Satz von sechs Anforderungen

Der Kern des Standards bestehtaus sechs Anforderungen . Bis zu einem gewissen Grad sind sie allgemein anerkannte Best Practices in der Welt der Informationssicherheit. Gemäß PCI DSS muss ein Unternehmen:

1. Schützen Sie die Netzwerkinfrastruktur. Der gesamte ein- und ausgehende Datenverkehr wird durch Firewalls gefiltert. Gleichzeitig muss der für die Verarbeitung der Kundendaten zuständige Teil des Netzwerks segmentiert , also in mehrere unabhängige Cluster aufgeteilt werden. Auf diese Weise können Sie den potenziellen Schaden begrenzen, wenn es Hackern gelingt, in das Netzwerk „einzudringen“.

In diesem Fall müssen alle virtuellen Maschinen nur eine Funktion ausführen. Dieser Ansatz stellt sicher, dass das Hacken des Servers verhindert, dass Angreifer die Kontrolle über mehrere Schritte im Datenverarbeitungsprozess erlangen.

Passwörter, die für den Zugriff auf Infrastrukturkomponenten verwendet werden, müssen sich von den Werkspasswörtern unterscheiden und dürfen nicht in der Liste der gebräuchlichsten Passwörter enthalten sein. Andernfalls besteht die Gefahr, mit einer einfachen Wörterbuchaufzählung gehackt zu werden. Einer der Gründe für den Leak bei der Auskunftei Equifax im Jahr 2017 war beispielsweise nur ein schwaches Passwort. Die Organisation verwendete den Benutzernamen und das Kennwort admin, um auf die Datenbank zuzugreifen.

1. Verschlüsselung verwenden. Um Daten zu verschlüsseln, müssen Sie eine starke Kryptografie verwenden (mit Schlüsseln von mindestens 128 Bit). Die neueste Version des PCI-DSS-Dokuments vom 1. Januar 2019 verlangt von Unternehmen die Verwendung von TLS 1.2. Diese Maßnahme wurde aufgrund einer Schwachstelle im Vorgänger des Protokolls, SSL 3.0, eingeführt, die es einem Angreifer ermöglicht, vertrauliche Informationen aus einem verschlüsselten Kommunikationskanal zu extrahieren.

Gleichzeitig enthält das PCI-DSS-Dokument eine Liste von Anbietern kryptografischer Lösungen, deren Produkte für eine erfolgreiche Zertifizierung empfohlen werden. Sie umfasst 886 Anbieter von Zahlungssoftware und mehr als 200 Entwickler verschiedener Verschlüsselungssysteme.

1. Antivirus-Software installieren. Der Prozess der Aktualisierung verwundbarer Software selbst sollte geregelt werden, um alle potenziellen Schwachstellen präventiv zu schließen.
2. Richten Sie Datenzugriffsrichtlinien ein. Eine der Anforderungen ist die Verwendung von Multi-Faktor-Authentifizierung, um eine Verbindung zu kritischen Infrastrukturkomponenten und persönlichen Daten herzustellen. Gleichzeitig ist es notwendig, den Zugang zu den Orten der physischen Speicherung von Kundendaten zu beschränken. Diese Richtlinien werden bei jeder personellen Veränderung im Unternehmen angepasst.
3. Infrastrukturüberwachung organisieren. Es ist wichtig, alle mit den Daten durchgeführten Operationen zu protokollieren, um Hacks schnell zu erkennen. Die Sicherheitssysteme selbst sollten regelmäßig getestet werden, um Schwachstellen in der IT-Infrastruktur schnell zu erkennen.
4. Formulieren Sie eine IS-Unternehmensrichtlinie. Es ist wichtig, die allgemeinen Grundsätze für die Gewährleistung der Sicherheit der IT-Infrastruktur, den Algorithmus für die Gewährung des Zugriffs auf die personenbezogenen Daten der Benutzer und die Maßnahmen vorzuschreiben, die ergriffen werden, wenn diese Daten bedroht sind. Die Dokumente müssen jährlich entsprechend den Änderungen in der IT-Struktur aktualisiert werden.

Prüfungsprozess

Unternehmen, die weniger als 20.000 Zahlungen pro Jahr verarbeiten, können sich selbst auditieren. Andere Organisationen müssen auf die Hilfe zertifizierter Auditoren zurückgreifen.

Das Audit beginnt mit dem theoretischen Teil . Dabei werden die Relevanz interner Sicherheitsrichtlinien und die Kompetenz des Personals überprüft. Das Unternehmen stellt die entwickelten Anweisungen, Vorschriften und andere normative und administrative Dokumente zur Informationssicherheit zur Verfügung.

Anschließend wird die Zuverlässigkeit der IT-Infrastruktur bewertet. Dazu führen Prüfer einen Penetrationstest durch – einen simulierten Angriff auf die Netzwerke des Unternehmens. Auf diese Weise wird die Funktionsfähigkeit von Lösungen zum Schutz von Karteninhaberdaten überprüft und potenzielle Sicherheitslücken identifiziert.

Wenn alles erfolgreich ist, müssen die technischen Eigenschaften der Infrastruktur noch mit den Prüfern vereinbart werden. Spezialisten bewerten Software, Hardwareparameter, Netzwerktopologie, Betriebssystemkonfiguration usw. Beachten Sie, dass geringfügige Verstöße gegen PCI-DSS-Anforderungen, die während des Audits festgestellt werden, „vor Ort“ behoben werden können.

So vereinfachen Sie die Zertifizierung

Die PCI DSS-Zertifizierung erfordert viel Mühe und Zeit. Dieser Prozess dauerte über ein Jahr. Das IT-GRAD-Team musste einen großen Teil unserer Hosting-Infrastruktur neu aufbauen. Wir haben ein isoliertes Netzwerk basierend auf ESX, vSphere und vCenter erstellt, auf das über ein VPN mit Zwei-Faktor-Authentifizierung zugegriffen wird. In diesem Netzwerk haben wir Überwachungssysteme, Protokollierung und Datenintegritätskontrolle sowie Antivirensoftware eingesetzt .

Um ein Audit zu bestehen, muss die IT-Infrastruktur manchmal komplett neu gedacht werden. Und je größer das Unternehmen, desto länger dauert dieser Prozess. Es stellt sich heraus, dass Unternehmen, die eine PCI-DSS-Infrastruktur mehr als andere benötigen – Banken und große Einzelhändler – es am schwierigsten haben, die Einhaltung dieser Standards selbst zu organisieren.

IaaS-Anbieter können den Zertifizierungsprozess vereinfachen. Beispielsweise bieten wir von IT-GRAD einen PCI-DSS-Hosting- Service an. Es gibt Unternehmen die Möglichkeit, einen Teil der Verantwortung für die Erfüllung der Anforderungen des Standards auf die Schultern des Cloud-Anbieters zu verlagern. Beispielsweise sind IT-GRAD-Spezialisten für den Schutz des Netzwerks und die Kontrolle des physischen Zugriffs auf Geräte verantwortlich. Unsere Rechenzentren in Moskau und St. Petersburg erfüllen höchste Sicherheitsanforderungen. Darüber hinaus helfen wir beim Aufbau der Serverumgebung und organisieren das für die Zertifizierung notwendige Monitoring.

Somit spart der Kunde durch die Verwendung des PCI DSS-Hosting-Service sein Geld und verkürzt die Zeit für die Zertifizierung. Dieser Ansatz ermöglicht es, sich auf die Entwicklung des Kerngeschäfts zu konzentrieren.

Link zum Artikel