Meteen naar de inhoud

webinar: Meld je aan voor ons aankomende webinar.

Aanmelden

  1. Blogs
    2. Encryptie

PCI-nalevingsspecificatie

Posted byManimit Haldar 09 Minuten
De Payment Card Industry Data Security Standards (PCI DSS) bevatten in totaal twaalf vereisten voor de beveiliging van kaarthoudergegevens die door organisaties kunnen worden opgeslagen, verwerkt en verzonden.
Inhoudsopgave

Betaalkaartindustrie Data Security Standards (PCI DSS) Bevat in totaal 12 vereisten voor de beveiliging van kaarthoudergegevens, die door organisaties kunnen worden opgeslagen, verwerkt en verzonden. De norm biedt veel informatie over beveiliging, wat het voor organisaties lastig kan maken om hun nalevingspunten te prioriteren. 

In dit artikel bespreken we een prioritaire aanpak die wordt aanbevolen door de PCI-beveiligingsnormen. Hiermee krijgen organisaties inzicht in waar ze moeten beginnen en hoe ze de risico's in het nalevingsproces kunnen beperken.

Wat is een geprioriteerde aanpak?

De geprioriteerde aanpak biedt zes belangrijke beveiligingsmijlpalen waarmee organisaties risicofactoren en toenemende bedreigingen kunnen beveiligen en tegelijkertijd voldoen aan de PCI DSS-norm.

Mijlpalen voor een geprioriteerde aanpak

De Prioritaire Aanpak kent zes mijlpalen. De onderstaande tabel vat de hoofddoelen en intenties van elke mijlpaal samen. 

MilestoneObjectief
1

Verwijder gevoelige authenticatiegegevens en beperk de gegevensretentie.

Als een organisatie geen gevoelige authenticatiegegevens en andere kaarthoudergegevens nodig heeft, kan deze eenvoudig worden verwijderd. Dit verkleint het risico op inbreuken aanzienlijk.

2

Het beschermen van systemen en netwerken en voorbereid zijn om te reageren op een systeeminbreuk.

Om deze doelstelling te bereiken, moeten organisaties zich richten op toegangspunten en reactieprocessen.

3

Het beveiligen van betaalkaartaanvragen.

Om dit doel te bereiken, zouden organisaties zich moeten richten op de controle over de applicatie, applicatieprocessen en servers. Zwakke punten en kwetsbaarheden op deze gebieden zouden een eenvoudige manier bieden om toegang te krijgen tot kaarthoudergegevens en andere informatie.

4

Bewaak systemen en beheer de toegang tot deze systemen.

Organisaties moeten zich richten op wie, wat, wanneer en hoe iets of iemand toegang krijgt tot de kaarthouderinformatie, het netwerk en de dataomgevingen.

5

Bescherming van opgeslagen kaarthoudergegevens.

Organisaties moeten kaarthoudergegevens, waaronder primaire rekeningnummers, Milestone Five-doelen en belangrijke beschermingsmechanismen voor die opgeslagen gegevens, goed beschermen.

6

Het afronden van de resterende nalevingsinspanningen en ervoor zorgen dat alle controles zijn uitgevoerd.

Deze doelstelling is bedoeld om te voldoen aan de PCI DSS-vereisten en de resterende beleidsregels, procedures en processen af ​​te ronden die nodig zijn om de omgeving van de kaarthouder op de juiste manier te beschermen.

Op maat gemaakte encryptiediensten

Wij beoordelen, ontwikkelen strategieën en implementeren encryptiestrategieën en -oplossingen.

Meer informatie

Milestone

123456

PCI DSS-vereisten

Eis 1

Installeer en onderhoud een firewallconfiguratie om kaarthoudergegevens te beschermen

  1. Stel firewall- en routerconfiguratiestandaarden vast en implementeer deze. Deze standaarden omvatten het volgende:
    1. Een formeel proces voor het goedkeuren en testen van alle netwerkverbindingen en wijzigingen aan de firewall- en routerconfiguraties
    2. Huidig ​​netwerkdiagram dat alle verbindingen tussen de kaartgegevensomgeving en andere netwerken identificeert, inclusief alle draadloze netwerken
    3. Huidig ​​diagram dat alle kaarthoudergegevensstromen over systemen en netwerken laat zien
    4. Vereisten voor een firewall bij elke internetverbinding en tussen elke gedemilitariseerde zone (DMZ) en de interne netwerkzone
    5. Beschrijving van groepen, rollen en verantwoordelijkheden voor het beheer van netwerkcomponenten
    6. Documentatie van de zakelijke rechtvaardiging en goedkeuring voor het gebruik van alle toegestane services, protocollen en poorten, inclusief documentatie van beveiligingsfuncties die zijn geïmplementeerd voor de protocollen die als onveilig worden beschouwd.
    7. Verplichting om firewall- en routerregelsets minimaal elke zes maanden te herzien
  2. Bouw firewall- en routerconfiguraties die verbindingen tussen niet-vertrouwde netwerken en systeemcomponenten in de omgeving van kaarthoudergegevens beperken.
    1. Beperk het binnenkomende en uitgaande verkeer tot het verkeer dat noodzakelijk is voor de kaarthoudergegevensomgeving en weiger specifiek al het overige verkeer.
    2. Beveilig en synchroniseer routerconfiguratiebestanden.
    3. Installeer perimeterfirewalls tussen alle draadloze netwerken en de omgeving met kaarthoudergegevens en configureer deze firewalls zo dat ze verkeer tussen de draadloze omgeving en de omgeving met kaarthoudergegevens weigeren of, als dit noodzakelijk is voor zakelijke doeleinden, alleen toegestaan ​​verkeer toestaan.
  3. Verbied directe openbare toegang tussen het internet en enig systeemonderdeel in de omgeving van kaarthoudergegevens.
    1. Implementeer een DMZ om binnenkomend verkeer te beperken tot alleen systeemcomponenten die geautoriseerde, openbaar toegankelijke services, protocollen en poorten bieden.
    2. Beperk het binnenkomende internetverkeer tot IP-adressen binnen de DMZ.
    3. Implementeer anti-spoofingmaatregelen om vervalste bron-IP-adressen te detecteren en te blokkeren, zodat deze niet in het netwerk terechtkomen.
    4. Sta geen ongeautoriseerd uitgaand verkeer van de kaarthoudergegevensomgeving naar het internet toe.
    5. Sta alleen 'gevestigde' verbindingen toe in het netwerk.
    6. Plaats systeemcomponenten die kaarthoudergegevens opslaan (zoals een database) in een interne netwerkzone, gescheiden van de DMZ en andere niet-vertrouwde netwerken.
    7. Geef uw privé-IP-adressen en routeringsinformatie niet door aan onbevoegden.
  4. Installeer persoonlijke firewallsoftware of gelijkwaardige functionaliteit op alle draagbare computers die verbinding maken met internet buiten het netwerk en die ook worden gebruikt om toegang te krijgen tot de CDE. Firewall- (of gelijkwaardige) configuraties omvatten:
    1. Er zijn specifieke configuratie-instellingen gedefinieerd.
    2. Persoonlijke firewall (of vergelijkbare functionaliteit) is actief.
    3. De persoonlijke firewall (of gelijkwaardige functionaliteit) kan niet worden gewijzigd door gebruikers van draagbare computers.
  5. Zorg ervoor dat het beveiligingsbeleid en de operationele procedures voor het beheer van firewalls zijn gedocumenteerd, worden gebruikt en bekend zijn bij alle betrokken partijen.

Op maat gemaakte encryptiediensten

Wij beoordelen, ontwikkelen strategieën en implementeren encryptiestrategieën en -oplossingen.

Meer informatie

Eis 2

Gebruik geen door de leverancier geleverde standaardwaarden voor systeemwachtwoorden en andere beveiligingsparameters.

  1. Wijzig altijd de door de leverancier geleverde standaardinstellingen en verwijder of schakel onnodige standaardaccounts uit voordat u een systeem op het netwerk installeert
    1. Voor draadloze omgevingen die verbonden zijn met de omgeving voor kaarthoudergegevens of die kaarthoudergegevens verzenden, wijzigt u ALLE standaardinstellingen van de draadloze leverancier bij de installatie, inclusief maar niet beperkt tot de standaard draadloze encryptie sleutels, wachtwoorden en SNMP-communitystrings
  2. Ontwikkel configuratiestandaarden voor alle systeemcomponenten. Zorg ervoor dat deze standaarden alle bekende beveiligingskwetsbaarheden aanpakken en consistent zijn met de door de industrie geaccepteerde normen voor systeembeveiliging. Bronnen van door de industrie geaccepteerde normen voor systeembeveiliging kunnen onder andere zijn:
    1. Centrum voor internetbeveiliging (CIS)
    2. Internationale organisatie voor normalisatie (ISO)
    3. SysAdmin Audit Network Security (SANS) Instituut
    4. Nationaal Instituut voor Standaardtechnologie (NIST)
      1. Implementeert slechts één primaire functie per server om te voorkomen dat functies die verschillende beveiligingsniveaus vereisen, tegelijkertijd op dezelfde server bestaan.
      2. Schakel alleen de services, protocollen, daemons, etc. in die nodig zijn voor de werking van het systeem.
      3. Implementeer extra beveiligingsfuncties voor vereiste services, protocollen of daemons die als onveilig worden beschouwd.
      4. Configureer systeembeveiligingsparameters om misbruik te voorkomen.
      5. Verwijder alle overbodige functionaliteit, zoals scripts, drivers, functies, subsystemen, bestandssystemen en overbodige webservers.
  3. Versleutel alle administratieve toegang die niet via de console plaatsvindt met behulp van sterke cryptografie.
  4. Houd een inventaris bij van systeemcomponenten die binnen het bereik van PCI DSS vallen.
  5. Zorg ervoor dat het beveiligingsbeleid en de operationele procedures voor het beheren van standaardinstellingen van leveranciers en andere beveiligingsparameters zijn gedocumenteerd, worden gebruikt en bekend zijn bij alle betrokken partijen.
  6. Aanbieders van gedeelde hosting moeten de gehoste omgeving en kaarthoudergegevens van elke entiteit beschermen.

Eis 3

Bescherm opgeslagen kaarthoudergegevens

  1. Beperk de opslag van kaarthoudergegevens tot een minimum door beleid, procedures en processen voor het bewaren en verwijderen van gegevens te implementeren die ten minste het volgende omvatten voor alle opslag van kaarthoudergegevens:
    • Beperk de hoeveelheid gegevensopslag en de bewaartijd tot wat noodzakelijk is voor juridische, regelgevende en/of zakelijke vereisten.
    • Specifieke bewaartermijnen voor kaartgegevens.
    • Processen voor het veilig verwijderen van gegevens wanneer deze niet langer nodig zijn.
    • Een kwartaalproces voor het identificeren en veilig verwijderen van opgeslagen kaarthoudergegevens die de gedefinieerde bewaartermijn overschrijden.
  2. Sla geen gevoelige authenticatiegegevens op na autorisatie (zelfs niet als deze versleuteld zijn). Als gevoelige authenticatiegegevens worden ontvangen, zorg er dan voor dat alle gegevens onherstelbaar zijn na voltooiing van het autorisatieproces.
    Uitgevers en bedrijven die uitgevende diensten ondersteunen, mogen gevoelige authenticatiegegevens opslaan als:
    • Er is een zakelijke rechtvaardiging en
    • De gegevens worden veilig opgeslagen.
  3. Bewaar na autorisatie niet de volledige inhoud van een track (van de magneetstrip op de achterkant van een kaart, equivalente gegevens op een chip of elders). Deze gegevens worden ook wel volledige track, track, track 1, track 2 en magneetstripgegevens genoemd.
  4. Bewaar de verificatiecode of het waardenummer van de kaart (een drie- of viercijferig nummer dat op de voor- of achterkant van een betaalkaart staat en wordt gebruikt om transacties te verifiëren waarbij de kaart niet aanwezig is) niet na autorisatie.
  5. Sla het persoonlijke identificatienummer (PIN) en het gecodeerde PIN-blok niet op na autorisatie.
  6. Geef het PAN-nummer weer als het wordt weergegeven (de eerste zes en de laatste vier cijfers vormen het maximale aantal cijfers dat mag worden weergegeven). Alleen personeel met een legitieme zakelijke reden kan dan meer zien dan de eerste zes/laatste vier cijfers van het PAN-nummer.
  7. Maak PAN onleesbaar op elke plek waar het is opgeslagen (inclusief op draagbare digitale media, back-upmedia en in logboeken) door een van de volgende benaderingen te gebruiken:
    • Eenrichtingshashes op basis van sterke cryptografie (hash moet van het gehele PAN zijn)
    • Afkapping (hashing kan niet worden gebruikt om het afgekapte segment van PAN te vervangen)
    • Indextokens en pads (pads moeten veilig worden opgeslagen)
    • Zeer sterk geheimschrift met bijbehorende sleutelbeheer processen en procedures.
    • Als schijfversleuteling wordt gebruikt (in plaats van databaseversleuteling op bestand- of kolomniveau), moet de logische toegang apart en onafhankelijk van de verificatie- en toegangscontrolemechanismen van het besturingssysteem worden beheerd (bijvoorbeeld door geen gebruik te maken van lokale gebruikersaccountdatabases of algemene netwerkinloggegevens). decryptie Sleutels mogen niet aan gebruikersaccounts worden gekoppeld.
  8. Documenteer en implementeer procedures om sleutels die worden gebruikt om opgeslagen kaarthoudergegevens te beveiligen tegen openbaarmaking en misbruik:
    • Aanvullende vereiste alleen voor serviceproviders: Houd een gedocumenteerde beschrijving bij van de cryptografische architectuur, met daarin:
      1. Details van alle algoritmen, protocollen en sleutels die worden gebruikt voor de bescherming van kaarthoudergegevens, inclusief sleutelsterkte en vervaldatum
      2. Beschrijving van het sleutelgebruik voor elke sleutel.
      3. Inventaris van alle HSM's en andere SCD's die worden gebruikt voor sleutelbeheer
    • Beperk de toegang tot cryptografische sleutels tot het kleinste aantal beheerders dat nodig is
    • Sla de geheime en persoonlijke sleutels die u gebruikt om kaarthoudergegevens te versleutelen/ontsleutelen, te allen tijde op in een (of meer) van de volgende vormen:
      1. Versleuteld met een sleutel-versleutelingssleutel die minstens zo sterk is als de data-versleutelingssleutel, en die apart van de data-versleutelingssleutel wordt opgeslagen
      2. Binnen een beveiligd cryptografisch apparaat (zoals een hardware (host) security module (HSM) of een door de PTS goedgekeurd point-of-interaction-apparaat)
      3. Als ten minste twee volledige sleutelcomponenten of sleutelaandelen, in overeenstemming met een door de industrie geaccepteerde methode
      4. Bewaar cryptografische sleutels op zo min mogelijk locaties.
      5. Zorg ervoor dat het beveiligingsbeleid en de operationele procedures voor de bescherming van opgeslagen kaarthoudergegevens zijn gedocumenteerd, worden gebruikt en bekend zijn bij alle betrokken partijen.

Conclusie

Dit artikel is deel 1 van de PCI-compliancespecificaties. We begeleiden u bij het bereiken van de juiste PCI-compliance en het prioriteren van de vereisten, waarbij elke taak wordt gefocust op een specifieke mijlpaal. Dit helpt organisaties bij het beveiligen van kaarthoudergegevens en de omgeving, en bij het bereiken van PCI-compliance.

Bezoek onze website voor meer informatie: www.encryptionconsulting.com/

Ontdek onze

Gerelateerde blogs

Stapsgewijze handleiding voor naleving van de Cyber ​​Resilience Act (CRA).

17 januari 2026
Het Amerikaanse cyberschild vervalt nu CISA 2015 afloopt

Het Amerikaanse cyberschild vervalt nu CISA 2015 afloopt

October 27, 2025

API-beveiliging

API's: het nieuwe aanvalsoppervlak 

October 23, 2025

Bestudeer

Meer onderwerpen