Spätestens mit Veröffentlichung des PCI DSS v4.0.1 sind die mit Version 4.0 des Kreditkartensicherheitsstandards eingeführten Anforderungen für die Paymentbranche kalter Kaffee – sollte man meinen. Im vergangenen Jahr erfolgten schließlich bereits viele Audits nach PCI DSS v4.0. Doch ein erheblicher Anteil der neuen Anforderungen, nämlich insgesamt 52, werden als sogenannte „Future-dated Requirements“ erst zum 31. März 2025 verpflichtend. Damit geht es für zertifizierungspflichtige Unternehmen nun doch noch einmal in eine heiße Umsetzungsphase. Warum Sie die Future-dated Requirements in ihrem Umsetzungsaufwand nicht unterschätzen sollten, welche davon Ihnen Kopfzerbrechen bereiten könnten, und wie Sie die Implementierung am besten angehen, lesen Sie hier.
Future-dated Requirements: Vorbereitung
Die 52 Future-dated Requirements des PCI DSS v4.0.1 lassen sich in zwei Kategorien einteilen:
Prozedurale Anforderungen, die sich beispielsweise auf Sicherheitsrichtlinien, Prozesse, Vorfallsreaktionspläne, Risikoanalysen oder Awareness-Schulungen beziehen
Technische Anforderungen, die sich beispielsweise auf die Verschlüsselung von Kreditkartendaten, Zugriffskontrollen, sichere Netzwerkkonfiguration, Logging, Monitoring oder Schwachstellenmanagement beziehen
Wie gehen Sie bei der Vorbereitung auf die Erfüllung der Future-dated Requirements am besten vor? Wir empfehlen Ihnen die folgenden Schritte:
1. Scope bestätigen und Anforderungen verstehen: Prüfen Sie, welche Future-dated Requirements auf Ihre Umgebung zutreffen, und welchen Einfluss diese auf Ihre Systeme, Prozesse, und Ihren Compliance-Status haben werden.
2. Compliance-Plan entwickeln: Führen Sie eine Gap-Analyse durch, um in Ihrer Umgebung Abweichungen zu den Vorgaben des PCI DSS zu identifizieren. Leiten Sie daraus ab, welche Änderungen und Anpassungen Sie an Ihrer Umgebung vornehmen müssen. Erstellen Sie abschließend einen detaillierten Aktionsplan erstellen, der die einzelnen Schritte, Meilensteine, benötigte Ressourcen und Verantwortlichkeiten enthält.
3. Änderungen implementieren: Setzen Sie die im Aktionsplan festgelegten Schritte um. Prüfen Sie, ob Sie beispielsweise die dazu gegebenenfalls Systeme upgraden oder ersetzen müssen oder ob Sie Richtlinien anpassen und Mitarbeiter entsprechend schulen müssen.
4. Überprüfen Sie, ob die durchgeführten Änderungen Bestand haben und effektiv sind. Dies können Sie mithilfe interner Ressourcen durchführen. Für eine optimale Auditvorbereitung bietet es sich jedoch, gerade in komplexeren Umgebungen, an, eine externe und unabhängige Partei für eine solche Prüfung zu beauftragen.
5. Überwachen Sie die implementierten Future-dated Requirements: Regelmäßige, unterjährige Prüfungen helfen Ihnen dabei, Ihren Compliance-Status durchweg aufrechtzuerhalten und potenzielle Schwachstellen schnellstmöglich aufzudecken. Entwickeln Sie Kommunikationspläne mit allen Stakeholdern, wie dem Management, Ihrer IT-Abteilung und Drittanbietern. Dies ermöglicht es Ihnen, Feedback zu Schwachstellen und Verbesserungspotenzialen einzuholen. Dokumentieren Sie alle Änderungen und Prüfungen und pflegen Sie Ihre Dokumentation für gesteigerte Transparenz und als Auditvorbereitung.
6. Bleiben Sie auf dem Laufenden: PCI SSC-Aktualisierungen: Informieren Sie sich regelmäßig über Aktualisierungen und Leitlinien des PCI Security Standards Council (PCI SSC). Informieren Sie sich außerdem über bewährte Branchen-Best-Practices und neue Sicherheitsbedrohungen, die sich auf Ihre Compliance-Bemühungen auswirken können.
Future-dated Requirements: Auf diese neun sollten Sie sich besonders gut vorbereiten
Einige Future-dated Requirements sind unserer Erfahrung nach mit einem höheren Umsetzungsaufwand verbunden als andere. Wir betrachten für Sie neun Future-dated Requirements genauer, bei denen wir in den meisten Unternehmen mit einem mittleren oder hohen Aufwand rechnen. Beachten Sie dabei, dass nicht alle dieser neun Anforderungen auf Ihre Umgebung zutreffen müssen. Prüfen Sie deshalb, wie im Abschnitt „Future Dated Requirements: Vorbereitung“ beschrieben, zunächst, welche der Anforderungen für Ihr Unternehmen greifen.
Überblick
Anf. | Thema | Aufwand | ||
3.5.1.1 | Keyed Cryptographic Hashes | Hoch | ||
6.4.3 11.6.1 | Vorbeugen und Erkennen von Web-Skimming-Angriffen | Mittel / Hoch | ||
7.2.5 7.2.5.1 8.3.2 8.6.1-3 10.2.1.2 | Umgang mit technischen Accounts | Hoch | ||
3.5.1.2 | Festplattenverschlüsselung nicht mehr ausreichend | Hoch | ||
3.4.2 | Verhinderung von PAN-Kopien bei Verwendung von Fernzugriffstechnologien | Mittel | ||
8.4.2 | Multi-Faktor-Authentifizierung für alle Nichtkonsolen-Zugriffe auf die CDE | Mittel | ||
11.3.1.1 | Management anderer Schwachstellen (die laut Risikoeinstufung des Unternehmens gemäß Anforderung 6.3.1 nicht als hochriskant oder kritisch identifiziert werden) | Mittel | ||
11.3.1.2 | Interne Schwachstellen-Scans müssen authentifizierte Scans sein | Mittel | ||
12.3.1 | Targeted Risk Analysis: Jede PCI DSS-Anforderung, die Flexibilität bei der Häufigkeit der Durchführung bietet (z. B. Anforderungen, die periodisch durchgeführt werden müssen), wird durch eine gezielte Risikoanalyse unterstützt | Mittel |
Tipps und Best Practices
Muss Ihr Unternehmen einige oder alle der aufgeführten Future-dated Requirements erfüllen? Um Ihnen die Umsetzung zu erleichtern, haben wir für Sie einige Tipps und Best Practices zu den einzelnen Anforderungen:
Keyed Cryptographic Hashes
Identifizieren Sie alle Szenarien / Kontexte, in denen PAN-Hashes derzeit verwendet werden. Bewerten Sie die Notwendigkeit von PAN-Hashes und stellen Sie sicher, dass sie diese wirklich nur speichern, wenn es unbedingt nötig ist.
Key-Management-Verfahren erfordern eine regelmäßige Rotation des Hashing-Keys. Dies führt zu unterschiedlichen Hash-Werten für ein und dieselbe PAN. Je nach Nutzungsszenario kann dies bestimmte Funktionen stören oder Anpassungen in der Implementierung erfordern.
Der Customized Approach kann nun für die Erfüllung dieser Anforderung mit PCI 4.0.1 verwendet werden und könnte eine Alternative zur Implementierung dieser Anforderung darstellen.
Vorbeugen und Erkennen von Web-Skimming-Angriffen
Identifizieren Sie alle Bezahlseiten, auf denen ein iFrame verwendet wird. Bezahlseiten, die über Redirect implementiert sind, fallen nicht unter diese Anforderung.
Subresource Integrity (SRI) und Content Security Policy (CSP) können als eigenentwickelter Ansatz verwendet werden. Alternativ gibt es kommerzielle Lösungen zur Verwaltung und Sicherung der Skripte auf den Bezahlseiten, die PCI DSS compliant sind.
Umgang mit technischen Accounts
Identifizieren Sie alle technischen Accounts auf allen Systemkomponenten, die in den Geltungsbereich des PCI DSS fallen. Prüfen Sie die Notwendigkeit dieser Accounts. Prüfen Sie, wo die Passwörter/-phrasen für diese Accounts im Klartext gespeichert sind.
Konfigurieren Sie die technischen Accounts (wenn möglich) ohne die Möglichkeit der interaktiven Anmeldung. Verwenden Sie eine kommerzielle PAM-Lösung zur Verwaltung der Passwörter für die Fälle, in denen eine interaktive Anmeldung bei technischen Accounts erforderlich ist. Dies garantiert Verantwortlichkeit und Rückverfolgbarkeit.
Festplattenverschlüsselung nicht mehr ausreichend
Identifizieren Sie, welche Anwendungen auf Festplattenverschlüsselung angewiesen sind, um Karteninhaberdaten zu schützen. Bewerten Sie die beste alternative Verschlüsselungslösung für das jeweilige Szenario.
Folgende Lösungen bieten sich als Alternative zur Festplattenverschlüsselung an:
- Tokenisierung
- Anwendungs-Verschlüsselung
- Datenbankverschlüsselung
- Dedizierte Datensicherheitslösung
Verhinderung von PAN-Kopien bei Verwendung von Fernzugriffstechnologien
Ermitteln Sie die Art und Weise, wie Benutzer Fernzugriff auf Ihre Karteninhaberdatenumgebung (Cardholder Data Environment, CDE) erhalten. Prüfen Sie die Möglichkeiten zur Einschränkung des Kopierens von Daten über die Fernzugriffslösung.
- Der Zugriff auf Webanwendungen wird nicht als "Fernzugriff" betrachtet und diese Anforderung gilt für dieses Szenario nicht.
- Es kann bestimmte Benutzergruppen geben, die einen legitimen geschäftlichen Bedarf haben, PANs auf ihre lokalen Geräte herunterzuladen. Die implementierte Lösung zur Verhinderung des Kopierens von PANs über Fernzugriffstechnologie muss in der Lage sein, zwischen diesen Benutzern und anderen zu unterscheiden.
Multi-Faktor-Authentifizierung für alle Nichtkonsolen-Zugriffe auf die CDE
Identifizieren Sie alle Benutzerzugänge (nicht administrativ) zu den Systemen und Anwendungen der CDE. Prüfen Sie, ob Multi-Faktor-Authentifizierung (MFA) bereits vorhanden ist.
- Diese Anforderung gilt auch für Kunden, wenn sie Zugang zu CDE-Systemen oder -Anwendungen haben.
- Prüfen Sie die Wiederverwendung bestehender MFA-Lösungen für andere Benutzergruppen und Kunden.
- Anpassung eines zentralen Gateways, das MFA für alle CDE-Zugänge implementiert, ist eine gute Praxis.
Änderungen bei Vulnerability Management und Schwachstellen-Scans
Prüfen Sie Ihre aktuelle Scan-Lösung auf Optionen für authentifiziertes Scannen. Diese könnte auch agentenbasiert sein.
- Wenn netzwerkbasiertes Scannen verwendet wird, müssen die Anmeldedaten für die verwendeten technischen Konten sicher verwaltet werden.
- Authentifizierte Scans können zu mehr Funden führen. In Kombination mit der Anforderung, niedrige und mittlere Befunde zu behandeln, kann dies zu einem deutlich höheren Arbeitsaufwand für das Schwachstellenmanagement führen.
Targeted Risk Analysis
Die neuen Targeted Risk Analyses ersetzen die in früheren Versionen des PCI DSS geforderten unternehmensweiten Risikomanagementprozesse. Detaillierte Informationen zum Konzept der Targeted Risk Analysis und Tipps zu ihrer Umsetzung finden Sie hier.
Ausblick
Unabhängig davon, wie viele Future-dated Requirements Sie in Ihrem Unternehmen aufgrund Ihres Scopes umsetzen müssen: Mit einer gründlichen Vorbereitung sind Sie gut aufgestellt, auch diese Herausforderung zu meistern. Hier noch einmal zusammenfassend die wichtigsten Schritte:
Priorisieren
Prüfen Sie Ihre Umgebung und ihren aktuellen Status mit Hilfe einer Gap-Analyse, um festzustellen, welche Änderungen erforderlich sind, um die Future-dated Requirements zu erfüllen.
Aktionsplan & Meilensteine
Entwickeln Sie einen detaillierten Aktionsplan, der die zur Behebung der gefundenen Abweichungen erforderlichen Schritte, einschließlich Zeitvorgaben, Ressourcen und Verantwortlichkeiten, enthält.
Testen und validieren
Führen Sie interne Tests durch, um sicherzustellen, dass alle Änderungen wirksam sind und den neuen Anforderungen entsprechen.
Im Juni hielt unser Kollege und PCI-Experte Nur Ahmad ein Webinar zu Future-dated Requirements. Die Aufzeichnung finden Sie hier.
Benötigen Sie Hilfe bei der Vorbereitung auf oder Umsetzung von Future-dated Requirements in Ihrem Unternehmen? Sprechen Sie uns an – unsere Expert*innen sind für Sie da.