei Passwörtern für Systeme und andere Sicherheitsparameter verwenden
    Schutz der Daten von Kreditkarteninhabern Anforderung 3: Schützen der gespeicherten Daten von Kreditkarteninhabern
    Anforderung 4: Verschlüsselung der Karteninhaberdaten bei der Übertragung über offene, öffentliche Netzwerke
    Pflege eines systematischen Managements von Sicherheitslücken Anforderung 5: Schützen aller Systeme gegen Malware und regelmäßiges Aktualisieren von Virenschutzsoftware und Programmen
    Anforderung 6: Entwickeln und Pflegen sicherer Systeme und Anwendungen
    Implementieren starker Zugriffskontrollmaßnahmen Anforderung 7: Einschränken des Zugriffs auf Karteninhaberdaten auf Personen mit unbedingtem geschäftlichen Bedarf
    Anforderung 8: Identifizieren und Authentifizieren des Zugriffs auf Systemkomponenten
    Anforderung 9: Einschränken des physikalischen Zugriffs auf Karteninhaberdaten
    Regelmäßige Überwachung und Prüfung der Netzwerke Anforderung 10: Verfolgen und Überwachen des gesamten Zugriffs auf Netzwerkressourcen und Karteninhaberdaten
    Anforderung 11: Regelmäßige Überprüfung der Sicherheitssysteme und -verfahren
    Pflegen eine Informationssicherheitsrichtlinie Anforderung 12: Pflegen einer Richtlinie, in der auf Informationssicherheit für alle Mitarbeiter eingegangen wird

    Wieviel kostet es, PCI-konform zu werden?

    Das ist nicht leicht zu beantworten.

    Die Kosten der PCI-Compliance sind im Vergleich zu denen einer Datenschutzverletzung gering.

    Die PCI-Compliance ist einfach gute Datensicherheitspraxis und unterscheidet sich nicht wesentlich von NIST– oder SANS-Sicherheitskontrollen. Betrachten Sie die Kosten für PCI-Compliance eher als „Kosten für gute Datensicherheitspraktiken“  und rechnen Sie dann entsprechend.

    Wie kann ich meine PCI-Compliance validieren?

    Jedes Kreditkartenunternehmen hat seine eigenen Compliance-Validierungsstufen, die es einhalten muss. Sie können entweder Ihr eigenen PCI Compliance Self-Assessment Questionnaire (SAQ) durchführen oder einen Vertrag mit einem zertifizierten PCI Quality Security Assessor (QSA) abschließen.

    PCI Compliance Qualified Security Assessors (QSA)

    PCI QSAs sind für die Durchführung von PCI-Sicherheitsbewertungen zertifiziert und geschult. Die einzelnen QSAs werden mit dem einen oder anderen Geschäftsfeld besser vertraut sein. Wenn Sie also diesen Weg wählen, achten Sie darauf, dass Sie den einen finden, der zur Ihren Geschäftsanforderungen passt.

    PCI Compliance Self-Assessment Questionnaire (SAQ)

    Die andere Möglichkeit besteht darin, ein SAQ-Formular auszufüllen, das eine Reihe von Ja- oder Nein-Fragen enthält, mit denen Ihr Konformitätsgrad mit dem PCI DSS bestimmt wird. Alle Unternehmen füllen diesn SAQ aus und übermitteln ihre Quartalsberichte an die dafür vorgesehenen Organisationen.

    Wie erhalte ich meine PCI-Compliance aufrecht?

    Um Ihre PCI-Compliance aufrechtzuerhalten, sollten Sie mit PCI-konformen Unternehmen für die Verarbeitung von Kreditkartendaten und Banken zusammenarbeiten. Die Daten, die Sie schützen, sind nur dann von Bedeutung, wenn sie in allen Phasen des Transaktionslebenszyklus geschützt bleiben.

    Zunächst müssen Sie in Ihrem Unternehmen gute Datensicherheitspraktiken umsetzen und regelmäßig interne Audits und Qualitätskontrollen im Hinblick auf Ihre PCI-konformen Daten durchführen. Im Folgenden finden Sie einige spezifische Kontrollen, die Sie implementieren können, um Ihre PCI-Daten zu schützen.

    maintain PCI compliance

    • Sensible Daten entdecken und klassifizieren
      • Alle sensiblen Daten lokalisieren und sichern
      • Daten auf der Grundlage Ihrer Unternehmensrichtlinie klassifizieren
    • Daten und Berechtigungen kartieren
      • Benutzer, Gruppen, Ordner- und Dateiberechtigungen identifizieren
      • Ermitteln, wer auf welche Daten zugreifen darf
    • Zugriffskontrolle verwalten
      • Veraltete Benutzer identifizieren und deaktivieren
      • Benutzer und Gruppenmitgliedschaften verwalten
      • Globale Zugriffsgruppen entfernen
      • Modell nach dem Prinzip der notwendigsten Berechtigung einführen
    • Daten, Dateiaktivitäten und Benutzerverhalten überwachen
      • Aktivitäten mit Dateien und Ereignisse überprüfen und melden
      • Überwachung im Hinblick auf Insider-Risiken, Malware, Fehlkonfigurationen und Datenschutzverletzungen
      • Sicherheitsschwachstellen erkennen und beheben

    Strafen für PCI-Compliance-Verstöße

    Gemäß dem maßgeblichen PCI Compliance Blog werden Geldbußen nicht veröffentlicht oder gemeldet sondern in der Regel an die Händler durchgereicht. Banken geben diese Geldbußen dann in Form erhöhter Transaktionsgebühren oder durch die Kündigung von Geschäftsbeziehungen weiter.

    Bußgelder variieren zwischen 5.000 und 100.000 Dollar pro Monat, bis die Händler Compliance erreichen. Bußgelder in dieser Höhe sind machbar für große Banken, können ein kleines Unternehmen aber schnell in den Bankrott treiben.

    Allerdings sind dievon der PCI verhängten Bußgelder klein im Vergleich zu Kreditüberwachungsgebühren, Gerichtskosten und staatlichen Verfahren, die anfallen können, wenn Sie nicht wirklich PCI DSS-konform sind.   Das Unternehmen Target hat beispielsweise gemeldet, dass sich die Gesamtkosten der massiven Datenschutzverletzung mit Kreditkartendaten beim Unternehmen auf über 200 Millionen USD beliefen, wovon 18,5 Millionen USD auf einen gerichtlichen Vergleich mit 47 Generalstaatsanwälten entfielen.

    Die Varonis Datensicherheitsplattform bietet Ihnen die Grundlagen, die Sie auf Ihrem Weg zur PCI-Compliance benötigen. Varonis kartiert Ihre Ordner und Ordnerzugriffe und scannt Dateien im Hinblick auf PCI-konformen Daten. Sobald Sie wissen, wo sich Ihre PCI-Compliance-Daten befinden, können Sie daran arbeiten, das Risiko von Verstößen zu reduzieren und diese Daten auf anormale Zugriffsmuster zu überwachen. Varonis schützt Ihre PCI-Daten langfristig. Sie können sogar Datenzugriffsberichte für Ihre PCI-Compliance-Audits erstellen.

    Laden Sie unseren kostenlosen Compliance- und Verordnungsleitfaden herunter, um mehr darüber zu lesen, wie Varonis Sie auf Ihrem Weg zur Compliance unterstützt.

    What should I do now?

    Below are three ways you can continue your journey to reduce data risk at your company:

    1

    Schedule a demo with us to see Varonis in action. We'll personalize the session to your org's data security needs and answer any questions.

    2

    See a sample of our Data Risk Assessment and learn the risks that could be lingering in your environment. Varonis' DRA is completely free and offers a clear path to automated remediation.

    3

    Follow us on LinkedIn, YouTube, and X (Twitter) for bite-sized insights on all things data security, including DSPM, threat detection, AI security, and more.

    Michael Buckbee
    Michael Buckbee Michael hat als Systemadministrator und Softwareentwickler für Startups im Silicon Valley, die US Navy und alles dazwischen gearbeitet.

    Testen Sie Varonis gratis.

    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports

    Weiter lesen

    Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

    aktuelle-analyse-der-finra-zu-cyberkriminalität
    Aktuelle Analyse der FINRA zu Cyberkriminalität
    aktuelle-analyse-der-finra-zu-cyberkriminalität
    Michael Buckbee
    13. März 2015
    Ein Hacker-Diebstahl von Passwörtern, Kreditkarten- und Sozialversicherungs-nummern kann zu immensen finanziellen Verlusten führen. Doch sehen wir uns ein Worst-Case-Szenario an: Was passiert, wenn Hacker sich Zugang zu unseren Renten- und...
    erwischt:-geheime-piis-in-ihren-unstrukturierten-daten!
    Erwischt: Geheime PIIs in Ihren unstrukturierten Daten!
    erwischt:-geheime-piis-in-ihren-unstrukturierten-daten!
    Michael Buckbee
    15. April 2013
    Personenbezogene, identifizierbare Informationen, kurz PII, sind relativ intuitiv. Wenn Sie die Telefonnummer, Sozialversicherungsnummer oder Kreditkartennummer von jemandem kennen, haben Sie eine direkte Verbindung zu dessen Identität. Hacker nutzen diese Erkennungsdaten...
    sicherheitstipps:-pos-basierte-angriffe-im-einzelhandel-verhindern
    Sicherheitstipps: PoS-basierte Angriffe im Einzelhandel verhindern
    sicherheitstipps:-pos-basierte-angriffe-im-einzelhandel-verhindern
    Michael Buckbee
    12. Februar 2014
    Um den jüngsten Fall von Computer-Kriminalität, bei dem über die Bezahlsysteme am Point of Sale (PoS) eines großen Einzelhandelsunternehmens Millionen von Kreditkartennummern entwendet wurden, ranken sich noch immer zahlreiche Geheimnisse....
    interner-datenverlust:-riskanter-als-gedacht
    Interner Datenverlust: riskanter als gedacht
    interner-datenverlust:-riskanter-als-gedacht
    Michael Buckbee
    17. Juni 2013
    von Rob Sobers In einem ausgezeichneten Blog stellt Dr. Anton Chuvakin, Research Director bei Gartner, die Frage: Stellt eine Excel-Tabelle mit Kreditkartennummern auf einem internen File-Share mit schlecht verwalteten Zugriffsrechten einen Datenschutzverstoß...