Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Der Payment Card Industry Data Security Standard (PCI DSS)

Ähnliche Präsentationen


Präsentation zum Thema: "Der Payment Card Industry Data Security Standard (PCI DSS)"—  Präsentation transkript:

1 Der Payment Card Industry Data Security Standard (PCI DSS)

2 Überblick Was ist der PCI DSS? Anforderungen für PCI DSS-Compliance Woraus bestehen Daten von Kreditkarteninhabern? Konsequenzen bei fehlender PCI DSS-Konformität Durchführung eines PCI DSS-Audits Kostensenkungen durch automatisierte PCI DSS-Kontrollen

3 Was ist der Payment Card Industry Data Security Standard (PCI DSS)? Sicherheitsstandard mit verpflichtenden Best Practice-Richtlinien zum Schutz der Daten von Kredit- und Debitkarten Ins Leben gerufen von den weltweit größten Kreditkarten- unternehmen, u. a. VISA und MasterCard Bindend für sämtliche Unternehmen, die im Zahlungsverkehr mit Kreditkartendaten arbeiten Gilt für Kreditkartenkäufe im Einzelhandel und E-Commerce sowie per Post und Telefon Vereint als weltweiter einheitlicher Sicherheitsstandard zuvor getrennte Sicherheitsvorgaben der Kartenunternehmen

4 Warum ein Standard wie der PCI DSS? Seit über 20 Jahren ein Problem: Diebstahl und Missbrauch von Kreditkartendaten; stetige Zunahme VISA gründet erstes Schutzprogramm (CISP) Aktueller Fall von Datenabfluss aufgrund unzureichender Schutzmaßnahmen: Netzwerk-Sicherheitslücke beim US- Einzelhändler TJX – mindestens 45,6 Mio. gestohlene Kredit- und Debitkartennummern Aktueller Schwarzmarktpreis für gestohlene Kreditkartendaten (Kartennummer mit PIN): US-$ 490,– (Quelle: InformationWeek)

5 PCI Data Security Standard 1.1 (1/3) Das PCI DSS-Regelwerk zum Datenschutz umfasst 12 Sicherheitsanforderungen, gruppierbar in: >Erfassung und Speicherung aller Daten aus Ereignisprotokollen als Vorbereitung für Sicherheitsanalysen >Berichterstellung zu allen sicherheitsrelevanten Aktivitäten, um PCI DSS-Compliance bei Audits vor Ort nachweisen zu können >Kontinuierliche Überwachung von Datenzugriff und -verwendung und sofortige Administratorwarnung bei Sicherheitsverstößen

6 PCI Data Security Standard 1.1 (2/3) PCI DSS-Kategorien 6 Zielkategorien des PCI DSS-Regelwerks Einrichtung und Betrieb eines geschützten Netzwerks Schutz der Karteninhaberdaten Einrichtung eines Schwachstellen-Management-Systems Durchsetzung einer Richtlinie zur Informationssicherheit Regelmäßige Überwachung und Überprüfung des Netzwerks Umsetzung effektiver Richtlinien zur Zugriffskontrolle

7 PCI Data Security Standard 1.1 (3/3) PCI DSS-Anforderungen Einrichtung und Betrieb einer Firewall zum Schutz der Daten von Kreditkarteninhabern Änderung der von Herstellern vorgegebenen Standardpasswörter und Sicherheitseinstellungen Schutz der gespeicherten Daten von Kreditkarteninhabern Verschlüsselte Übertragung der Daten von Kreditkarteninhabern in öffentlichen Netzwerken Einsatz und regelmäßige Aktualisierung von Virenschutzlösungen Entwicklung und Betrieb sicherer Systeme und Anwendungen Einschränkung des Zugriffs auf Kartendaten nach Grundsatz Kenntnis, nur wenn nötig Zuweisung einer eindeutigen Benutzer-ID an Personen mit Zugang zum Computersystem Einschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern Protokollierung und Überwachung aller Zugriffe auf Netzwerkressourcen und Karteninhaberdaten Regelmäßige Überprüfung von Sicherheitssystemen und -abläufen Unternehmensrichtlinie mit Vorgaben zur Informationssicherheit für Mitarbeiter & Vertragspartner

8 Alle im Rahmen einer Transaktion genutzten Daten einer Kredit- /Debitkarte. - pcianswers.com Bestandteile der Karteninhaberdaten >Primary Account Number (PAN) >Name des Karteninhabers >Ablaufdatum der Karte Sensitive Authentication Data (SAD) >Daten des Magnetstreifens >Card Validation Code (CVC) >Personal Identification Number (PIN) Was sind Karteninhaberdaten?

9 Speicherung von Karteninhaberdaten PCI DSS sorgt für den Schutz von Karteninhaberdaten Folgende Daten dürfen gespeichert werden, solange sie verschlüsselt, gehashed oder trunkiert werden: >PAN, Karteninhabername, Ablaufdatum der Karte, Service-Code

10 Händler leitet Transaktion an Zahlungs-Gateway weiter Zahlungs-Gateway leitet Transaktion über gesicherte Verbindung an Händlerbank weiter Wie funktioniert eine Transaktion? Kunde nutzt die Kreditkarte zur Bezahlung von Waren beim Händler Händlerbank überprüft Bonität (Credit Card Interchange) zur Freigabe der Transaktion

11 Wer ist an den PCI DSS gebunden? Der PCI DSS ist ab 30. September 2007 für alle Unternehmen – ungeachtet ihrer Größe – verbindlich, die im Zahlungsverkehr mit Kreditkartendaten arbeiten Der PCI DSS gilt für alle Beteiligten, die Karteninhaberdaten >speichern >übermitteln >verarbeiten Alle als Händler oder Dienstleister definierten Transaktionsteilnehmer

12 Händler Akzeptanzpartner, die Kreditkarten als Zahlungsmittel annehmen Beispiele für unterschiedliche Branchen: >Online-Händler >Einzelhändler >Bildungseinrichtungen >Einrichtungen aus dem Gesundheitswesen >Hotel- und Gaststättengewerbe und Freizeitbranche >Energieversorger >Finanz- und Versicherungsunternehmen

13 Compliance-Kategorien für Händler HÄNDLERKATEGORIEN Kategorie 1 Händler, deren verwaltete Kreditkartendaten kompromittiert wurden Händler mit jährlich mehr als 6 Mio. Kreditkartentransaktionen Kategorie 2 Händler mit 1 bis 6 Mio. Kreditkartentransaktionen/Jahr Kategorie 3 Händler mit bis 1 Mio. Kreditkartentransaktionen/Jahr Kategorie 4 Alle anderen Händler

14 Dienstleister Organisationen, die Kartendaten im Auftrag von Händlern verarbeiten Beispiele für Dienstleister: >Zahlungs-Gateways (z. B. PayPal) >Zahlungsprozessoren >Host-Provider im E-Commerce >Managed-Service-Provider >Auskunfteien >Backup-Management-Unternehmen >Datenvernichter

15 Compliance-Kategorien für Dienstleister DIENSTLEISTERKATEGORIEN Kategorie 1 Alle Zahlungsprozessoren und Zahlungs-Gateways Kategorie 2 Jeder nicht zur Kategorie 1 zählende Dienstleister mit jährlich mehr als 1 Mio. Kreditkartenabrechnungen/-transaktionen Kategorie 3 Jeder nicht zur Kategorie 1 zählende Dienstleister mit jährlich weniger als 1 Mio. Kreditkartenabrechnungen/-transaktionen

16 HändlerSicherheits-Audit vor Ort Beantwortung eines PCI-Fragebogens Netzwerk-Scan Kategorie 1jährlich erforderlich¼-jährlich erforderlich Kategorie 2jährlich erforderlich¼-jährlich erforderlich Kategorie 3jährlich erforderlich¼-jährlich erforderlich Kategorie 4jährlich erforderlich¼-jährlich erforderlich Dienstleister Kategorie 1jährlich erforderlich¼-jährlich erforderlich Kategorie 2jährlich erforderlich¼-jährlich erforderlich Kategorie 3jährlich erforderlich¼-jährlich erforderlich Durchführung durch: Qualified Security Assessor (QSA) In-HouseApproved Scan Vendor (ASV) Nachweis:Report on Compliance (ROC) Beantworteter PCI- Fragebogen Scan-Bericht Maßnahmen zur Kontrolle der PCI DSS-Compliance

17 Kompromittierung von Karteninhaberdaten Kompromittierung: Eindringung in ein Computersystem mit mutmaßlich unbefugter Veröffentlichung, Änderung oder Vernichtung von Karteninhaberdaten. - PCI DSS Glossary Notfall-Plan (Incident Response Plan) >Anforderung 12.9 Warum eine Kompromittierung melden? >Schadensbegrenzung Vorfallsübermittlung an: >Internes Interventionsteam (Incident Response Team) >Verbund der Kreditkartenunternehmen und Händlerbanken >Lokale Strafverfolger Wer setzt sich dem Risiko einer Kompromittierung aus?

18 Folgen der Datenkompromittierung Wirtschaftlicher Schaden >Strafzahlungen in mittlerer sechsstelliger Höhe sind möglich; weitere Rechtskosten drohen Image-Schaden >Schädigung des Markennamens/Unternehmensansehens >Strafverfolgung Operativer Schaden >Kompromittierung führt zur Rückstufung in Compliance-Kategorie 1 >Datenverarbeitung/Kartenakzeptanz kann untersagt werden

19 Vorbereitung auf den PCI DSS Einarbeitung in die PCI DSS-Sicherheitsanforderungen Ermittlung aller relevanten Karteninhaberdaten und Entfernung nicht benötigter Daten Sorgfältige Überprüfung der IT-Infrastruktur auf Sicherheitslücken Einrichtung eines Aktionsplans und ggf. Beauftragung externer Datenschutzexperten

20 Kosten der PCI DSS-Compliance HändlerSicherheits-Audit vor Ort Beantwortung eines PCI-Fragebogens Netzwerk-Scan Kategorie 1jährlich erforderlich¼-jährlich erforderlich Kategorie 2jährlich erforderlich¼-jährlich erforderlich Kategorie 3jährlich erforderlich¼-jährlich erforderlich Kategorie 4jährlich erforderlich¼-jährlich erforderlich Dienstleister Kategorie 1jährlich erforderlich¼-jährlich erforderlich Kategorie 2jährlich erforderlich¼-jährlich erforderlich Kategorie 3jährlich erforderlich¼-jährlich erforderlich Durchführung durch: Qualified Security Assessor (QSA) In-HouseApproved Scan Vendor (ASV) Nachweis:Report on Compliance (ROC) Beantworteter PCI- Fragebogen Scan-Bericht

21 Herausforderungen Betrieb sicherer Systeme und Anwendungen >Netzwerk-Audits >Schwachstellen-Scans >Patch-/Service Pack-Bereitstellung Überwachung des Netzwerks >Protokollierung von Benutzeraktivitäten >Protokollierung des Zugriffs auf Karten- inhaberdaten >Warnungen bei wichtigen Ereignissen Bereitstellung belegbarer Daten >Betrieb sicherer Systeme >Überwachung von Aktivitäten >Einleitung von Gegenmaßnahmen

22 Automatisierung von Sicherheitskontrollen Mehr Effizienz bei sich wiederholenden Aufgaben Netzwerk-Audits Schwachstellen-Management Überwachung von Aktivitäten Echtzeit-Warnungen Einleitung von Gegenmaßnahmen Berichterstellung

23 Der PCI DSS und Netzwerksicherheitslösungen von GFI PCI DSS-Anforderungen Verschlüsselte Übertragung der Karteninhaberdaten in öffentl. Netzwerken 5. Einsatz und regelmäßige Aktualisierung von Virenschutzlösungen 6. Entwicklung und Betrieb sicherer Systeme und Anwendungen 7. Zugriffsbeschränkung für Kartendaten nach Kenntnis, nur wenn nötig Einschränkung des physikalischen Zugriffs auf Karteninhaberdaten Regelmäßige Überprüfung von Sicherheitssystemen und -abläufen 12. Unternehmensrichtlinie mit Vorgaben zur Informationssicherheit für Mitarbeiter und Vertragspartner Einrichtung & Betrieb einer Firewall zum Schutz der Karteninhaberdaten Änderung v. Herstellern vorgegebener Standardpasswörter/Sicherheitseinstellungen Schutz der Daten von Kreditkarteninhabern Eindeutige Benutzer-ID für Personen mit Zugang zum Computersystem GFI EventsManager Protokollierung & Überwachung aller Zugriffe a. Netzwerkressourcen & Kartendaten GFI LANguard N.S.S.

24 ROI und Geschäftsvorteile Automatisierung >Verringerung wiederkehrender manueller Aufgaben >Minderung der Arbeitsbelastung von Administratoren >Einleitung proaktiver Gegenmaßnahmen Schutz >Erweiterung der unternehmensinternen Sicherheitsrichtlinie >Benachrichtigung bei potenziellen Sicherheitsbedrohungen Kosteneinsparungen >Keine Geldbußen durch PCI DSS-Verstöße >Keine weiteren Zusatzkosten durch externe Sicherheitsberater >Business-Continuity

25 Zusammenfassung Unternehmen, die Kreditkartendaten speichern, übermitteln oder verarbeiten, müssen sich vor Datenverlust und -diebstahl absichern Einhaltung des PCI DSS vermeidet Geldbußen, rechtliche Konsequenzen und öffentlichen Image-Schaden Umsetzung des PCI DSS muss bis zum 30. September 2007 erfolgen GFI-Lösungsangebot zur Umsetzung und Einhaltung des PCI DSS: GFI EventsManager und GFI LANguard Network Security Scanner (N.S.S.)

26 Unternehmensinformationen Gründung: 1992 Über 200 Mitarbeiter weltweit Niederlassungen: Malta, London, Raleigh, Hongkong und Adelaide Lösungen in über Netzwerken weltweit installiert (v. a. bei KMU) Produktvertrieb über mehr als Channel-Partner weltweit GFI Vision-Statement Erste Wahl bei Technologie- lösungen für IT-Sicherheit und Produktivität zu werden. GFI Mission-Statement Unterstützung von IT-Profis weltweit – mit hochwertigen, kosteneffizienten Inhalts- sicherheits-, Netzwerk- sicherheits- und Messaging- Lösungen.


Herunterladen ppt "Der Payment Card Industry Data Security Standard (PCI DSS)"

Ähnliche Präsentationen


Google-Anzeigen