PCI DSS: Firmen müssen Kreditkartendaten besser schützen

Ab sofort müssen Banken, Händler und andere Firmen, die mit Kreditkartendaten hantieren, den Zugang dazu übers Netz mit Multifaktor-Authentifizierung absichern. Das ist eine der wichtigsten Neuerungen des soeben verabschiedeten Sicherheitsstandards PCI DSS 3.2, der ab sofort in Kraft tritt.

Der Payment Card Industry Data Security Standard (PCI DSS) legt Mindestvoraussetzungen fest, die von allen Mitgliedsbanken, Händlern und Dienstleistern einzuhalten sind, die Karteninhaberdaten der fünf internationalen Zahlungssysteme American Express, Discover Financial Services, JCB International, MasterCard und Visa Inc. speichern, verarbeiten oder übermitteln.

Auditoren in Form eines sogenannten Qualified Security Assessors überprüfen als unabhängige Dritte weltweit die Umsetzung unter anderem durch vor Ort Begehungen bei Dienstleistern und großen Händlern. Bis zum 31. Oktober darf wahlweise noch nach dem alten Standard PCI DSS 3.1 getestet werden; ab da ist dann 3.2 verbindlich. Für die Umsetzung neuer Anforderungen gibt es noch eine Frist bis zum 1. Februar 2018, bis zu der diese nur als "Best Practices" gelten.

Neuerungen in PCI DSS 3.2

In der vom PCI Security Standards Council am 28.04.2016 verabschiedeten Version 3.2 wurden viele Klarstellungen und Hilfestellungen in den Anforderungskatalog integriert, um die eigentliche Intention der einzelnen Anforderungen deutlicher hervorzuheben. Des Weiteren wurden neue oder erweiterte Anforderungen entwickelt, um neue Gefährdungen und Marktveränderungen geeignet zu begegnen. Die wichtigsten der umfangreichen Neuerungen kompakt zusammen gefasst:

• Multi-Faktor-Authentifizierung für alle Nutzer und Administratoren, die über Fernzugriff auf die Karteninhaberdaten verarbeitende Umgebung zugreifen (Cardholder Data Environment oder CDE).
• Dienstleister müssen die kryptografische Architektur dokumentieren und vorhalten.
• Dienstleister müssen einen Prozess zur frühzeitigen Erkennung, Dokumentation und Reaktion auf Fehler bei kritischen Sicherheitskontrollsystemen etablieren.
• Dienstleister müssen genutzte Segmentierungsmaßnahmen und -methoden im Rahmen von Penetrations-Tests regelmäßig alle sechs Monate sowie bei einer Veränderung der Maßnahmen und Methoden zur Segmentierung auf ihre Wirksamkeit untersuchen lassen.
• Die Unternehmungsleitung eines Dienstleisters muss Verantwortlichkeiten zum Schutz von Karteninhaberdaten und für ein PCI-DSS-Konformitätsprogramm etablieren.
• Dienstleister müssen quartalsweise überprüfen, ob das Personal die Sicherheitspolitik und die Arbeitsanweisungen befolgen.
• Erweiterung der Change-Management-Prozesse um eine Analyse, ob und welche PCI-DSS-Anforderungen für die Änderungen anzupassen oder neu einzuführen sind.

Einschätzung

Mit PCI DSS 3.2 sind viele Verschärfungen und Erweiterungen vorgenommen worden, welche die Kosten für einen konformen Betrieb nach PCI DSS weiter in die Höhe schnellen lassen. Allerdings zeigen die in der jüngeren Vergangenheit veröffentlichten Angriffe und Abgriffe von Kartendaten deutlichen Handlungsbedarf auf.

Der PCI Security Standards Council wollte offenbar ein klares Zeichen setzen, dass nur Unternehmen mit Kartendaten in Berührung kommen sollen, die sich bewusst sind, was für einen Unternehmenswert Karteninhaberdaten darstellen und wie diese zu schützen sind. (ju)