„Prompt“, „vierteljährlich“, „periodisch“: Viele Anforderungen des PCI DSS fordern die Durchführung von Maßnahmen in einem vorgegebenen Zeitrahmen. Während Version v3.2.1 des PCI DSS hier einen gewissen Spielraum für Interpretationen ließ, enthält Version v4.0 erstmals konkrete Erläuterungen dazu. Das Payment Card Industry Security Standards Council (PCI SSC) will damit Diskussionen und Unstimmigkeiten zwischen Organisationen, ihren Auditoren und den Kreditkartenorganisationen vorbeugen.
Aber was genau bedeutet „periodisch“? Was geschieht, wenn Ihr Unternehmen eine vorgegebene Frist einmal überschreitet? Und was müssen Sie in Ihrem ersten PCI DSS-Audit beachten? In diesem Artikel beantworten wir diese Fragen.
Die Zeitrahmen in PCI DSS v4.0
Das Council gibt vor, dass Maßnahmen in einem Intervall durchgeführt werden, das so nah wie möglich an dem vorgegebenen Zeitrahmen liegt, ohne ihn zu überschreiten. Es trifft dabei nur Minimalvorgaben – es steht Ihnen selbstverständlich frei, Maßnahmen bei Bedarf häufiger durchzuführen.
Hier ist ein vollständiger Überblick über die in PCI DSS v4.0 neu definierten Zeitrahmen:
Sofort | Ohne Verzug; in Echtzeit oder nahezu in Echtzeit. |
Prompt | So schnell wie möglich. |
Täglich | An jedem Tag des Jahres (nicht nur an Werktagen). |
Wöchentlich | Mindestens einmal alle sieben Tage. |
Monatlich | Mindestens einmal alle 30 bis 31 Tage oder am n-ten Tag des Monats. |
Alle drei Monate („vierteljährlich") | Mindestens einmal alle 90 bis 92 Tage oder am n-ten Tag von jedem dritten Monat. |
Alle sechs Monate | Mindestens einmal alle 180 bis 184 Tage oder am n-ten Tag von jedem sechsten Monat. |
Alle 12 Monate („jährlich“) | Mindestens einmal alle 365 (oder 366 für Schaltjahre) Tage oder jedes Jahr am gleichen Datum. |
Periodisch | Die Häufigkeit der Durchführung der Maßnahme liegt im Ermessen des Unternehmens. Sie muss dokumentiert und durch eine zielgerichtete Risikoanalyse des Unternehmens unterstützt sein. Unternehmensseitig muss dargestellt werden, dass die Häufigkeit angemessen ist, damit die Maßnahme effektiv ist und den Zweck der Anforderung erfüllt. |
Signifikante Änderung | Einige Requirements beziehen sich auf signifikante Änderungen an der Umgebung eines Unternehmens. Welcher Umstand genau eine signifikante Änderung darstellt, ist stark vom jeweiligen Unternehmen und dessen Umgebung abhängig. Gewisse Maßnahmen haben einen potenziellen Einfluss auf die Sicherheit der CDE (Cardholder Data Environment, Karteninhaberdatenumgebung). Mindestens die folgenden Maßnahmen sind als signifikante Änderung zu bewerten: - Inbetriebnahme von neuer Hardware, Software oder Netzwerkgeräten in der CDE - Jeglicher Austausch oder wesentliche Upgrades von Hardware und Software in der CDE - Alle Änderungen in der Verarbeitung oder der Speicherung von Kontodaten - Alle Änderungen an der Grenze der CDE und/oder des Geltungsbereichs der PCI DSS Assessments - Alle Änderungen an der zugrunde liegenden unterstützenden Infrastruktur der CDE (einschließlich, aber nicht beschränkt auf Änderungen an Verzeichnisdiensten, Zeitservern, Protokollierung und Überwachung) - Alle Änderungen bei Drittanbietern, welche PCI DSS Anforderungen im Auftrag des Unternehmens erfüllen, oder bei erbrachten Dienstleistungen innerhalb der CDE |
Die größte Neuerung: Die eigenständige Festlegung von „periodisch“
Wo der PCI DSS keine Mindesthäufigkeit definiert, ist eine periodische Erfüllung bestimmter Requirements zulässig. Das liegt an der Flexibilität, die der neue, stärker risikobasierte Ansatz für die PCI-Compliance jetzt zulässt. Dabei bestimmen Sie die Frequenz periodischer Maßnahmen in Ihrem Unternehmen selbst, abhängig von Ihrem Risiko, Ihrem Geschäft und Ihren Prozessen. Die Sicherheitsrichtlinie Ihres Unternehmens und eine Risikoanalyse gemäß PCI DSS Requirement 12.3.1 helfen Ihnen dabei, eine angemessene Frequenz festzulegen. Sie müssen nachweisen, dass diese ausreicht, um die Wirksamkeit und den Zweck der Requirements zu erfüllen.
Was passiert, wenn mein Unternehmen die Frist einer vorgegebenen Maßnahme überschreitet?
Grundlegend sollten Sie sowohl bei definierten Zeitpunkten als auch bei einer periodisch festgelegten Maßnahme dokumentierte Prozessschritte implementieren, um sicherzustellen, dass die Maßnahmen innerhalb eines definierten Zeitintervalls durchgeführt werden. Dieser Prozess enthält mindestens die folgenden Schritte:
Haben Sie diesen Prozess etabliert und folgen seinen Schritten, wenn Sie die Frist einer Maßnahme einmal überschreiten sollten, entfällt Ihr „compliant“-Status nicht automatisch.
Wenn jedoch kein solcher Prozess vorhanden ist und/oder die Maßnahme aufgrund von Nachlässigkeit, Management-Fehlern oder mangelnder Überwachung nicht planmäßig durchgeführt wurde, haben Sie das entsprechende Requirement nicht erfüllt. In einem solchen Fall können Sie das Requirement daraufhin noch erfüllen, wenn Ihr Unternehmen
- den zuvor beschriebenen Prozess dokumentiert oder erneut bestätigt, um sicherzustellen, dass die geplante Maßnahme pünktlich durchgeführt wird,
- den Zeitplan neu definiert,
- den Nachweis erbringt, dass die geplante Maßnahme mindestens einmal gemäß ihrem Zeitplan durchgeführt wurde.
Zeitrahmen bei erstmaligem PCI DSS Audit
Werden Sie erstmalig nach PCI DSS zertifiziert, müssen Sie im Audit nicht nachweisen, dass sie geforderte Maßnahmen bereits für jeden vorgegebenen Zeitrahmen im Vorjahr durchgeführt haben. Ihre PCI-Auditor*innen müssen lediglich die folgenden Aspekte prüfen:
- Die Maßnahme wurde gemäß den Anforderungen innerhalb des letzten Zeitrahmens (z.B. der letzten Dreimonats- oder Sechsmonatsperiode) durchgeführt
- Ihr Unternehmen hat Richtlinien und Prozeduren für die Fortführung der Maßnahme innerhalb des festgelegten Zeitrahmens dokumentiert
Für die nachfolgenden Jahre nach dem ersten Audit muss die Maßnahme innerhalb jedes geforderten Zeitrahmens mindestens einmal durchgeführt worden sein.
Für Sie steht dieses Jahr das erste PCI DSS Audit nach Version 4.0 an?
Starten Sie gut vorbereitet ins Audit:
In unserem kostenfreien usd Webinar zur Targeted Risk Analysis nimmt unser Kollege Tobias Weber Sie mit auf einen Deep Dive in die gezielte Risikoanalyse. Die Webinaraufzeichnung finden Sie hier.
Sie finden alles Wissenswerte zu PCI DSS v4.0 in unseren Blogposts und Webinar-Aufzeichnungen. Haben Sie weitere Fragen? Kommen Sie gerne auf uns zu.