von Viktor Ahrens und Dennis Yang.
„The PCI DSS security requirements apply to all system components included in or connected to the cardholder data environment. The cardholder data environment (CDE) is comprised of people, processes, and technologies that store, process, or transmit cardholder data or sensitive authentication data.“ – PCI SSC
Im Dezember 2016 veröffentlichte das PCI SSC (Payment Card Industry Security Standards Council) eine neue Scoping Guidance, welche als Klar- und Hilfestellung beim Thema Netzwerk Scoping und Segmentierung dienen soll. Ganz konkret bietet die Guidance Hilfe bei der Definition verschiedener Systemarten, dem Scoping und der Reduzierung von häufigen Angriffsarten, die zur Kompromittierung von CHD (Cardholder Data, dt. Karteninhaberdaten) führten.
Scoping ist ein zentraler und zugleich schwieriger Teil der Bemühungen um Compliance. Es ist daher ausschlaggebend, den eigenen Scope zu verstehen. Diesbezüglich enthält die Guidance Erläuterungen zu den in diesem Zusammenhang immer wieder auftretenden Begrifflichkeiten: CDE Systems (Cardholder Data Environment, dt. Kartendatenumgebung), Connected-to und Security-Impacting Systems, sowie Out-of-scope Systems, welche wir hier im Folgenden kurz für Sie zusammengefasst haben.
CDE Systems sind:
• alle Systeme, die CHD speichern, verarbeiten oder übertragen und
• alle Systeme im gleichen Netzwerksegment.
Connected-to und Security-Impacting Systems sind Systeme, die:
• in anderen Netzwerken Verbindung zur oder Zugriff auf die CDE haben
• Verbindung oder Zugriff auf die CDE über andere Systeme (z.B. Jump Server) haben
• Einfluss auf die Konfiguration oder Sicherheit der CDE haben oder darauf, wie CHD verarbeitet werden (z.B. Workstations von Administratoren)
• Dienste zur Absicherung der CDE bereitstellen (z.B. Firewalls)
• Dienste zur Erfüllung von PCI DSS Requirements bereitstellen (z.B. Logserver)
• der Segmentierung der CDE von anderen Netzen dienen (z.B. Switche)
Out-of-scope Systems sind Systeme, die:
• keine CHD speichern, verarbeiten oder übertragen
• nicht im gleichen Netzwerk wie die CDE liegen
• keine Verbindung oder Zugriff auf Systeme in der CDE haben
• weder Zugriff auf die CDE noch auf andere In-Scope Systeme haben und keinen Einfluss auf die Sicherheit der CDE haben
• keine der genannten Kriterien für Connected-to und Security-Impacting Systems erfüllen
Die Verantwortung für die korrekte Definition des jeweiligen PCI DSS Scopes obliegt laut Guidance den Händlern bzw. Dienstleistern selbst. Die professionelle Unterstützung durch einen PCI Auditor kann hier hilfreich sein. Folgender Leitsatz sollte dabei immer im Hinterkopf behalten werden:
Alles ist im Scope, solange nicht das Gegenteil bewiesen ist.
Für Händler und Dienstleister empfiehlt es sich daher, den Scope mindestens einmal im Jahr zu verifizieren (z.B. vor einem PCI DSS Audit) und alle CHD speichernden, verarbeitenden und übertragenden Systeme zu dokumentieren. Zusätzlich sollte dokumentiert werden, wie der Scope verifiziert wurde.
Netzwerksegmentierung kann hierbei ein mächtiges Hilfsmittel sein- Auch wenn sie keine konkrete Anforderung des PCI DSS ist, reduziert sie richtig umgesetzt:
• die Kosten der PCI DSS Zertifizierung
• die Kosten und Aufwände für die Implementierung und Aufrechterhaltung der PCI DSS Kontrollen
• das Risikos einer Kompromittierung.
Unsere Erfahrung hat gezeigt, dass in vielen Szenarien die Compliance ohne Segmentierung nur mit großem Aufwand oder gar nicht erreicht werden konnte
Fazit
Zu den wichtigsten Erkenntnissen aus der Guidance zählt die Empfehlung, den Scope mindestens einmal jährlich zu validieren und zu dokumentieren. Besondere Berücksichtigung sollten dabei Shared Services sowie Admin Workstations finden. Letztere da sie trotz Jump Host in den Scope fallen könnten.
Sollten Sie weitere Fragen haben, oder Unterstützung bei der Scope Definition benötigen, sprechen Sie uns an. Unsere Experten helfen Ihnen gerne weiter,
+49 6102 8631-190
vertrieb@usd.de
Über die PCI Expert Tipps:
Mit den PCI Expert Tipps möchten wir Sie über Neuerungen der PCI Security Standards informieren und Ihnen erste Hinweise geben, wie sie zu verstehen sind und welche Auswirkungen sie haben können. Unsere Artikel sind dabei immer nur als allgemeine Richtschnur zu verstehen, sie ersetzen nicht die individuelle Betrachtung im Einzelfall.