Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Der Payment Card Industry Data Security Standard (PCI DSS)

Veröffentlicht von:Leudbold Heimann Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Der Payment Card Industry Data Security Standard (PCI DSS)"—  Präsentation transkript:

1 Der Payment Card Industry Data Security Standard (PCI DSS)

2 Überblick Was ist der PCI DSS? Anforderungen für PCI DSS-Compliance
Woraus bestehen Daten von Kreditkarteninhabern? Konsequenzen bei fehlender PCI DSS-Konformität Durchführung eines PCI DSS-Audits Kostensenkungen durch automatisierte PCI DSS-Kontrollen

3 Was ist der Payment Card Industry Data Security Standard (PCI DSS)?
Sicherheitsstandard mit verpflichtenden Best Practice-Richtlinien zum Schutz der Daten von Kredit- und Debitkarten Ins Leben gerufen von den weltweit größten Kreditkarten-unternehmen, u. a. VISA und MasterCard Bindend für sämtliche Unternehmen, die im Zahlungsverkehr mit Kreditkartendaten arbeiten Gilt für Kreditkartenkäufe im Einzelhandel und E-Commerce sowie per Post und Telefon Vereint als weltweiter einheitlicher Sicherheitsstandard zuvor getrennte Sicherheitsvorgaben der Kartenunternehmen

4 Warum ein Standard wie der PCI DSS?
Seit über 20 Jahren ein Problem: Diebstahl und Missbrauch von Kreditkartendaten; stetige Zunahme  VISA gründet erstes Schutzprogramm (CISP) Aktueller Fall von Datenabfluss aufgrund unzureichender Schutzmaßnahmen: Netzwerk-Sicherheitslücke beim US-Einzelhändler TJX – mindestens 45,6 Mio. gestohlene Kredit- und Debitkartennummern Aktueller Schwarzmarktpreis für gestohlene Kreditkartendaten (Kartennummer mit PIN): US-$ 490,– (Quelle: InformationWeek)

5 PCI Data Security Standard 1.1 (1/3)
Das PCI DSS-Regelwerk zum Datenschutz umfasst 12 Sicherheitsanforderungen, gruppierbar in: Erfassung und Speicherung aller Daten aus Ereignisprotokollen als Vorbereitung für Sicherheitsanalysen Berichterstellung zu allen sicherheitsrelevanten Aktivitäten, um PCI DSS-Compliance bei Audits vor Ort nachweisen zu können Kontinuierliche Überwachung von Datenzugriff und -verwendung und sofortige Administratorwarnung bei Sicherheitsverstößen

6 PCI Data Security Standard 1.1 (2/3)
6 Zielkategorien des PCI DSS-Regelwerks PCI DSS-Kategorien Einrichtung und Betrieb eines geschützten Netzwerks Schutz der Karteninhaberdaten Einrichtung eines Schwachstellen-Management-Systems Umsetzung effektiver Richtlinien zur Zugriffskontrolle Regelmäßige Überwachung und Überprüfung des Netzwerks Durchsetzung einer Richtlinie zur Informationssicherheit

7 PCI Data Security Standard 1.1 (3/3)
PCI DSS-Anforderungen 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. Einrichtung und Betrieb einer Firewall zum Schutz der Daten von Kreditkarteninhabern Änderung der von Herstellern vorgegebenen Standardpasswörter und Sicherheitseinstellungen Schutz der gespeicherten Daten von Kreditkarteninhabern Verschlüsselte Übertragung der Daten von Kreditkarteninhabern in öffentlichen Netzwerken Einsatz und regelmäßige Aktualisierung von Virenschutzlösungen Entwicklung und Betrieb sicherer Systeme und Anwendungen Einschränkung des Zugriffs auf Kartendaten nach Grundsatz „Kenntnis, nur wenn nötig“ Zuweisung einer eindeutigen Benutzer-ID an Personen mit Zugang zum Computersystem Einschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern Protokollierung und Überwachung aller Zugriffe auf Netzwerkressourcen und Karteninhaberdaten Regelmäßige Überprüfung von Sicherheitssystemen und -abläufen Unternehmensrichtlinie mit Vorgaben zur Informationssicherheit für Mitarbeiter & Vertragspartner

8 Was sind Karteninhaberdaten?
Alle im Rahmen einer Transaktion genutzten Daten einer Kredit-/Debitkarte. - pcianswers.com Bestandteile der Karteninhaberdaten Primary Account Number (PAN) Name des Karteninhabers Ablaufdatum der Karte Sensitive Authentication Data (SAD) Daten des Magnetstreifens Card Validation Code (CVC) Personal Identification Number (PIN) 1234 123

9 Speicherung von Karteninhaberdaten
PCI DSS sorgt für den Schutz von Karteninhaberdaten Folgende Daten dürfen gespeichert werden, solange sie verschlüsselt, gehashed oder trunkiert werden: PAN, Karteninhabername, Ablaufdatum der Karte, Service-Code

10 Wie funktioniert eine Transaktion?
Ž Œ  Händlerbank überprüft Bonität („Credit Card Interchange“) zur Freigabe der Transaktion Œ Kunde nutzt die Kreditkarte zur Bezahlung von Waren beim Händler Ž Zahlungs-Gateway leitet Transaktion über gesicherte Verbindung an Händlerbank weiter  Händler leitet Transaktion an Zahlungs-Gateway weiter

11 Wer ist an den PCI DSS gebunden?
Der PCI DSS ist ab 30. September 2007 für alle Unternehmen – ungeachtet ihrer Größe – verbindlich, die im Zahlungsverkehr mit Kreditkartendaten arbeiten Der PCI DSS gilt für alle Beteiligten, die Karteninhaberdaten speichern übermitteln verarbeiten  Alle als Händler oder Dienstleister definierten Transaktionsteilnehmer

12 Händler Akzeptanzpartner, die Kreditkarten als Zahlungsmittel annehmen
Beispiele für unterschiedliche Branchen: Online-Händler Einzelhändler Bildungseinrichtungen Einrichtungen aus dem Gesundheitswesen Hotel- und Gaststättengewerbe und Freizeitbranche Energieversorger Finanz- und Versicherungsunternehmen

13 Compliance-Kategorien für Händler
HÄNDLERKATEGORIEN Kategorie 1 Händler, deren verwaltete Kreditkartendaten kompromittiert wurden Händler mit jährlich mehr als 6 Mio. Kreditkartentransaktionen Kategorie 2 Händler mit 1 bis 6 Mio. Kreditkartentransaktionen/Jahr Kategorie 3 Händler mit bis 1 Mio. Kreditkartentransaktionen/Jahr Kategorie 4 Alle anderen Händler

14 Dienstleister Organisationen, die Kartendaten im Auftrag von Händlern verarbeiten Beispiele für Dienstleister: Zahlungs-Gateways (z. B. PayPal) Zahlungsprozessoren Host-Provider im E-Commerce Managed-Service-Provider Auskunfteien Backup-Management-Unternehmen Datenvernichter

15 Compliance-Kategorien für Dienstleister
DIENSTLEISTERKATEGORIEN Kategorie 1 Alle Zahlungsprozessoren und Zahlungs-Gateways Kategorie 2 Jeder nicht zur Kategorie 1 zählende Dienstleister mit jährlich mehr als 1 Mio. Kreditkartenabrechnungen/-transaktionen Kategorie 3 Jeder nicht zur Kategorie 1 zählende Dienstleister mit jährlich weniger als 1 Mio. Kreditkartenabrechnungen/-transaktionen

16 Maßnahmen zur Kontrolle der PCI DSS-Compliance
Händler Sicherheits-Audit vor Ort Beantwortung eines PCI-Fragebogens Netzwerk-Scan Kategorie 1 jährlich erforderlich ¼-jährlich erforderlich Kategorie 2 Kategorie 3 Kategorie 4 Dienstleister Durchführung durch: Qualified Security Assessor (QSA) In-House Approved Scan Vendor (ASV) Nachweis: Report on Compliance (ROC) Beantworteter PCI-Fragebogen Scan-Bericht

17 Kompromittierung von Karteninhaberdaten
„Kompromittierung: Eindringung in ein Computersystem mit mutmaßlich unbefugter Veröffentlichung, Änderung oder Vernichtung von Karteninhaberdaten.“ - PCI DSS Glossary Notfall-Plan (Incident Response Plan) Anforderung 12.9 Warum eine Kompromittierung melden? Schadensbegrenzung Vorfallsübermittlung an: Internes Interventionsteam (Incident Response Team) Verbund der Kreditkartenunternehmen und Händlerbanken Lokale Strafverfolger Wer setzt sich dem Risiko einer Kompromittierung aus?

18 Folgen der Datenkompromittierung
Wirtschaftlicher Schaden Strafzahlungen in mittlerer sechsstelliger Höhe sind möglich; weitere Rechtskosten drohen Image-Schaden Schädigung des Markennamens/Unternehmensansehens Strafverfolgung Operativer Schaden Kompromittierung führt zur Rückstufung in Compliance-Kategorie 1 Datenverarbeitung/Kartenakzeptanz kann untersagt werden

19 Vorbereitung auf den PCI DSS
Einarbeitung in die PCI DSS-Sicherheitsanforderungen Ermittlung aller relevanten Karteninhaberdaten und Entfernung nicht benötigter Daten Sorgfältige Überprüfung der IT-Infrastruktur auf Sicherheitslücken Einrichtung eines Aktionsplans und ggf. Beauftragung externer Datenschutzexperten

20 Kosten der PCI DSS-Compliance
Händler Sicherheits-Audit vor Ort Beantwortung eines PCI-Fragebogens Netzwerk-Scan Kategorie 1 jährlich erforderlich ¼-jährlich erforderlich Kategorie 2 Kategorie 3 Kategorie 4 Dienstleister Durchführung durch: Qualified Security Assessor (QSA) In-House Approved Scan Vendor (ASV) Nachweis: Report on Compliance (ROC) Beantworteter PCI-Fragebogen Scan-Bericht

21 Herausforderungen Betrieb sicherer Systeme und Anwendungen
Netzwerk-Audits Schwachstellen-Scans Patch-/Service Pack-Bereitstellung Überwachung des Netzwerks Protokollierung von Benutzeraktivitäten Protokollierung des Zugriffs auf Karten- inhaberdaten Warnungen bei wichtigen Ereignissen Bereitstellung belegbarer Daten Betrieb sicherer Systeme Überwachung von Aktivitäten Einleitung von Gegenmaßnahmen

22 Automatisierung von Sicherheitskontrollen
Mehr Effizienz bei sich wiederholenden Aufgaben Netzwerk-Audits Schwachstellen-Management Überwachung von Aktivitäten Echtzeit-Warnungen Einleitung von Gegenmaßnahmen Berichterstellung

23 Der PCI DSS und Netzwerksicherheitslösungen von GFI
PCI DSS-Anforderungen 1. n 2. 3. 4. Verschlüsselte Übertragung der Karteninhaberdaten in öffentl. Netzwerken 5. Einsatz und regelmäßige Aktualisierung von Virenschutzlösungen 6. Entwicklung und Betrieb sicherer Systeme und Anwendungen 7. Zugriffsbeschränkung für Kartendaten nach „Kenntnis, nur wenn nötig“ 8. 9. Einschränkung des physikalischen Zugriffs auf Karteninhaberdaten 10. 11. Regelmäßige Überprüfung von Sicherheitssystemen und -abläufen 12. Unternehmensrichtlinie mit Vorgaben zur Informationssicherheit für Mitarbeiter und Vertragspartner GFI EventsManager GFI LANguard N.S.S. Einrichtung & Betrieb einer Firewall zum Schutz der Karteninhaberdaten Änderung v. Herstellern vorgegebener Standardpasswörter/Sicherheitseinstellungen Schutz der Daten von Kreditkarteninhabern Eindeutige Benutzer-ID für Personen mit Zugang zum Computersystem Protokollierung & Überwachung aller Zugriffe a. Netzwerkressourcen & Kartendaten

24 ROI und Geschäftsvorteile
Automatisierung Verringerung wiederkehrender manueller Aufgaben Minderung der Arbeitsbelastung von Administratoren Einleitung proaktiver Gegenmaßnahmen Schutz Erweiterung der unternehmensinternen Sicherheitsrichtlinie Benachrichtigung bei potenziellen Sicherheitsbedrohungen Kosteneinsparungen Keine Geldbußen durch PCI DSS-Verstöße Keine weiteren Zusatzkosten durch externe Sicherheitsberater Business-Continuity

25 Zusammenfassung Unternehmen, die Kreditkartendaten speichern, übermitteln oder verarbeiten, müssen sich vor Datenverlust und -diebstahl absichern Einhaltung des PCI DSS vermeidet Geldbußen, rechtliche Konsequenzen und öffentlichen Image-Schaden Umsetzung des PCI DSS muss bis zum 30. September 2007 erfolgen GFI-Lösungsangebot zur Umsetzung und Einhaltung des PCI DSS: GFI EventsManager und GFI LANguard Network Security Scanner (N.S.S.)

26 Unternehmensinformationen
Gründung: 1992 Über 200 Mitarbeiter weltweit Niederlassungen: Malta, London, Raleigh, Hongkong und Adelaide Lösungen in über Netzwerken weltweit installiert (v. a. bei KMU) Produktvertrieb über mehr als Channel-Partner weltweit GFI Vision-Statement Erste Wahl bei Technologie-lösungen für IT-Sicherheit und Produktivität zu werden. GFI Mission-Statement Unterstützung von IT-Profis weltweit – mit hochwertigen, kosteneffizienten Inhalts-sicherheits-, Netzwerk-sicherheits- und Messaging-Lösungen.

Herunterladen ppt "Der Payment Card Industry Data Security Standard (PCI DSS)"

Ähnliche Präsentationen

Datenschutz im IT-Grundschutz

Datenschutz im IT-Grundschutz
Juristische Aspekte der IT-Sicherheit

Juristische Aspekte der IT-Sicherheit
Integration des Arbeitsschutzes in die Prozesse

Integration des Arbeitsschutzes in die Prozesse
EControl –Identity Lifecycle Management kann so einfach sein Management Erstellung Nutzer-Selbstverwaltung Audit Wolfgang Berger Omni Technology Solutions.

EControl –Identity Lifecycle Management kann so einfach sein Management Erstellung Nutzer-Selbstverwaltung Audit Wolfgang Berger Omni Technology Solutions.
Verwendungszweck: Diese Folien dienen zur Unterstützung von Microsoft Dynamics NAV-Vertriebsmitarbeitern und -Partnern für Produktpräsentationen beim Kunden.

Verwendungszweck: Diese Folien dienen zur Unterstützung von Microsoft Dynamics NAV-Vertriebsmitarbeitern und -Partnern für Produktpräsentationen beim Kunden.
Microsoft Dynamics NAV-Themenfolien

Microsoft Dynamics NAV-Themenfolien
Verwendungszweck: Diese Folien dienen zur Unterstützung von Microsoft Dynamics NAV-Vertriebsmitarbeitern und -Partnern für Produktpräsentationen beim Kunden.

Verwendungszweck: Diese Folien dienen zur Unterstützung von Microsoft Dynamics NAV-Vertriebsmitarbeitern und -Partnern für Produktpräsentationen beim Kunden.
Systemverwaltung wie es Ihnen gefällt.

Systemverwaltung wie es Ihnen gefällt.
Bernd Oberknapp, UB Freiburg

Bernd Oberknapp, UB Freiburg
Lizenzmodelle Miete der Software ASP Nutzungslizenz.

Lizenzmodelle Miete der Software ASP Nutzungslizenz.
PinK Plattform für intelligente Kollaborationsportale Dr. Joachim Quantz, e.V. Berlin, 13. September 2005.

PinK Plattform für intelligente Kollaborationsportale Dr. Joachim Quantz, e.V. Berlin, 13. September 2005.
Datenschutz? Unwissenheit schützt vor Strafe nicht!

Datenschutz? Unwissenheit schützt vor Strafe nicht!
Gesundes Führen lohnt sich !

Gesundes Führen lohnt sich !
Branchennetz Gesundheitswesen IT Grundlagen der

Branchennetz Gesundheitswesen IT Grundlagen der
Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)

Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)
Was ist ITOS? –Das Unternehmen ITOS ist im Bereich Informationstechnologie tätig –Entwicklung von Konzepten wie CMS und CRM für Unternehmen, die die interne.

Was ist ITOS? –Das Unternehmen ITOS ist im Bereich Informationstechnologie tätig –Entwicklung von Konzepten wie CMS und CRM für Unternehmen, die die interne.
Intrusion Detection Systems

Intrusion Detection Systems
Sicherheit Quelle: Aus einem Referat der ASTALAVISTA Group

Sicherheit Quelle: Aus einem Referat der ASTALAVISTA Group
Nestor Workshop im Rahmen der GES 2007 Digitale Langzeitarchivierung und Grid: Gemeinsam sind wir stärker? Anforderungen von eScience und Grid-Technologie.

Nestor Workshop im Rahmen der GES 2007 Digitale Langzeitarchivierung und Grid: Gemeinsam sind wir stärker? Anforderungen von eScience und Grid-Technologie.
Microsoft Cloud OS Auf dem Weg zum optimierten Rechenzentrum

Microsoft Cloud OS Auf dem Weg zum optimierten Rechenzentrum

Ähnliche Präsentationen

Google-Anzeigen