PCI DSS: Schutz der Daten von Karteninhabern

Der Schutz von Finanzdaten ist für Unternehmen immer wichtiger geworden. Da die Gesellschaft bargeldlose Transaktionen akzeptiert und Unternehmen sich einer digitalen Transformation unterziehen, nimmt die Cyber-Bedrohungslandschaft weiter zu, was sowohl für Einzelpersonen als auch für Organisationen ein erhöhtes Risiko darstellt. Der Payment Card Industry Data Security Standard (PCI DSS) wurde zum Schutz sensibler Karteninhaberdaten geschaffen. Dies und andere Cybersicherheitsstandards und Frameworks helfen beim Schutz kritischer Daten.

Melissa Parsons

An article from

Melissa Parsons
Technischer Redakteurin
Published
August 13, 2024
Updated
Reading time
minutes
PCI DSS - C-Risk

Was ist PCI DSS v.4.0?

Das Datensicherheitsstandard der Zahlungskartenbranche (PCI DSS) ist eine umfassende Reihe von Sicherheitsanforderungen, die sicherstellen sollen, dass Unternehmen, die mit Kreditkarteninformationen umgehen, eine sichere Umgebung aufrechterhalten. Der Payment Card Industry Security Standards Council, ein globales Forum, das den PCI-DSS-Standard entwickelt hat, wurde 2006 von großen Kreditkartenunternehmen wie American Express, Discover Financial Services, JCB International, MasterCard und Visa Inc. gegründet. PCI DSS gilt für alle Unternehmen, die Karteninhaberdaten verarbeiten, speichern oder übertragen, unabhängig von deren Größe oder Transaktionsvolumen.

Im Kern beschreibt PCI DSS die technischen und betrieblichen Anforderungen zum Schutz sensibler Finanzinformationen. Dazu gehören Netzwerksicherheitsmaßnahmen, Datenschutzprotokolle für Karteninhaber, Verfahren zum Umgang mit Sicherheitslücken, Maßnahmen zur Zugriffskontrolle, kontinuierliche Netzwerküberwachung und -tests sowie die Umsetzung robuster Richtlinien zur Informationssicherheit. Der vom PCI Security Standards Council verwaltete Standard ist kein Kontrollkästchen für die einmalige Einhaltung der Vorschriften, sondern ein kontinuierlicher Bewertungsprozess, Sanierung, und Berichterstattung. Die PCI-DSS-Compliance ist zwar nicht gesetzlich vorgeschrieben, wird aber häufig durch Verträge zwischen Händlern und Zahlungsabwicklern oder Banken vorgeschrieben und dient in unserer zunehmend digitalen Welt als wichtiger Schutz vor Kreditkartenbetrug und Datenschutzverletzungen.

 

PCI DSS-Anforderungen

Das PCI-DSS-Norm Die Dokumentation bietet einen allgemeinen Überblick über die Anforderungen, die Unternehmen zum Schutz von Kontodaten einhalten sollten. Sie ist in 12 übergeordnete Anforderungen unterteilt.

Gemäß der Norm sind dies die Mindestanforderungen für Kartenprozessoren. Je nach Region oder anderen regulatorischen und rechtlichen Anforderungen sind zusätzliche Kontrollen und Methoden zur Risikominderung erforderlich.

 

PCI DSS 12-Anforderungen

Das Datensicherheitsstandard der Zahlungskartenbranche Umrisse 12 Anforderungen die Unternehmen einhalten müssen, um die Einhaltung der Vorschriften und die Sicherheit der Karteninhaberdaten zu gewährleisten. Diese Anforderungen bilden den Rahmen des Standards mit dem Ziel, sensible Finanzinformationen zu schützen.

  1. Installation und Wartung von Netzwerksicherheitskontrollen
  2. Wenden Sie sichere Konfigurationen auf alle Systemkomponenten an
  3. Schützen Sie gespeicherte Kontodaten
  4. Schützen Sie Karteninhaberdaten mit starker Kryptografie bei der Übertragung über offene, öffentliche Netzwerke
  5. Schützen Sie alle Systeme und Netzwerke vor bösartiger Software
  6. Entwicklung und Wartung sicherer Systeme und Software
  7. Beschränken Sie den Zugriff auf Systemkomponenten und Karteninhaberdaten je nach geschäftlichem Bedarf
  8. Identifizieren Sie Benutzer und authentifizieren Sie den Zugriff auf Systemkomponenten
  9. Beschränken Sie den physischen Zugriff auf Karteninhaberdaten
  10. Protokollieren und überwachen Sie den gesamten Zugriff auf Systemkomponenten und Karteninhaberdaten
  11. Testen Sie regelmäßig die Sicherheit von Systemen und Netzwerken
  12. Unterstützen Sie die Informationssicherheit mit organisatorischen Richtlinien und Programmen

PCI-DSS-Bereich

Die Einhaltung von PCI DSS ist für Unternehmen verbindlich, die Karteninhaberdaten und/oder sensible Authentifizierungsdaten speichern, verarbeiten oder übertragen oder die die Sicherheit der Karteninhaberdatenumgebung beeinträchtigen könnten. Dazu gehören Händler, Verarbeiter, Acquirer, Emittenten und andere Dienstleister. Alle Unternehmen, die Karteninhaberdaten verarbeiten, speichern oder übertragen, können in den Geltungsbereich fallen, unabhängig von ihrer Größe oder der Anzahl der von ihnen verarbeiteten Transaktionen.

In der Leitfaden für PCI-DSS-Scoping und Netzwerksegmentierung Durch die vom PCI Security Standards Council veröffentlichte Dokumentation können sich Unternehmen ein klareres Bild von Umfang und Segmentierung im Hinblick auf die PCI-DSS-Konformität machen. Dem PCI Security Standards Council zufolge ist es eine bewährte Methode, vor der Entscheidung, was in den Geltungsbereich fällt oder nicht, von der Annahme auszugehen, dass alles ist im Geltungsbereich.

 

Konsequenzen bei Nichteinhaltung

Die Nichteinhaltung des Datensicherheitsstandards der Zahlungskartenindustrie kann schwerwiegende Folgen haben, insbesondere im Falle eines Cyberangriffs. Unternehmen, die diese Standards nicht einhalten, können mit einer Reihe von Strafen rechnen und langfristige Auswirkungen haben, die den Betrieb und die Rentabilität erheblich beeinträchtigen können.

Zu den unmittelbaren Folgen einer Nichteinhaltung der Vorschriften gehören:

  • Betriebsstörungen
  • Finanzielle Strafen
  • Höhere Transaktionsgebühren
  • Klagen

Zu den langfristigen Folgen einer Nichteinhaltung der Vorschriften gehören:

  • Rufschädigung bei Finanzinstituten und Kunden
  • Langfristige finanzielle Auswirkungen
  • Verstärkte behördliche Kontrolle
Laden Sie das EBIOS RM × FAIR White Paper herunter

Erfahren Sie, wie Sie mit FAIR finanzielle Auswirkungen und Wahrscheinlichkeiten in Ihre EBIOS RM-Analyse einbeziehen können.

Holen Sie sich das White Paper

Warten Sie nicht auf eine Sicherheitsverletzung: Stärken Sie Ihre eigenen und externen Abwehrmaßnahmen

C-Risk ermöglicht es Unternehmen, ihr erstes und drittes Cyberrisikomanagementprogramm mit der Safe One CRQ-Plattform zu operationalisieren und zu automatisieren.

einen Anruf vereinbaren

Vorfall im Gesundheitswesen ändern — Auswirkungen auf PCI DSS

Der Cyberangriff vom Februar 2024 auf Gesundheitswesen ändern erinnert eindringlich an die entscheidende Bedeutung robuster Cybersicherheitsmaßnahmen und der Einhaltung von Standards wie PCI DSS, selbst in Sektoren, die sich hauptsächlich auf Gesundheitsdaten konzentrieren.

Change Healthcare, ein großes Unternehmen für Gesundheitstechnologie, entdeckte im Februar 2024 unbefugte Aktivitäten auf seinen Systemen. Die Entscheidung des Unternehmens, seine Systeme offline zu schalten, um die Bedrohung einzudämmen, führte in den Vereinigten Staaten wochenlang zu weitreichenden Unterbrechungen der Zahlungen und Abläufe im Gesundheitswesen. Apotheken waren nicht in der Lage, Rezepte für Patienten auszufüllen. Ärzte konnten nicht auf Patientendaten zugreifen. Persönliche Daten, Zahlungsdetails, Versicherungsunterlagen und andere vertrauliche Informationen wurden von der AlphaV/BlackCat-Ransomware-Bande gestohlen.

 

Wichtige PCI DSS-Lehren aus dem Change Healthcare Incident

Integrierter Sicherheitsansatz

Der Angriff verdeutlichte die Notwendigkeit eines integrierten Sicherheitsansatzes, insbesondere im Umgang mit Gesundheits- und Finanzdaten. Die PCI-DSS-Compliance sollte nicht isoliert, sondern als Teil einer umfassenden Sicherheitsstrategie behandelt werden.

Effektivität der Reaktion auf Vorfälle

PCI DSS erfordert, dass Unternehmen über eine Plan zur Reaktion auf Vorfälle. Der Vorfall mit Change Healthcare hat gezeigt, wie wichtig solche Pläne in der Praxis sind, um Verstöße schnell zu erkennen und darauf zu reagieren.

Bedeutung der Systemsegmentierung

Die weitreichenden Auswirkungen unterstrichen, wie wichtig eine angemessene Netzwerksegmentierung, eine Schlüsselkomponente von PCI DSS, ist, um die Ausbreitung potenzieller Sicherheitslücken einzudämmen.

Effektives Risikomanagement durch Dritte

Der Vorfall betonte die Notwendigkeit effektives Risikomanagement für Dritte, wie von PCI DSS gefordert. Viele Gesundheitsdienstleister und Versicherer, die auf die Dienstleistungen von Change Healthcare angewiesen waren, waren betroffen, was die weitreichenden Folgen eines Verstoßes in miteinander verbundenen Systemen verdeutlicht.

Planung der Geschäftskontinuität

Der anhaltende Ausfall zeigte die entscheidende Bedeutung der Geschäftskontinuität und Planung der Notfallwiederherstellung, die beide in den PCI-DSS-Anforderungen behandelt werden.

 

Das Änderung Ein Vorfall im Gesundheitswesen wird wahrscheinlich lang anhaltende Auswirkungen haben darüber, wie die Gesundheitsbranche persönliche Gesundheitsdaten und Zahlungsdaten von Patienten schützt. Dies kann zu einer verstärkten Überprüfung der Compliance-Praktiken führen, insbesondere für Organisationen, die sowohl Gesundheits- als auch Zahlungsdaten verarbeiten. Die miteinander verbundenen Gesundheits- und Zahlungssysteme zeigen, dass robuste und effektive Cybersicherheitsstrategien zum Schutz kritischer Daten, einschließlich PII und PHI, erforderlich sind.

Wichtige PCI DSS-Erkenntnisse aus dem Change Healthcare Incident

Einführung von Cybersicherheitsstandards und Frameworks

Die Einführung von Cybersicherheitsstandards bietet Unternehmen Vorteile, die über die Einhaltung gesetzlicher Vorschriften hinausgehen. Standards und Frameworks wie NIST CSF, PCI DSS und MITRE ATT&CK für den Aufbau eines robusten Cybersicherheitsprogramms. Standards und Frameworks bieten eine gemeinsame Sprache und eine Reihe von Best Practices, die es Unternehmen ermöglichen, ihre Sicherheitsmaßnahmen zu optimieren, fundierte Entscheidungen zu treffen und Risiken effektiv zu managen.

Cyberrisikomanagement mit dem FAIR-Standard

Während die oben genannten Standards und Frameworks Sicherheitskontrollen und bewährte Verfahren nahelegen, Standard für die Faktoranalyse des Informationsrisikos (FAIR) verfolgt einen anderen Ansatz, indem er die Auswirkungen von Risiko- und Sicherheitskontrollen misst, um datengestützte Entscheidungen zu treffen.

Das Öffnen Sie den FAIR-Wissensbestand ist ein offener Standard, der ein Modell bietet für verstehen, analysieren und quantifizieren Informationsrisiko in finanzieller Hinsicht. Zu seinen Hauptmerkmalen gehören:

  1. Quantitativer Ansatz: FAIR ermöglicht es Unternehmen, die finanziellen Auswirkungen von Cyberrisiken abzuschätzen und geht dabei über qualitative Bewertungen hinaus.
  2. Gemeinsame Risikosprache: Es legt eine standardisierte Taxonomie zur Beschreibung von Risiken fest und ermöglicht eine klare Kommunikation zwischen verschiedenen Geschäftsbereichen und mit der Geschäftsleitung.
  3. Datengestützte Entscheidungsfindung: Durch die Bereitstellung einer strukturierten Methode für die Risikoanalyse ermöglicht FAIR Unternehmen, fundiertere Entscheidungen über Cybersicherheitsinvestitionen und Ressourcenallokation zu treffen.
  4. Ausrichtung auf Geschäftsziele: Durch die finanzielle Quantifizierung von Risiken können Cybersicherheitsmaßnahmen direkt mit Geschäftsergebnissen und Prioritäten verknüpft werden.
  5. Szenario-Modellierung: FAIR unterstützt die Erstellung und Analyse verschiedener Risikoszenarien und hilft Unternehmen dabei, sich auf eine Reihe potenzieller Cyberbedrohungen vorzubereiten.
  6. Kompatibilität: FAIR kann in Verbindung mit anderen Frameworks wie NIST CSF verwendet werden, um einen umfassenderen Risikomanagementansatz zu bieten.

Durch die Implementierung des FAIR-Standards zusammen mit anderen Cybersicherheitsrahmen können Unternehmen einen ganzheitlicheren Ansatz für das Cyberrisikomanagement entwickeln. Diese Kombination ermöglicht sowohl die Implementierung strenger Sicherheitskontrollen als auch die Fähigkeit, die finanziellen Auswirkungen von Cyberrisiken effektiv zu quantifizieren und zu kommunizieren.

Die Einführung von Cybersicherheitsstandards, Frameworks und Modellen zur Risikoquantifizierung wie FAIR bietet Unternehmen ein robustes Toolkit für das Management ihrer Cybersicherheitslage. Diese Tools helfen dabei, regulatorische Anforderungen zu erfüllen und widerstandsfähige, datengesteuerte Organisationen aufzubauen, die in der Lage sind, sich in der komplexen und sich ständig verändernden digitalen Landschaft zurechtzufinden.


Experten für Cybersicherheit und Risikomanagement von C-Risk nutzen Open FAIRTM Risikoanalyse-Standard (O-RA) und Risikotaxonomie-Standard (O-RT). Mithilfe des FAIR-Frameworks ist es möglich, quantifizierte Risikoszenarien den Kontrollrahmen zuzuordnen, um aussagekräftige finanzielle Schwellenwerte für risikobasierte Entscheidungen festzulegen.

Wenn Sie mehr erfahren möchten, vereinbaren Sie ein Gespräch mit einem C-Risk-Experten.

In diesem Artikel
Quantifizierung von Cyberrisiken für bessere Entscheidungen

Wir entwickeln skalierbare Lösungen zur Quantifizierung von Cyberrisiken in finanzieller Hinsicht, damit Unternehmen fundierte Entscheidungen treffen können, um Unternehmensführung und Widerstandsfähigkeit zu verbessern.

Erfahre mehr

Related articles

Read more on cyber risk, ransomware attacks, regulatory compliance and cybersecurity.

See all articles
ISO 27001 C-Risk

ISO 27001: ein Hebel für Ihre Cybersicherheitsstrategie?

Was ist ISO 27001 und welche Vorteile bringt es für Ihre Cybersicherheit?

Melissa Parsons

29/6/2023
DORA-Verordnung - C-Risk

DORA: Minderung von IKT-Risiken und Stärkung der digitalen Widerstandsfähigkeit

Verschaffen Sie sich einen Einblick in das EU-Gesetz zur digitalen operationalen Resilienz: Seine Auswirkungen auf Finanzunternehmen, Herausforderungen für die Einhaltung der Vorschriften und die Erreichung digitaler operationaler Resilienz.

Melissa Parsons

4/4/2024
Ebios-Methode - C-Risk

Ein Leitfaden zur EBIOS-Methodik: Definition, Verfahren, Einschränkungen

Entdecken Sie EBIOS, die französische Methode zur Analyse von Cyberrisiken. Entdecken Sie den Ansatz, die idealen Anwendungsfälle und die wichtigsten Vor- und Nachteile für das digitale Risikomanagement.

Sarah Atiah

20/11/2024

C-Risk ist ein renommierter Experte für die Quantifizierung von Cyber-Risiken mit der FAIR™-Methode. Wir bieten CRQ-Beratung, Verwaltungsdienste und Schulungen an.

Nichts verpassen

Bleiben Sie auf dem Laufenden über Cyber-News, abonnieren Sie unseren Newsletter

Anwendungsfälle
CISO — Priorisierung der wichtigsten Risiken und KontrollenKommunikation mit Vorstand und GeschäftsleitungDimensionen, Zuteilung und Begründung eines Infosec-BudgetsKI-RisikobewertungenOptimieren Sie den Cyber-VersicherungsschutzErleichterung der Einhaltung gesetzlicher VorschriftenCyberrisikomanagement von DrittanbieternMergers & Acquisitons
Dienstleistungen
CRQ Beratungs- und CosultingdiensteCRQ Enablement ServiceCRQ as a Service
Software
SAFE One CRQ-PlattformSAFE One Cyberrisikomanagement durch Drittanbieter
C-Risk Education
CRQ-SchulungE-learning
Ihre Rolle
Executive ManagementCISORisiko-Experten
Ressourcen
BlogNeuigkeitenVideosRessourcenWebinareStatistiken
Firma
Über C-RiskKarrierePartnerC-Risk in den Nachrichten
Kontakt
Kontaktieren Sie uns
Sprache
C-Risk Frankreich
110 Esplanade du Général de Gaulle
92931 Paris La Défense
C-Risk Vereinigte Staaten
990 Biscayne Blvd
Office 701
Miami, Florida 33132
C-Risk Vereinigtes Königreich
4/4a BloomsburySquare
London WC1A2RP
C-Risk Irland
9 Exchange Place
Dublin 1 - D01 X8H2
C-Risk Deutschland
Bergheimer Strasse 147 EG
F-Section
69115 Heidelberg
Created by Sales Odyssey
Rechtlicher HinweisDatenschutz