Der Payment Card Industry Data Security Standard PCI

Der Payment Card Industry Data Security Standard (PCI DSS)

Überblick n Was ist der PCI DSS? n Anforderungen für PCI DSS-Compliance n Woraus bestehen Daten von Kreditkarteninhabern? n Konsequenzen bei fehlender PCI DSS-Konformität n Durchführung eines PCI DSS-Audits n Kostensenkungen durch automatisierte PCI DSS-Kontrollen

Was ist der Payment Card Industry Data Security Standard (PCI DSS)? n Sicherheitsstandard mit verpflichtenden Best Practice-Richtlinien zum Schutz der Daten von Kredit- und Debitkarten n Ins Leben gerufen von den weltweit größten Kreditkartenunternehmen, u. a. VISA und Master. Card n Bindend für sämtliche Unternehmen, die im Zahlungsverkehr mit Kreditkartendaten arbeiten n Gilt für Kreditkartenkäufe im Einzelhandel und E-Commerce sowie per Post und Telefon n Vereint als weltweiter einheitlicher Sicherheitsstandard zuvor getrennte Sicherheitsvorgaben der Kartenunternehmen

Warum ein Standard wie der PCI DSS? n Seit über 20 Jahren ein Problem: Diebstahl und Missbrauch von Kreditkartendaten; stetige Zunahme VISA gründet erstes Schutzprogramm (CISP) n Aktueller Fall von Datenabfluss aufgrund unzureichender Schutzmaßnahmen: Netzwerk-Sicherheitslücke beim USEinzelhändler TJX – mindestens 45, 6 Mio. gestohlene Kredit- und Debitkartennummern n Aktueller Schwarzmarktpreis für gestohlene Kreditkartendaten (Kartennummer mit PIN): US-$ 490, – (Quelle: Information. Week)

PCI Data Security Standard 1. 1 (1/3) n Das PCI DSS-Regelwerk zum Datenschutz umfasst 12 Sicherheitsanforderungen, gruppierbar in: > > > Erfassung und Speicherung aller Daten aus Ereignisprotokollen als Vorbereitung für Sicherheitsanalysen Berichterstellung zu allen sicherheitsrelevanten Aktivitäten, um PCI DSS -Compliance bei Audits vor Ort nachweisen zu können Kontinuierliche Überwachung von Datenzugriff und -verwendung und sofortige Administratorwarnung bei Sicherheitsverstößen

PCI Data Security Standard 1. 1 (2/3) n 6 Zielkategorien des PCI DSS-Regelwerks PCI DSS-Kategorien Einrichtung und Betrieb eines geschützten Netzwerks Schutz der Karteninhaberdaten Einrichtung eines Schwachstellen-Management-Systems Umsetzung effektiver Richtlinien zur Zugriffskontrolle Regelmäßige Überwachung und Überprüfung des Netzwerks Durchsetzung einer Richtlinie zur Informationssicherheit

PCI Data Security Standard 1. 1 (3/3) PCI DSS-Anforderungen 1. Einrichtung und Betrieb einer Firewall zum Schutz der Daten von Kreditkarteninhabern 2. Änderung der von Herstellern vorgegebenen Standardpasswörter und Sicherheitseinstellungen 3. Schutz der gespeicherten Daten von Kreditkarteninhabern 4. Verschlüsselte Übertragung der Daten von Kreditkarteninhabern in öffentlichen Netzwerken 5. Einsatz und regelmäßige Aktualisierung von Virenschutzlösungen 6. Entwicklung und Betrieb sicherer Systeme und Anwendungen 7. Einschränkung des Zugriffs auf Kartendaten nach Grundsatz „Kenntnis, nur wenn nötig“ 8. Zuweisung einer eindeutigen Benutzer-ID an Personen mit Zugang zum Computersystem 9. Einschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern 10. Protokollierung und Überwachung aller Zugriffe auf Netzwerkressourcen und Karteninhaberdaten 11. Regelmäßige Überprüfung von Sicherheitssystemen und -abläufen 12. Unternehmensrichtlinie mit Vorgaben zur Informationssicherheit für Mitarbeiter & Vertragspartner

Was sind Karteninhaberdaten? Alle im Rahmen einer Transaktion genutzten Daten einer Kredit/Debitkarte. - pcianswers. com n Bestandteile der Karteninhaberdaten > > > Primary Account Number (PAN) Name des Karteninhabers Ablaufdatum der Karte 1234 n Sensitive Authentication Data (SAD) > > > Daten des Magnetstreifens Card Validation Code (CVC) Personal Identification Number (PIN) 123

Speicherung von Karteninhaberdaten n PCI DSS sorgt für den Schutz von Karteninhaberdaten n Folgende Daten dürfen gespeichert werden, solange sie verschlüsselt, gehashed oder trunkiert werden: > PAN, Karteninhabername, Ablaufdatum der Karte, Service-Code

Wie funktioniert eine Transaktion? Ž Œ ŽHändlerbank überprüft Bonität. Bezahlung von Œ Zahlungs-Gateway leitet Transaktion über nutzt die Kreditkarte zur („Credit Card Händler leitet Transaktion an Zahlungs-Gateway Kunde gesicherte Verbindung an. Händler Interchange“) zur Freigabe der Transaktion Waren beim Händlerbank weiter

Wer ist an den PCI DSS gebunden? n Der PCI DSS ist ab 30. September 2007 für alle Unternehmen – ungeachtet ihrer Größe – verbindlich, die im Zahlungsverkehr mit Kreditkartendaten arbeiten n Der PCI DSS gilt für alle Beteiligten, die Karteninhaberdaten > > > speichern übermitteln verarbeiten n Alle als Händler oder Dienstleister definierten Transaktionsteilnehmer

Händler n Akzeptanzpartner, die Kreditkarten als Zahlungsmittel annehmen n Beispiele für unterschiedliche Branchen: > > > > Online-Händler Einzelhändler Bildungseinrichtungen Einrichtungen aus dem Gesundheitswesen Hotel- und Gaststättengewerbe und Freizeitbranche Energieversorger Finanz- und Versicherungsunternehmen

Compliance-Kategorien für Händler HÄNDLERKATEGORIEN Kategorie 1 n Händler, deren verwaltete Kreditkartendaten kompromittiert wurden n Händler mit jährlich mehr als 6 Mio. Kreditkartentransaktionen Kategorie 2 n Händler mit 1 bis 6 Mio. Kreditkartentransaktionen/Jahr Kategorie 3 n Händler mit 20. 000 bis 1 Mio. Kreditkartentransaktionen/Jahr Kategorie 4 n Alle anderen Händler

Dienstleister n Organisationen, die Kartendaten im Auftrag von Händlern verarbeiten n Beispiele für Dienstleister: > > > > Zahlungs-Gateways (z. B. Pay. Pal) Zahlungsprozessoren Host-Provider im E-Commerce Managed-Service-Provider Auskunfteien Backup-Management-Unternehmen Datenvernichter

Compliance-Kategorien für Dienstleister DIENSTLEISTERKATEGORIEN Kategorie 1 n Alle Zahlungsprozessoren und Zahlungs-Gateways Kategorie 2 n Jeder nicht zur Kategorie 1 zählende Dienstleister mit jährlich mehr als 1 Mio. Kreditkartenabrechnungen/-transaktionen Kategorie 3 n Jeder nicht zur Kategorie 1 zählende Dienstleister mit jährlich weniger als 1 Mio. Kreditkartenabrechnungen/-transaktionen

Maßnahmen zur Kontrolle der PCI DSS-Compliance Händler Kategorie 1 Sicherheits-Audit vor Ort Beantwortung eines PCI-Fragebogens jährlich erforderlich Netzwerk-Scan ¼-jährlich erforderlich Kategorie 2 jährlich erforderlich ¼-jährlich erforderlich Kategorie 3 jährlich erforderlich ¼-jährlich erforderlich Kategorie 4 jährlich erforderlich ¼-jährlich erforderlich Dienstleister Kategorie 1 jährlich erforderlich ¼-jährlich erforderlich Kategorie 2 jährlich erforderlich ¼-jährlich erforderlich Kategorie 3 jährlich erforderlich ¼-jährlich erforderlich Durchführung durch: Qualified Security Assessor (QSA) In-House Approved Scan Vendor (ASV) Nachweis: Report on Compliance (ROC) Beantworteter PCIFragebogen Scan-Bericht

Kompromittierung von Karteninhaberdaten „Kompromittierung: Eindringung in ein Computersystem mit mutmaßlich unbefugter Veröffentlichung, Änderung oder Vernichtung von Karteninhaberdaten. “ - PCI DSS Glossary n Notfall-Plan (Incident Response Plan) > Anforderung 12. 9 n Warum eine Kompromittierung melden? > Schadensbegrenzung n Vorfallsübermittlung an: > > > Internes Interventionsteam (Incident Response Team) Verbund der Kreditkartenunternehmen und Händlerbanken Lokale Strafverfolger n Wer setzt sich dem Risiko einer Kompromittierung aus?

Folgen der Datenkompromittierung n Wirtschaftlicher Schaden > Strafzahlungen in mittlerer sechsstelliger Höhe sind möglich; weitere Rechtskosten drohen n Image-Schaden > > Schädigung des Markennamens/Unternehmensansehens Strafverfolgung n Operativer Schaden > > Kompromittierung führt zur Rückstufung in Compliance-Kategorie 1 Datenverarbeitung/Kartenakzeptanz kann untersagt werden

Vorbereitung auf den PCI DSS n Einarbeitung in die PCI DSS-Sicherheitsanforderungen n Ermittlung aller relevanten Karteninhaberdaten und Entfernung nicht benötigter Daten n Sorgfältige Überprüfung der IT-Infrastruktur auf Sicherheitslücken n Einrichtung eines Aktionsplans und ggf. Beauftragung externer Datenschutzexperten

Kosten der PCI DSS-Compliance Händler Kategorie 1 Sicherheits-Audit vor Ort Beantwortung eines PCI-Fragebogens jährlich erforderlich Netzwerk-Scan ¼-jährlich erforderlich Kategorie 2 jährlich erforderlich ¼-jährlich erforderlich Kategorie 3 jährlich erforderlich ¼-jährlich erforderlich Kategorie 4 jährlich erforderlich ¼-jährlich erforderlich Dienstleister Kategorie 1 jährlich erforderlich ¼-jährlich erforderlich Kategorie 2 jährlich erforderlich ¼-jährlich erforderlich Kategorie 3 jährlich erforderlich ¼-jährlich erforderlich Durchführung durch: Qualified Security Assessor (QSA) In-House Approved Scan Vendor (ASV) Nachweis: Report on Compliance (ROC) Beantworteter PCIFragebogen Scan-Bericht

Herausforderungen n Betrieb sicherer Systeme und Anwendungen > > > Netzwerk-Audits Schwachstellen-Scans Patch-/Service Pack-Bereitstellung n Überwachung des Netzwerks > > > Protokollierung von Benutzeraktivitäten Protokollierung des Zugriffs auf Karteninhaberdaten Warnungen bei wichtigen Ereignissen n Bereitstellung belegbarer Daten > > > Betrieb sicherer Systeme Überwachung von Aktivitäten Einleitung von Gegenmaßnahmen

Automatisierung von Sicherheitskontrollen Mehr Effizienz bei sich wiederholenden Aufgaben n Netzwerk-Audits n Schwachstellen-Management n Überwachung von Aktivitäten n Echtzeit-Warnungen n Einleitung von Gegenmaßnahmen n Berichterstellung

Der PCI DSS und Netzwerksicherheitslösungen von GFI PCI DSS-Anforderungen GFI Events. Manager LANguard N. S. S. 1. Einrichtung & Betrieb einer Firewall zum Schutz der Karteninhaberdaten n n 2. Änderung v. Herstellern vorgegebener Standardpasswörter/Sicherheitseinstellungen n n 3. Schutz der Daten von Kreditkarteninhabern n 4. Verschlüsselte Übertragung der Karteninhaberdaten in öffentl. Netzwerken 5. Einsatz und regelmäßige Aktualisierung von Virenschutzlösungen n 6. Entwicklung und Betrieb sicherer Systeme und Anwendungen n 7. Zugriffsbeschränkung für Kartendaten nach „Kenntnis, nur wenn nötig“ n 8. Eindeutige Benutzer-ID für Personen mit Zugang zum Computersystem n n 9. Einschränkung des physikalischen Zugriffs auf Karteninhaberdaten 10. Protokollierung & Überwachung aller Zugriffe a. Netzwerkressourcen & Kartendaten n n 11. Regelmäßige Überprüfung von Sicherheitssystemen und -abläufen n n 12. Unternehmensrichtlinie mit Vorgaben zur Informationssicherheit für Mitarbeiter und Vertragspartner

ROI und Geschäftsvorteile n Automatisierung > > > Verringerung wiederkehrender manueller Aufgaben Minderung der Arbeitsbelastung von Administratoren Einleitung proaktiver Gegenmaßnahmen n Schutz > > Erweiterung der unternehmensinternen Sicherheitsrichtlinie Benachrichtigung bei potenziellen Sicherheitsbedrohungen n Kosteneinsparungen > > > Keine Geldbußen durch PCI DSS-Verstöße Keine weiteren Zusatzkosten durch externe Sicherheitsberater Business-Continuity

Zusammenfassung n Unternehmen, die Kreditkartendaten speichern, übermitteln oder verarbeiten, müssen sich vor Datenverlust und -diebstahl absichern n Einhaltung des PCI DSS vermeidet Geldbußen, rechtliche Konsequenzen und öffentlichen Image-Schaden n Umsetzung des PCI DSS muss bis zum 30. September 2007 erfolgen n GFI-Lösungsangebot zur Umsetzung und Einhaltung des PCI DSS: GFI Events. Manager und GFI LANguard Network Security Scanner (N. S. S. )

Unternehmensinformationen n Gründung: 1992 n Über 200 Mitarbeiter weltweit n Niederlassungen: Malta, London, Raleigh, Hongkong und Adelaide n Lösungen in über 200. 000 Netzwerken weltweit installiert (v. a. bei KMU) n Produktvertrieb über mehr als 10. 000 Channel-Partner weltweit n GFI Vision-Statement Erste Wahl bei Technologielösungen für IT-Sicherheit und Produktivität zu werden. n GFI Mission-Statement Unterstützung von IT-Profis weltweit – mit hochwertigen, kosteneffizienten Inhaltssicherheits-, Netzwerksicherheits- und Messaging. Lösungen.