Payment Card Industry Data Security Standard

Was ist neu in der PCI DSS 3.2 Verordnung?

, München | Autor: Herbert Wieler

Was ist neu in der PCI DSS 3.2 Verordnung?

Höhere Anforderungen in Artikel 8

Laut PrivacyRights.org wurden zwischen Januar 2015 und April 2016 mehr als 4.823 Datenverletzungen, bei einem geschätzten Bestand von 898 Millionen Datensätzen mit sensiblen Informationen, veröffentlicht. Die Dunkelziffer dürfte allerdings um einiges höher sein.

Auch der riskante Umgang mit den personenbezogenen Daten von Kreditkarteninhabern führt zu einem erhöhten Risiko für einen Datenmissbrauch. Eine Umfrage bei Unternehmen in den USA und Europa zeigte die risikoreichsten Maßnahmen:

  • 81% speichern die Nummer der Zahlungskarten
  • 73% speichern das Ablaufdatum der Zahlungskarten
  • 71% speichern den Bestätigungscode der Zahlungskarten
  • 57% speichern die Kundendaten auf dem Zahlungskarten-Magnetstreifen
  • 16% speichern andere persönliche Daten
    Quelle: Forrester Consulting: Der Stand der PCI-Konformität (im Auftrag von RSA / EMC)

Für die Vermeidung von Finanzbetrug und den ernsthaften Folgen, ist es entscheidend, die Datensicherheit der Karteninhaber zu verbessern und die Zahlungsdaten vollständig zu schützen. Dazu wurde die PCI DSS ins Leben gerufen.

Was ist der PCI DSS Standard?

PCI DSS steht für Payment Card Industry Data Security Standard (PCI DSS). Es ist ein Informationssicherheitsstandard für Organisationen, der Kreditkarten von den bekanntesten Kreditkartenanbietern wie Visa, MasterCard, American Express, Discover und JCB behandelt. Ursprünglich entstand der Sicherheitsstandard aus der Zusammenarbeit von Visa und MasterCard. Die Norm wurde entwickelt, um gemeinsame Anforderungen an die Industrie zu schaffen. Sie besteht aus 12 Grundanforderungen und wird durch über 200 detaillierte Unteranforderungen ergänzt.

Einige Fakten über PCI DSS Standard

  1. Diese Norm wurde entwickelt, um die Datensicherheit der Karteninhaber zu fördern und zu verbessern und eine breite Anwendung von konsistenten Datensicherheitsmaßnahmen weltweit zu ermöglichen
  2. Die einzelnen Zahlungsmarken erzwingen die Einhaltung der PCI DSS und ahnden allen Verstöße gegen die Nichteinhaltung
  3. Unternehmen, die PCI DSS-konform sein wollen, müssen von einem unabhängigen Gremium einer Sicherheitsprüfung unterzogen werden
  4. PCI DSS gilt für alle an der Zahlungskartenbearbeitung beteiligten Unternehmen – einschließlich Händler, Verarbeiter, Finanzinstitute und Dienstanbieter, sowie alle anderen Einheiten, die Karteninhaberdaten und / oder sensible Authentifizierungsdaten speichern, verarbeiten oder übertragen.

Multi-Faktor-Authentifizierung ist eine der größten Änderungen in PCI DSS 3.2.

Multi-Faktor-Authentifizierung (MFA) ist das Konzept, dass ein Benutzer zwei oder mehr Formen der Selbst-Identifizierung für die Berechtigung und den Zugriff auf ein System zur Verfügung stellen muss. Typischerweise sind dies:

  • Was man kennt: Passwort oder Passphrase
  • Was man hat: Token, Smart Card oder Zugriff auf ein mobiles Gerät
  • Was man ist: Fingerabdruck, Netzhaut oder andere biometrische Verifikation

Laut PCI Security Standards Council Chief Technology Officer, Troy Leach: "Die signifikante Veränderung in PCI DSS 3.2 ist die Einführung der Multi-Faktor-Authentifizierung, als Voraussetzung für jeden Benutzer, der mit administrativen Zugriffen auf die Karteninhaberdatenumgebung zugreift. Dass Passwort alleine ist nicht mehr ausreichend, um die Identität des Benutzers zu überprüfen und den Zugriff auf sensible Informationen zu gewähren, auch wenn sich dieser in einem vertrauenswürdigen Netzwerk befindet. "

Bisherige PCI-DSS-Versionen erforderten eine 2-Faktor-Authentifizierung für jeden nicht vertrauenswürdigen Remotezugriff in die Karteninhaberdatenumgebung.

Artikel 8.1.5 verdeutlicht, dass unabhängig von ihrer Beziehung zur Organisation, jeder Dritte, der auf die Karteninhaberdatenumgebung (CDE) remote zugreift, die Mehrfachfaktor-Authentifizierung verwenden muss und nicht nur der Anbieter.

Eine weit größere Veränderung wurde in Anforderung 8.3 eingeführt. Dies wurde in 2 Unteranforderungen aufgeteilt. Dabei gibt es einen neuen Unterartikel, der die Notwendigkeit von Multi-Faktor-Authentifizierungen für Personen, die innerhalb des Büros auf CDE zugreifen, erheblich erweitert.

Anforderung 8.3.1 – Die neue Anforderung erfordert MFA für alle Mitarbeiter, die auf die Karteninhaberdaten zugreifen – d.h. alle lokalen Zugriffe auf Karteninhabersystemumgebungen und Datenbanken, die Karteninhaberdaten enthalten. Die Anforderung 8.3.1 ist ab dem 1. Februar 2018 wirksam.

Anforderung 8.3.2 – erfordert MFA für alle Mitarbeiter mit Fernzugriff auf Karteninhaberdatenumgebungen. Die neueste Version von PCI 8.3 schreibt Organisationen nun vor, die Multi-Faktor-Authentifizierung auf alle Benutzer zu erweitern, sei es für das Personal im Büro oder beim Fernzugriff auf Systeme, sowie für privilegierte Zugriffe von Administratoren, auch wenn eine Organisation bereits eine zwei Faktor-Authentifizierung einsetzt.

Hier erfahren Sie mehr darüber, wie Sie den aktualisierten PCI DSS Standard mit Multi-Faktor-Authentifizierung erfüllen können.