Der Payment Card Industry Data Security Standard (PCI DSS)
Überblick Was ist der PCI DSS? Anforderungen für PCI DSS-Compliance Woraus bestehen Daten von Kreditkarteninhabern? Konsequenzen bei fehlender PCI DSS-Konformität Durchführung eines PCI DSS-Audits Kostensenkungen durch automatisierte PCI DSS-Kontrollen
Was ist der Payment Card Industry Data Security Standard (PCI DSS)? Sicherheitsstandard mit verpflichtenden Best Practice-Richtlinien zum Schutz der Daten von Kredit- und Debitkarten Ins Leben gerufen von den weltweit größten Kreditkarten-unternehmen, u. a. VISA und MasterCard Bindend für sämtliche Unternehmen, die im Zahlungsverkehr mit Kreditkartendaten arbeiten Gilt für Kreditkartenkäufe im Einzelhandel und E-Commerce sowie per Post und Telefon Vereint als weltweiter einheitlicher Sicherheitsstandard zuvor getrennte Sicherheitsvorgaben der Kartenunternehmen
Warum ein Standard wie der PCI DSS? Seit über 20 Jahren ein Problem: Diebstahl und Missbrauch von Kreditkartendaten; stetige Zunahme VISA gründet erstes Schutzprogramm (CISP) Aktueller Fall von Datenabfluss aufgrund unzureichender Schutzmaßnahmen: Netzwerk-Sicherheitslücke beim US-Einzelhändler TJX – mindestens 45,6 Mio. gestohlene Kredit- und Debitkartennummern Aktueller Schwarzmarktpreis für gestohlene Kreditkartendaten (Kartennummer mit PIN): US-$ 490,– (Quelle: InformationWeek)
PCI Data Security Standard 1.1 (1/3) Das PCI DSS-Regelwerk zum Datenschutz umfasst 12 Sicherheitsanforderungen, gruppierbar in: Erfassung und Speicherung aller Daten aus Ereignisprotokollen als Vorbereitung für Sicherheitsanalysen Berichterstellung zu allen sicherheitsrelevanten Aktivitäten, um PCI DSS-Compliance bei Audits vor Ort nachweisen zu können Kontinuierliche Überwachung von Datenzugriff und -verwendung und sofortige Administratorwarnung bei Sicherheitsverstößen
PCI Data Security Standard 1.1 (2/3) 6 Zielkategorien des PCI DSS-Regelwerks PCI DSS-Kategorien Einrichtung und Betrieb eines geschützten Netzwerks Schutz der Karteninhaberdaten Einrichtung eines Schwachstellen-Management-Systems Umsetzung effektiver Richtlinien zur Zugriffskontrolle Regelmäßige Überwachung und Überprüfung des Netzwerks Durchsetzung einer Richtlinie zur Informationssicherheit
PCI Data Security Standard 1.1 (3/3) PCI DSS-Anforderungen 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. Einrichtung und Betrieb einer Firewall zum Schutz der Daten von Kreditkarteninhabern Änderung der von Herstellern vorgegebenen Standardpasswörter und Sicherheitseinstellungen Schutz der gespeicherten Daten von Kreditkarteninhabern Verschlüsselte Übertragung der Daten von Kreditkarteninhabern in öffentlichen Netzwerken Einsatz und regelmäßige Aktualisierung von Virenschutzlösungen Entwicklung und Betrieb sicherer Systeme und Anwendungen Einschränkung des Zugriffs auf Kartendaten nach Grundsatz „Kenntnis, nur wenn nötig“ Zuweisung einer eindeutigen Benutzer-ID an Personen mit Zugang zum Computersystem Einschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern Protokollierung und Überwachung aller Zugriffe auf Netzwerkressourcen und Karteninhaberdaten Regelmäßige Überprüfung von Sicherheitssystemen und -abläufen Unternehmensrichtlinie mit Vorgaben zur Informationssicherheit für Mitarbeiter & Vertragspartner
Was sind Karteninhaberdaten? Alle im Rahmen einer Transaktion genutzten Daten einer Kredit-/Debitkarte. - pcianswers.com Bestandteile der Karteninhaberdaten Primary Account Number (PAN) Name des Karteninhabers Ablaufdatum der Karte Sensitive Authentication Data (SAD) Daten des Magnetstreifens Card Validation Code (CVC) Personal Identification Number (PIN) 1234 123
Speicherung von Karteninhaberdaten PCI DSS sorgt für den Schutz von Karteninhaberdaten Folgende Daten dürfen gespeichert werden, solange sie verschlüsselt, gehashed oder trunkiert werden: PAN, Karteninhabername, Ablaufdatum der Karte, Service-Code
Wie funktioniert eine Transaktion? Ž Œ Händlerbank überprüft Bonität („Credit Card Interchange“) zur Freigabe der Transaktion Œ Kunde nutzt die Kreditkarte zur Bezahlung von Waren beim Händler Ž Zahlungs-Gateway leitet Transaktion über gesicherte Verbindung an Händlerbank weiter Händler leitet Transaktion an Zahlungs-Gateway weiter
Wer ist an den PCI DSS gebunden? Der PCI DSS ist ab 30. September 2007 für alle Unternehmen – ungeachtet ihrer Größe – verbindlich, die im Zahlungsverkehr mit Kreditkartendaten arbeiten Der PCI DSS gilt für alle Beteiligten, die Karteninhaberdaten speichern übermitteln verarbeiten Alle als Händler oder Dienstleister definierten Transaktionsteilnehmer
Händler Akzeptanzpartner, die Kreditkarten als Zahlungsmittel annehmen Beispiele für unterschiedliche Branchen: Online-Händler Einzelhändler Bildungseinrichtungen Einrichtungen aus dem Gesundheitswesen Hotel- und Gaststättengewerbe und Freizeitbranche Energieversorger Finanz- und Versicherungsunternehmen
Compliance-Kategorien für Händler HÄNDLERKATEGORIEN Kategorie 1 Händler, deren verwaltete Kreditkartendaten kompromittiert wurden Händler mit jährlich mehr als 6 Mio. Kreditkartentransaktionen Kategorie 2 Händler mit 1 bis 6 Mio. Kreditkartentransaktionen/Jahr Kategorie 3 Händler mit 20.000 bis 1 Mio. Kreditkartentransaktionen/Jahr Kategorie 4 Alle anderen Händler
Dienstleister Organisationen, die Kartendaten im Auftrag von Händlern verarbeiten Beispiele für Dienstleister: Zahlungs-Gateways (z. B. PayPal) Zahlungsprozessoren Host-Provider im E-Commerce Managed-Service-Provider Auskunfteien Backup-Management-Unternehmen Datenvernichter
Compliance-Kategorien für Dienstleister DIENSTLEISTERKATEGORIEN Kategorie 1 Alle Zahlungsprozessoren und Zahlungs-Gateways Kategorie 2 Jeder nicht zur Kategorie 1 zählende Dienstleister mit jährlich mehr als 1 Mio. Kreditkartenabrechnungen/-transaktionen Kategorie 3 Jeder nicht zur Kategorie 1 zählende Dienstleister mit jährlich weniger als 1 Mio. Kreditkartenabrechnungen/-transaktionen
Maßnahmen zur Kontrolle der PCI DSS-Compliance Händler Sicherheits-Audit vor Ort Beantwortung eines PCI-Fragebogens Netzwerk-Scan Kategorie 1 jährlich erforderlich ¼-jährlich erforderlich Kategorie 2 Kategorie 3 Kategorie 4 Dienstleister Durchführung durch: Qualified Security Assessor (QSA) In-House Approved Scan Vendor (ASV) Nachweis: Report on Compliance (ROC) Beantworteter PCI-Fragebogen Scan-Bericht
Kompromittierung von Karteninhaberdaten „Kompromittierung: Eindringung in ein Computersystem mit mutmaßlich unbefugter Veröffentlichung, Änderung oder Vernichtung von Karteninhaberdaten.“ - PCI DSS Glossary Notfall-Plan (Incident Response Plan) Anforderung 12.9 Warum eine Kompromittierung melden? Schadensbegrenzung Vorfallsübermittlung an: Internes Interventionsteam (Incident Response Team) Verbund der Kreditkartenunternehmen und Händlerbanken Lokale Strafverfolger Wer setzt sich dem Risiko einer Kompromittierung aus?
Folgen der Datenkompromittierung Wirtschaftlicher Schaden Strafzahlungen in mittlerer sechsstelliger Höhe sind möglich; weitere Rechtskosten drohen Image-Schaden Schädigung des Markennamens/Unternehmensansehens Strafverfolgung Operativer Schaden Kompromittierung führt zur Rückstufung in Compliance-Kategorie 1 Datenverarbeitung/Kartenakzeptanz kann untersagt werden
Vorbereitung auf den PCI DSS Einarbeitung in die PCI DSS-Sicherheitsanforderungen Ermittlung aller relevanten Karteninhaberdaten und Entfernung nicht benötigter Daten Sorgfältige Überprüfung der IT-Infrastruktur auf Sicherheitslücken Einrichtung eines Aktionsplans und ggf. Beauftragung externer Datenschutzexperten
Kosten der PCI DSS-Compliance Händler Sicherheits-Audit vor Ort Beantwortung eines PCI-Fragebogens Netzwerk-Scan Kategorie 1 jährlich erforderlich ¼-jährlich erforderlich Kategorie 2 Kategorie 3 Kategorie 4 Dienstleister Durchführung durch: Qualified Security Assessor (QSA) In-House Approved Scan Vendor (ASV) Nachweis: Report on Compliance (ROC) Beantworteter PCI-Fragebogen Scan-Bericht
Herausforderungen Betrieb sicherer Systeme und Anwendungen Netzwerk-Audits Schwachstellen-Scans Patch-/Service Pack-Bereitstellung Überwachung des Netzwerks Protokollierung von Benutzeraktivitäten Protokollierung des Zugriffs auf Karten- inhaberdaten Warnungen bei wichtigen Ereignissen Bereitstellung belegbarer Daten Betrieb sicherer Systeme Überwachung von Aktivitäten Einleitung von Gegenmaßnahmen
Automatisierung von Sicherheitskontrollen Mehr Effizienz bei sich wiederholenden Aufgaben Netzwerk-Audits Schwachstellen-Management Überwachung von Aktivitäten Echtzeit-Warnungen Einleitung von Gegenmaßnahmen Berichterstellung
Der PCI DSS und Netzwerksicherheitslösungen von GFI PCI DSS-Anforderungen 1. n 2. 3. 4. Verschlüsselte Übertragung der Karteninhaberdaten in öffentl. Netzwerken 5. Einsatz und regelmäßige Aktualisierung von Virenschutzlösungen 6. Entwicklung und Betrieb sicherer Systeme und Anwendungen 7. Zugriffsbeschränkung für Kartendaten nach „Kenntnis, nur wenn nötig“ 8. 9. Einschränkung des physikalischen Zugriffs auf Karteninhaberdaten 10. 11. Regelmäßige Überprüfung von Sicherheitssystemen und -abläufen 12. Unternehmensrichtlinie mit Vorgaben zur Informationssicherheit für Mitarbeiter und Vertragspartner GFI EventsManager GFI LANguard N.S.S. Einrichtung & Betrieb einer Firewall zum Schutz der Karteninhaberdaten Änderung v. Herstellern vorgegebener Standardpasswörter/Sicherheitseinstellungen Schutz der Daten von Kreditkarteninhabern Eindeutige Benutzer-ID für Personen mit Zugang zum Computersystem Protokollierung & Überwachung aller Zugriffe a. Netzwerkressourcen & Kartendaten
ROI und Geschäftsvorteile Automatisierung Verringerung wiederkehrender manueller Aufgaben Minderung der Arbeitsbelastung von Administratoren Einleitung proaktiver Gegenmaßnahmen Schutz Erweiterung der unternehmensinternen Sicherheitsrichtlinie Benachrichtigung bei potenziellen Sicherheitsbedrohungen Kosteneinsparungen Keine Geldbußen durch PCI DSS-Verstöße Keine weiteren Zusatzkosten durch externe Sicherheitsberater Business-Continuity
Zusammenfassung Unternehmen, die Kreditkartendaten speichern, übermitteln oder verarbeiten, müssen sich vor Datenverlust und -diebstahl absichern Einhaltung des PCI DSS vermeidet Geldbußen, rechtliche Konsequenzen und öffentlichen Image-Schaden Umsetzung des PCI DSS muss bis zum 30. September 2007 erfolgen GFI-Lösungsangebot zur Umsetzung und Einhaltung des PCI DSS: GFI EventsManager und GFI LANguard Network Security Scanner (N.S.S.)
Unternehmensinformationen Gründung: 1992 Über 200 Mitarbeiter weltweit Niederlassungen: Malta, London, Raleigh, Hongkong und Adelaide Lösungen in über 200.000 Netzwerken weltweit installiert (v. a. bei KMU) Produktvertrieb über mehr als 10.000 Channel-Partner weltweit GFI Vision-Statement Erste Wahl bei Technologie-lösungen für IT-Sicherheit und Produktivität zu werden. GFI Mission-Statement Unterstützung von IT-Profis weltweit – mit hochwertigen, kosteneffizienten Inhalts-sicherheits-, Netzwerk-sicherheits- und Messaging-Lösungen.