Zum Inhalt

Webinar: Melden Sie sich jetzt für unser kommendes Webinar an!

Jetzt registrieren

  1. Blogs
    2. Verschlüsselung

PCI-Konformitätsspezifikation

Geschrieben vonManimit Haldar 09 Minuten
Die Payment Card Industry Data Security Standards (PCI DSS) bieten insgesamt 12 Anforderungen zur Sicherung von Karteninhaberdaten, die von Organisationen gespeichert, verarbeitet und übertragen werden können.
Inhaltsverzeichnis

Datensicherheitsstandards der Zahlungskartenindustrie (PCI DSS) Der Standard enthält insgesamt zwölf Anforderungen zur Sicherung von Karteninhaberdaten, die von Organisationen gespeichert, verarbeitet und übermittelt werden können. Er bietet eine Fülle von Sicherheitsinformationen, was es Organisationen erschweren kann, Prioritäten für die Einhaltung der Vorschriften festzulegen. 

In diesem Artikel stellen wir einen priorisierten Ansatz vor, der den PCI-Sicherheitsstandards entspricht und Organisationen dabei helfen soll zu verstehen, wo sie ansetzen sollten und wie sie Risiken im Compliance-Prozess reduzieren können.

Was ist der Prioritätenansatz?

Der priorisierte Ansatz sieht sechs wichtige Sicherheitsmeilensteine ​​vor, die Unternehmen dabei helfen, Risikofaktoren und eskalierende Bedrohungen abzusichern und gleichzeitig die PCI-DSS-Vorgaben zu erfüllen.

Meilensteine ​​für den priorisierten Ansatz

Der priorisierte Ansatz umfasst sechs Meilensteine. Die folgende Tabelle fasst die übergeordneten Ziele und Absichten jedes Meilensteins zusammen. 

MilestoneZiel
1

Entfernen Sie vertrauliche Authentifizierungsdaten und beschränken Sie die Datenspeicherung.

Benötigt eine Organisation keine sensiblen Authentifizierungsdaten und andere Karteninhaberdaten, kann sie diese einfach entfernen, wodurch das Risiko eines Datenlecks erheblich verringert wird.

2

Schutz von Systemen und Netzwerken und Vorbereitung auf die Reaktion auf einen Systemverstoß.

Um dieses Ziel zu erreichen, sollten sich Organisationen auf Zugangspunkte und Reaktionsprozesse konzentrieren.

3

Sichern von Zahlungskartenanwendungen.

Um dieses Ziel zu erreichen, sollten sich Organisationen auf die Kontrolle der Anwendung, der Anwendungsprozesse und der Server konzentrieren. Schwächen und Sicherheitslücken in diesen Bereichen würden einen einfachen Zugriff auf Karteninhaberdaten und andere Informationen ermöglichen.

4

Überwachung und Zugriffskontrolle auf Systeme.

Organisationen sollten sich darauf konzentrieren, wer, was, wann und wie etwas oder jemand auf die Karteninhaberinformationen, das Netzwerk und die Datenumgebungen zugreift.

5

Schutz gespeicherter Karteninhaberdaten.

Organisationen müssen Karteninhaberdaten angemessen schützen. Dazu gehören unter anderem primäre Kontonummern, Meilenstein-Fünf-Ziele und wichtige Schutzmechanismen für diese gespeicherten Daten.

6

Die verbleibenden Maßnahmen zur Einhaltung der Vorschriften werden abgeschlossen und sichergestellt, dass alle Kontrollmechanismen vorhanden sind.

Mit diesem Ziel sollen die PCI-DSS-Anforderungen erfüllt und die verbleibenden Richtlinien, Verfahren und Prozesse finalisiert werden, die für einen angemessenen Schutz der Karteninhaberumgebung erforderlich sind.

Maßgeschneiderte Verschlüsselungsdienste

Wir bewerten, entwickeln Strategien und implementieren Verschlüsselungsstrategien und -lösungen.

Mehr erfahren

Milestone

123456

PCI DSS-Anforderungen

Voraussetzung 1

Installieren und verwalten Sie eine Firewall-Konfiguration zum Schutz der Karteninhaberdaten

  1. Erstellen und implementieren Sie Firewall- und Router-Konfigurationsstandards, die Folgendes umfassen:
    1. Ein formaler Prozess zur Genehmigung und Prüfung aller Netzwerkverbindungen und Änderungen an der Firewall- und Routerkonfiguration
    2. Aktuelles Netzwerkdiagramm, das alle Verbindungen zwischen der Karteninhaberdatenumgebung und anderen Netzwerken, einschließlich aller drahtlosen Netzwerke, identifiziert
    3. Aktuelles Diagramm, das alle Karteninhaberdatenflüsse über Systeme und Netzwerke hinweg zeigt
    4. Anforderungen für eine Firewall an jeder Internetverbindung und zwischen jeder demilitarisierten Zone (DMZ) und der internen Netzwerkzone
    5. Beschreibung der Gruppen, Rollen und Verantwortlichkeiten für die Verwaltung von Netzwerkkomponenten
    6. Dokumentation der geschäftlichen Begründung und Genehmigung für die Verwendung aller zulässigen Dienste, Protokolle und Ports, einschließlich der Dokumentation der Sicherheitsfunktionen, die für die als unsicher geltenden Protokolle implementiert wurden.
    7. Anforderung, Firewall- und Router-Regelsätze mindestens alle sechs Monate zu überprüfen
  2. Erstellen Sie Firewall- und Routerkonfigurationen, die Verbindungen zwischen nicht vertrauenswürdigen Netzwerken und allen Systemkomponenten in der Karteninhaberdatenumgebung einschränken.
    1. Beschränken Sie den ein- und ausgehenden Datenverkehr auf das für die Karteninhaberdatenumgebung erforderliche Maß und verweigern Sie ausdrücklich allen anderen Datenverkehr.
    2. Sichern und synchronisieren Sie Router-Konfigurationsdateien.
    3. Installieren Sie Perimeter-Firewalls zwischen allen drahtlosen Netzwerken und der Karteninhaberdatenumgebung und konfigurieren Sie diese Firewalls so, dass sie den Datenverkehr zwischen der drahtlosen Umgebung und der Karteninhaberdatenumgebung blockieren oder, wenn dieser für geschäftliche Zwecke erforderlich ist, nur autorisierten Datenverkehr zulassen.
  3. Verhindern Sie den direkten öffentlichen Zugriff zwischen dem Internet und allen Systemkomponenten in der Karteninhaberdatenumgebung.
    1. Implementieren Sie eine DMZ, um den eingehenden Datenverkehr auf Systemkomponenten zu beschränken, die autorisierte, öffentlich zugängliche Dienste, Protokolle und Ports bereitstellen.
    2. Beschränken Sie den eingehenden Internetverkehr auf IP-Adressen innerhalb der DMZ.
    3. Implementieren Sie Anti-Spoofing-Maßnahmen, um gefälschte Quell-IP-Adressen zu erkennen und zu blockieren, damit sie nicht in das Netzwerk gelangen.
    4. Lassen Sie keinen unbefugten ausgehenden Datenverkehr aus der Karteninhaberdatenumgebung ins Internet zu.
    5. Erlauben Sie nur „hergestellte“ Verbindungen in das Netzwerk.
    6. Platzieren Sie Systemkomponenten, die Karteninhaberdaten speichern (z. B. eine Datenbank), in einer internen Netzwerkzone, getrennt von der DMZ und anderen nicht vertrauenswürdigen Netzwerken.
    7. Geben Sie private IP-Adressen und Routing-Informationen nicht an Unbefugte weiter.
  4. Installieren Sie auf allen tragbaren Geräten, die außerhalb des Netzwerks eine Internetverbindung herstellen und auch für den Zugriff auf das CDE verwendet werden, eine Firewall-Software oder eine gleichwertige Funktion. Die Firewall-Konfigurationen (oder eine gleichwertige Konfiguration) umfassen:
    1. Es werden spezifische Konfigurationseinstellungen definiert.
    2. Die persönliche Firewall (oder eine gleichwertige Funktionalität) ist aktiv ausgeführt.
    3. Die persönliche Firewall (oder eine gleichwertige Funktionalität) kann von den Benutzern tragbarer Computergeräte nicht geändert werden.
  5. Stellen Sie sicher, dass Sicherheitsrichtlinien und Betriebsverfahren für die Verwaltung von Firewalls dokumentiert, verwendet und allen betroffenen Parteien bekannt sind.

Maßgeschneiderte Verschlüsselungsdienste

Wir bewerten, entwickeln Strategien und implementieren Verschlüsselungsstrategien und -lösungen.

Mehr erfahren

Voraussetzung 2

Verwenden Sie keine vom Hersteller bereitgestellten Standardeinstellungen für Systemkennwörter und andere Sicherheitsparameter.

  1. Ändern Sie immer die vom Hersteller bereitgestellten Standardeinstellungen und entfernen oder deaktivieren Sie unnötige Standardkonten, bevor Sie ein System im Netzwerk installieren
    1. Für drahtlose Umgebungen, die mit der Karteninhaberdatenumgebung verbunden sind oder Karteninhaberdaten übertragen, ändern Sie ALLE Standardeinstellungen des drahtlosen Anbieters bei der Installation, einschließlich, aber nicht beschränkt auf die Standardeinstellungen für drahtlose Verschlüsselung Schlüssel, Passwörter und SNMP-Community-Strings
  2. Entwickeln Sie Konfigurationsstandards für alle Systemkomponenten. Stellen Sie sicher, dass diese Standards alle bekannten Sicherheitslücken schließen und mit branchenüblichen Standards zur Systemhärtung übereinstimmen. Mögliche Quellen für branchenübliche Standards zur Systemhärtung sind unter anderem:
    1. Zentrum für Internetsicherheit (CIS)
    2. Internationale Organisation für Normung (ISO)
    3. SysAdmin Audit Network Security (SANS) Institut
    4. Nationales Institut für Standardtechnologie (NIST)
      1. Implementiert nur eine primäre Funktion pro Server, um zu verhindern, dass Funktionen, die unterschiedliche Sicherheitsstufen erfordern, auf demselben Server koexistieren.
      2. Aktivieren Sie nur die für die Funktion des Systems erforderlichen Dienste, Protokolle, Daemons usw.
      3. Implementieren Sie zusätzliche Sicherheitsfunktionen für alle erforderlichen Dienste, Protokolle oder Daemons, die als unsicher gelten.
      4. Konfigurieren Sie die Systemsicherheitsparameter, um Missbrauch zu verhindern.
      5. Entfernen Sie alle unnötigen Funktionen wie Skripte, Treiber, Features, Subsysteme, Dateisysteme und unnötige Webserver.
  3. Verschlüsseln Sie alle nicht über die Konsole erfolgenden Administratorzugriffe mithilfe starker Kryptografie.
  4. Führen Sie ein Inventar der Systemkomponenten, die in den Geltungsbereich von PCI DSS fallen.
  5. Stellen Sie sicher, dass Sicherheitsrichtlinien und Betriebsverfahren zur Verwaltung von Lieferantenstandards und anderen Sicherheitsparametern dokumentiert, verwendet und allen betroffenen Parteien bekannt sind.
  6. Anbieter von Shared Hosting müssen die gehostete Umgebung und die Karteninhaberdaten jeder Entität schützen.

Voraussetzung 3

Schützen Sie gespeicherte Karteninhaberdaten

  1. Reduzieren Sie die Speicherung von Karteninhaberdaten auf ein Minimum, indem Sie Richtlinien, Verfahren und Prozesse zur Datenaufbewahrung und -entsorgung implementieren, die für die Speicherung aller Karteninhaberdaten (CHD) mindestens Folgendes umfassen:
    • Begrenzen Sie die Datenspeichermenge und -aufbewahrungszeit auf das für gesetzliche, behördliche und/oder geschäftliche Anforderungen erforderliche Maß.
    • Spezifische Aufbewahrungsanforderungen für Karteninhaberdaten.
    • Prozesse zum sicheren Löschen von Daten, wenn diese nicht mehr benötigt werden.
    • Ein vierteljährlicher Prozess zum Identifizieren und sicheren Löschen gespeicherter Karteninhaberdaten, die die definierte Aufbewahrungsdauer überschreiten.
  2. Speichern Sie nach der Autorisierung keine vertraulichen Authentifizierungsdaten (auch nicht verschlüsselt). Wenn vertrauliche Authentifizierungsdaten empfangen werden, machen Sie alle Daten nach Abschluss des Autorisierungsvorgangs unwiederbringlich.
    Es ist für Aussteller und Unternehmen, die Ausgabedienste unterstützen, zulässig, vertrauliche Authentifizierungsdaten zu speichern, wenn:
    • Es gibt eine geschäftliche Begründung und
    • Die Daten werden sicher gespeichert.
  3. Speichern Sie nach der Autorisierung nicht den vollständigen Inhalt einer Spur (vom Magnetstreifen auf der Rückseite einer Karte, gleichwertige Daten auf einem Chip oder anderswo). Diese Daten werden alternativ als vollständige Spur, Spur, Spur 1, Spur 2 und Magnetstreifendaten bezeichnet.
  4. Speichern Sie den Kartenprüfcode oder -wert (drei- oder vierstellige Zahl auf der Vorder- oder Rückseite einer Zahlungskarte, die zur Überprüfung von Transaktionen ohne Karte verwendet wird) nach der Autorisierung nicht.
  5. Speichern Sie die persönliche Identifikationsnummer (PIN) oder den verschlüsselten PIN-Block nach der Autorisierung nicht.
  6. Maskieren Sie die PAN bei der Anzeige (die ersten sechs und die letzten vier Ziffern sind die maximale Anzahl der anzuzeigenden Ziffern), sodass nur Personal mit einem legitimen geschäftlichen Bedarf mehr als die ersten sechs/letzten vier Ziffern der PAN sehen kann.
  7. Machen Sie PAN überall dort unlesbar, wo es gespeichert ist (einschließlich auf tragbaren digitalen Medien, Sicherungsmedien und in Protokollen), indem Sie eine der folgenden Methoden verwenden:
    • Einweg-Hashes basierend auf starker Kryptografie (der Hash muss die gesamte PAN umfassen)
    • Kürzung (Hashing kann nicht verwendet werden, um das abgeschnittene Segment von PAN zu ersetzen)
    • Index-Token und -Pads (Pads müssen sicher aufbewahrt werden)
    • Strong Geheimschrift mit assoziiert Schlüsselverwaltung Prozesse und Verfahren.
    • Wenn Festplattenverschlüsselung verwendet wird (anstelle von Datenbankverschlüsselung auf Datei- oder Spaltenebene), muss der logische Zugriff separat und unabhängig von den nativen Authentifizierungs- und Zugriffskontrollmechanismen des Betriebssystems verwaltet werden (z. B. indem keine lokalen Benutzerkontendatenbanken oder allgemeinen Netzwerkanmeldeinformationen verwendet werden). Decryption Schlüssel dürfen nicht mit Benutzerkonten verknüpft werden.
  8. Dokumentieren und implementieren Sie Verfahren zum Schutz der zum Schutz gespeicherter Karteninhaberdaten verwendeten Schlüssel vor Offenlegung und Missbrauch:
    • Zusätzliche Anforderung nur für Dienstanbieter: Führen Sie eine dokumentierte Beschreibung der kryptografischen Architektur, die Folgendes umfasst:
      1. Details zu allen Algorithmen, Protokollen und Schlüsseln, die zum Schutz der Karteninhaberdaten verwendet werden, einschließlich Schlüsselstärke und Ablaufdatum
      2. Beschreibung der Schlüsselverwendung für jeden Schlüssel.
      3. Inventar aller HSMs und andere SCDs, die für die Schlüsselverwaltung verwendet werden
    • Beschränken Sie den Zugriff auf kryptografische Schlüssel auf die geringstmögliche Anzahl an Verwaltern.
    • Speichern Sie geheime und private Schlüssel, die zum Verschlüsseln/Entschlüsseln von Karteninhaberdaten verwendet werden, stets in einer (oder mehreren) der folgenden Formen:
      1. Verschlüsselt mit einem Schlüssel, der mindestens so stark ist wie der Datenverschlüsselungsschlüssel und der getrennt vom Datenverschlüsselungsschlüssel gespeichert wird
      2. Innerhalb eines sicheren kryptografischen Geräts (z. B. eines Hardware-(Host-)Sicherheitsmoduls (HSM) oder eines PTS-zugelassenen Point-of-Interaction-Geräts)
      3. Als mindestens zwei vollständige Schlüsselkomponenten oder Schlüsselanteile gemäß einer branchenüblichen Methode
      4. Kryptografische Schlüssel müssen an so wenigen Orten wie möglich gespeichert werden.
      5. Stellen Sie sicher, dass Sicherheitsrichtlinien und Betriebsverfahren zum Schutz gespeicherter Karteninhaberdaten dokumentiert, verwendet und allen betroffenen Parteien bekannt sind.

Fazit

Dieser Artikel ist Teil 1 der PCI-Konformitätsspezifikationen. Wir unterstützen Sie dabei, die PCI-Konformität zu erreichen und die Anforderungen zu priorisieren, indem wir uns auf jede Aufgabe anhand eines bestimmten Meilensteins konzentrieren. Dies hilft Unternehmen, Karteninhaberdaten und die IT-Umgebung zu schützen und gleichzeitig die PCI-Konformität zu gewährleisten.

Um mehr zu erfahren, besuchen Sie unsere Website: www.encryptionconsulting.com/

Entdecken Sie unsere

Verwandte Blogs

cra

Schritt-für-Schritt-Anleitung zur Einhaltung des Cyber ​​Resilience Act (CRA)

17. Januar 2026
Amerikas Cyber-Schutzschild bricht mit dem Auslaufen des CISA 2015

Amerikas Cyber-Schutzschild bricht mit dem Auslaufen des CISA 2015

27. Oktober 2025
API-Sicherheit

APIs: Die neue Angriffsfläche 

23. Oktober 2025

Entdecken

Weitere Themen