Was Sie über PCI DSS wissen müssen

Satz von sechs Anforderungen

Der Standard basiert auf einer Reihe von sechs Anforderungen . Bis zu einem gewissen Grad sind sie allgemein anerkannte Best Practices in der Welt der Informationssicherheit. Gemäß PCI DSS muss ein Unternehmen:

  1. Schützen Sie die Netzwerkinfrastruktur. Der gesamte ein- und ausgehende Datenverkehr wird durch Firewalls gefiltert. In diesem Fall sollte der für die Verarbeitung von Kundendaten verantwortliche Teil des Netzwerks segmentiert - das heißt, es ist in mehrere unabhängige Cluster unterteilt. Auf diese Weise können Sie den potenziellen Schaden begrenzen, wenn es Hackern gelingt, das Netzwerk zu "infiltrieren".

In diesem Fall dürfen alle virtuellen Maschinen nur eine Funktion ausführen. Dieser Ansatz stellt sicher, dass Server-Hacking verhindert, dass Angreifer die Kontrolle über mehrere Schritte im Datenverarbeitungsprozess erlangen.

Kennwörter für den Zugriff auf Infrastrukturkomponenten müssen sich von den Werkskennwörtern unterscheiden und dürfen nicht in der Liste der gängigsten Kennwörter enthalten sein. Andernfalls besteht die Gefahr des Hackens mit einem einfachen Wörterbuchaufzählung . Einer der Gründe für das Leak bei der Kreditauskunft Equifax im Jahr 2017 war beispielsweise ein schwaches Passwort. Organisation verwendet Benutzername und Passwort admin um auf die Datenbank zuzugreifen.

  1. Verwenden Sie Verschlüsselung. Um Daten zu verschlüsseln, müssen Sie starke Kryptographie verwenden (mit Schlüsseln von mindestens 128 Bit). Das neueste PCI-DSS-Dokument vom 1. Januar 2019 schreibt Unternehmen vor, TLS 1.2 zu verwenden. Diese Maßnahme wurde aufgrund der Sicherheitslücke im Vorgänger des Protokolls - SSL 3.0 . eingeführt , wodurch ein Angreifer private Informationen aus dem verschlüsselten Kommunikationskanal extrahieren kann.

Gleichzeitig enthält das PCI-DSS-Dokument eine Liste von Anbietern von kryptografischen Lösungen, deren Produkte für eine erfolgreiche Zertifizierung empfohlen werden. Es umfasst 886 Anbieter von Zahlungssoftware und über 200 Entwickler verschiedener Verschlüsselungssysteme.

  1. Installieren Sie eine Antivirensoftware. Der Prozess der Aktualisierung anfälliger Software selbst muss reguliert werden, um alle potenziellen Schwachstellen proaktiv zu schließen.
  2. Datenzugriffsrichtlinien konfigurieren. Eine der Anforderungen besteht darin, eine Multi-Faktor-Authentifizierung zu verwenden, um eine Verbindung zu kritischen Infrastrukturkomponenten und personenbezogenen Daten herzustellen. Gleichzeitig ist es notwendig, den Zugriff auf Orte der physischen Speicherung von Kundendaten zu beschränken. Diese Richtlinien werden jedes Mal angepasst, wenn ein Unternehmen das Personal wechselt.
  3. Infrastrukturüberwachung organisieren. Es ist wichtig, alle an Daten durchgeführten Operationen zu protokollieren, um Hacks schnell zu erkennen. Die Sicherheitssysteme selbst sollten regelmäßig getestet werden, um Schwachstellen in der IT-Infrastruktur schnell zu erkennen.
  4. Formulieren Sie eine Unternehmensrichtlinie zur Informationssicherheit. Es ist wichtig, die allgemeinen Grundsätze zur Gewährleistung der Sicherheit der IT-Infrastruktur, den Algorithmus für den Zugriff auf die Benutzerdaten und die Maßnahmen im Falle einer Bedrohung dieser Daten vorzuschreiben. Die Dokumente müssen jedes Jahr entsprechend der vorgenommenen Änderungen in der IT-Struktur aktualisiert werden.

Auditprozess

Unternehmen, die weniger als 20.000 Zahlungen pro Jahr verarbeiten, können eine Prüfung selbst durchführen. Die übrigen Organisationen sind verpflichtet, zertifizierte Auditoren in Anspruch zu nehmen.

Audit beginnt mit theoretischem Teil . Hier werden die Relevanz der internen Sicherheitsrichtlinien und die Kompetenz des Personals überprüft. Das Unternehmen stellt ausgearbeitete Anweisungen, Vorschriften und andere behördliche und administrative Dokumente zur Informationssicherheit zur Verfügung.

Anschließend wird die Zuverlässigkeit der IT-Infrastruktur bewertet. Dazu führen Auditoren Penetrationstest - ein simulierter Angriff auf das Netzwerk eines Unternehmens. SoEs überprüft, ob Lösungen zum Schutz der Karteninhaberdaten funktionieren und identifiziert potenzielle Sicherheitslücken.

Wenn alles erfolgreich ist, müssen die technischen Eigenschaften der Infrastruktur mit den Auditoren abgestimmt werden. Experten bewerten Software, Hardwareparameter, Netzwerktopologie, Betriebssystemkonfiguration usw. Beachten Sie, dass geringfügige Verstöße gegen die PCI-DSS-Anforderungen während des Audits sofort korrigiert werden können.

So vereinfachen Sie die Zertifizierung

Die PCI-DSS-Zertifizierung erfordert viel Zeit und Mühe. Dieser Prozess hat bei uns über ein Jahr gedauert. Das IT-GRAD-Spezialistenteam musste einen Großteil unserer Hosting-Infrastruktur neu aufbauen. Wir haben ein isoliertes Netzwerk auf Basis von ESX, vSphere und vCenter erstellt, auf das über VPN mit Zwei-Faktor-Authentifizierung zugegriffen wird. In diesem Netzwerk sind wir implementierte Überwachungssysteme, Protokollierung und Kontrolle der Datenintegrität sowie Antivirensoftware.

Um ein Audit zu bestehen, muss man manchmal die IT-Infrastruktur komplett überdenken. Und je größer das Unternehmen, desto länger dauert dieser Prozess. Es stellt sich heraus, dass Unternehmen, die eine PCI-DSS-Infrastruktur mehr als andere benötigen - Banken und große Einzelhändler - Das Schwierigste ist, diese Standards selbst zu verwalten.

IaaS-Anbieter können den Zertifizierungsprozess vereinfachen. Bei IT-GRAD bieten wir beispielsweise den Service PCI-DSS-Hosting . Es ermöglicht Unternehmen, einen Teil der Verantwortung für die Erfüllung der Anforderungen des Standards auf die Schultern eines Cloud-Anbieters abzuwälzen. IT-GRAD-Spezialisten sind beispielsweise für den Netzwerkschutz und die Kontrolle des physischen Zugangs zu Geräten verantwortlich. Unsere Rechenzentren in Moskau und St. Petersburg erfüllen höchste Sicherheitsanforderungen. Außerdem helfen wir beim Aufbau der Serverumgebung und organisieren das für die Zertifizierung notwendige Monitoring.

Somit spart der Kunde mit dem PCI-DSS-Hosting-Service Geld und verkürzt die Zeit für die Zertifizierung. Dieser Ansatz ermöglicht es, sich auf die Kerngeschäftsentwicklung zu konzentrieren.

Link zum Artikel < / p>