Was ist PCI DSS zertifizierung?
PCI-DSS-Compliance
PCI DSS ist eine Reihe von Sicherheitsstandards, die im Jahr 2004 von großen Kreditkartenunternehmen eingeführt wurden, da Anwendungen, die Zahlungen verarbeiten, sehr attraktive Ziele für Hacker und bösartige Akteure sind.
PCI DSS verfolgt die Aufgabe, Kredit- und Debitkartentransaktionen nicht nur zu sichern, um Verluste für Banken und die Zahlungskartenbranche einzudämmen, sondern auch das Vertrauen und die Sicherheit der Verbraucher zu erhöhen. Dies wird durch eine Reihe von Sicherheitskontrollen erreicht, die die Vertraulichkeit, Integrität und Genauigkeit der Kartendaten schützen. Dieser Compliance-Standard gilt für jede Organisation, die Kreditkartendaten speichert, verarbeitet und überträgt. Im Gegensatz zu NIST, einem Framework, zu dessen Einhaltung Sie dringend empfohlen, aber nicht verpflichtet sind, müssen Sie PCI DSS unbedingt einhalten.
PCI-DSS-Anforderungen
PCI DSS besteht aus 12 Anforderungen, die in sechs Kontrollziele gruppiert sind, um sicherzustellen, dass Organisationen, die Kreditkartendaten verarbeiten, speichern oder übertragen, eine sichere Umgebung erhalten. Compliance hilft dabei, Karteninhaberinformationen zu schützen und allgemeine Sicherheitsmaßnahmen zu stärken.
Ziel Nr. 1: Aufbau eines sicheren Netzwerks
- Regel Nr. 1: Installation und Wartung einer Firewall
- Regel Nr. 2: Verwenden Sie keine Standardkennwörter oder -konfigurationen des Anbieters.
Ziel Nr. 2: Schützen Sie Karteninhaberdaten
- Regel Nr. 3: Gespeicherte Karteninhaberdaten schützen
- Regel Nr. 4: Übertragene Karteninhaberdaten verschlüsseln
Ziel Nr. 3: Pflege eines Schwachstellenmanagementprogramms
- Regel Nr. 5: Vor Malware schützen
- Regel Nr. 6: Entwicklung und Pflege sicherer Systeme
Ziel Nr. 4: Verwaltung der Zugriffskontrolle
- Regel Nr. 7: Zugriff auf Karteninhaberdaten beschränken
- Regel Nr. 8: Identifizieren Sie alle Personen, die Zugriff auf Karteninhaberdaten haben.
- Regel Nr. 9: Beschränkung des physischen Zugriffs auf Karteninhaberdaten
Ziel Nr. 5: Überwachung und Test von Netzwerken
- Regel Nr. 10: Verfolgen und überwachen Sie den gesamten Zugriff auf Karteninhaberdaten
- Regel Nr. 11: Testsystemsicherheit
Ziel Nr. 6: Pflege einer Richtlinie zur Informationssicherheit
- Regel Nr. 12: Erstellen und Durchsetzen einer Richtlinie zur Informationssicherheit innerhalb des Unternehmens
Es gibt auch vier Compliance-Stufen, abhängig von der jährlichen Anzahl der verarbeiteten Kredit-/Debitkartentransaktionen. Die Klassifizierung bestimmt, was die Organisation tun muss, um die Compliance zu gewährleisten:
- Ebene 1: Über 6 Millionen Transaktionen/Jahr – Anforderung: Jährliche interne Prüfung, die von einem autorisierten PCI-Auditor durchgeführt wird. Darüber hinaus müssen sie einmal pro Quartal einen PCI-Scan durch einen zugelassenen Scananbieter (ASV) durchführen.
- Stufe 2: 1-6 Millionen Transaktionen/Jahr: - Anforderung: Führen Sie eine jährliche Bewertung mithilfe eines Selbstbewertungsfragebogens (SAQ) durch. Möglicherweise ist ein vierteljährlicher PCI-Scan erforderlich.
- Ebene 3: 20.000-1 Million Transaktionen/Jahr – Anforderung: Jährliche Selbstbewertung und möglicherweise vierteljährlicher PCI-Scan.
- Ebene 4: Weniger als 20.000 Transaktionen/Jahr – Anforderung: Jährliche Selbstbewertung und möglicherweise vierteljährlicher PCI-Scan.
Warum PCI DSS Compliance wichtig ist
Jeder im Unternehmen spielt eine Rolle bei der Aufrechterhaltung der Compliance. Es beginnt ganz oben mit den CISOs und geht dann zu SecOps- und DevOps-Teams. In einer idealen DevSecOps-Welt gibt es keine Hierarchie in der Sicherheitsverantwortung zwischen beiden Teams – sie arbeiten miteinander zusammen. SecOps muss DevOps-Teams dabei helfen zu verstehen, was sie tun müssen, und Entwickler müssen dies auf Anwendungsebene ausführen.
Im Anschluss an die 12 PCI-DSS-Anforderungen finden Sie hier einige Beispiele dafür, wie kontinuierliche Compliance ein Teamaufwand ist:
- Regel Nr. 6: Entwickler müssen Systeme unter Berücksichtigung der Sicherheit entwickeln
- Regel Nr. 8: Identitäts- und Zugriffsmanagement muss jedem Benutzer eine eindeutige Benutzer-ID-Anforderung zuweisen. Acht
- Regel Nr. 9: Die physische Sicherheitsabteilung muss sicherstellen, dass der Zugang zu den Gebäude- und Serverräumen kontrolliert wird.
- Regel Nr. 10: Sicherheitsoperationen müssen sicherstellen, dass Protokolle erstellt werden, um den Zugriff auf Karteninhaberdaten aufzuzeichnen und zu verfolgen.
- Regel Nr. 11: Betriebs- und Entwicklungsteams müssen zusammenarbeiten, um Server und Software zu testen
- Regel Nr. 12: Das Management muss Richtlinien und zugehörige Dokumente entwickeln, um den Grad der Informationssicherheit und Compliance zu beschreiben, der in seinem Unternehmen erreicht werden muss.
All das muss gesagt werden – jeder spielt eine Rolle dabei, die Compliance einzuhalten. Nicht nur für das größere Wohl des Unternehmens, sondern auch für eine effiziente Entwicklung und Bereitstellung mit der Gewissheit, dass Sie nach dem Start Ihrer App keine 10.000 SOS Slack-Benachrichtigungen erhalten werden.
Wie bereits erwähnt, liegt Ihre Verantwortung hauptsächlich auf Anwendungsebene. Dazu gehört die Verwendung eines sicheren Quellcodes, die Sicherstellung geeigneter Konfigurationen für Ihre CI/CD-Pipeline und vieles mehr. Vielleicht denken Sie: Okay, aber wie soll ich wissen, wie ich das machen soll? Die gute Nachricht ist, dass Sie kein Sicherheits- oder Compliance-Whitz sein müssen, genauso wie Sie kein Neurochirurg sein müssen, um ein Band-Aid auf den Weg zu bringen. Es geht darum, die richtigen Ressourcen zu kennen und anzuwenden (z. B. ein Bandhilfsmittel, anstatt eine Serviette über die Wunde zu kleben).
Um Fehlkonfigurationen zu vermeiden, können Sie sich die Dokumentationsseite für Ihren Cloud Service Provider (CSP) ansehen. Das Lesen all dieser Informationen kann jedoch zu zeitaufwendig sein. Wenn dies für Sie der Fall ist, empfehlen wir Ihnen (und empfehlen Ihnen) die Verwendung einer Sicherheitslösung mit Automatisierung.
PCI-DSS-bezogene Verstöße
Der erste Verstoß, der Ihnen einfallen könnte, ist der Capital One-Hack, der 106 Millionen Kreditkartenanwendungen aufdeckte und zu einer Geldstrafe von 80 Millionen US-Dollar von US-Aufsichtsbehörden führte. Sehen wir uns einige andere Verstöße an und wie sie durch Bezugnahme auf die PCI-DSS-Regeln und Ziele hätten vermieden werden können.
Hobby Lobby
Anfang 2021 wurde die Hobby Lobby gehackt. Ein unabhängiger Forscher, der den Umgang mit Boogeyman nutzt, hat den Verstoß identifiziert. Er entdeckte eine öffentlich zugängliche Datenbank auf Amazon Web Services (AWS), die vertrauliche Informationen von mehr als 300.000 Hobby Lobby-Kunden enthielt. Die Datenbank war 138GB groß und hatte Kundennamen, Adressen, Telefonnummern und teilweise Kartendetails. In der gleichen Datenbank war seltsamerweise der Quellcode für die App des Unternehmens, was ein weiteres Problem ist.
Die Verletzung war das Ergebnis einer falsch konfigurierten Cloud-Datenbank, die öffentlich zugänglich war. Dies ist ein eindeutiger Verstoß gegen die PCI-DSS-Regeln Nr. 3, Nr. 7 und Nr. 9, da die Zahlungskartendaten auf einem offenen Server gespeichert wurden. Hobby Lobby hat auch Regel Nr. 10 nicht eingehalten, die besagt, dass der Zugriff auf Karteninhaberdaten und relevante Netzwerkressourcen verfolgt und überwacht werden muss. Das war eindeutig nicht der Fall, sonst wäre die Fehlkonfiguration behoben worden und der gesamte Ordeal letztlich vermieden worden.
Macy’s
Der große Einzelhändler erlitt im Oktober 2019 einen Verstoß, der die Zahlungskartennummern, Sicherheitscodes und Ablaufdaten von Kunden aufdeckte, die das Online-Checkout-System mit der My Account-Wallet-Seite nutzten. Macy’s hat zwar die Anzahl der betroffenen Kunden nicht offengelegt, aber der Einzelhändler hat bis April dieses Jahres 55,7 Millionen monatliche Online-Besuche verzeichnet. Und um ehrlich zu sein, ist der Diebstahl der Informationen von nur einem Kunden ausreichend.
Die Verletzung trat aufgrund eines gezielten Magecart-Angriffs auf, der Malware in die Kassen- und Geldbörsenseiten eingeschleust hat. Macy’s hat offensichtlich gegen eine Reihe von PCI-DSS-Regeln verstoßen, und was noch besorgniserregender ist, ist die Tatsache, dass Magecart bekannt ist. Tatsächlich war Macy’s in diesem Jahr nur eines von vielen Opfern, darunter FILA, Ticketmaster, British Airways und andere. Frühere Angriffe auf andere große Einzelhändler hätten Macy’s dazu motivieren sollen, Sicherheitsaudits durchzuführen und Schwachstellen zu beheben, wie es PCI DSS vorschreibt.