Teilen:
Bereiten Sie sich bereits auf die Einführung von PCI 4.0 vor?
Die Anforderungen zum Schutz von Daten der Karteninhaber treten am 31.03.2024 in Kraft
Die Compliance-Vorschriften werden ständig weiterentwickelt, um immer gezieltere Cyberkriminalität zu bekämpfen. Die PCI DSS-Compliance-Anforderungen sind eine der wichtigsten Aktualisierungen, die den Schutz der Daten von Karteninhabern verbessern sollen. PCI Version 4.0 wird ab März 2024 verpflichtend sein. Es ist jetzt an der Zeit, sicherzustellen, dass Sie in Ihrem Unternehmen die neuen Standards erfüllen.
Version 4.0 definiert zwölf Kriterien, die umgesetzt werden sollen:
– Kontrollen im Netzwerk einrichten und prüfen
– Konfiguration aller Komponenten des Systems sichern personengebundener Information unterstützen
– Gespeicherte Account-Daten schützen
– Daten der Kreditkartenbesitzer verschlüsseln
– Alle Systeme gegen Malware schützen
– Sicherheitssysteme und -anwendungen entwickeln und pflegen
– Zugriffe auf die Daten der Kreditkartenbesitzer auf Personen und Systeme beschränken, die sie wirklich benötigen
– Eindeutige Identifikationsmerkmale für alle Anwender mit Zugriff auf das Netzwerk und die darin enthaltenen Systeme einsetzen
– Physische Zugriffe auf die Daten der Kreditkartenbesitzer beschränken
– Zugriffe auf die Netzwerke und Daten der Kreditkartenbesitzer protokollieren und überwachen
– Alle Systeme und Ressourcen regelmäßig auf ihre Sicherheit testen
– Sicherheitsrichtlinien und -programme entwickeln, umsetzen und pflegen
Indem Sie bereits heute darauf achten, was in Ihrem Unternehmen zukünftig zu tun ist, können Sie sich viel Kopfzerbrechen ersparen und gegebenenfalls beachtliche Geldstrafen für die Nichteinhaltung der Vorschriften vermeiden. Wenn Ihr Unternehmen Kreditkartendaten verarbeitet oder speichert, ist diese Aktualisierung für Sie relevant.
Der PCI Security Standards Council (PCI SSC) hat die Anforderungen der Version 4.0 im März 2022 als Update der Version 3.2.1 (zuletzt 2018) aktualisiert. Da immer mehr Karten kontaktlos verwendet werden und immer mehr Zahlungen in der Cloud erfolgen, war diese Aktualisierung überfällig.
Das ist jedoch viel Arbeit und kaum zu gewährleisten, wenn man diese Kriterien manuell oder über eigene Skripte realisieren will.
Ändern sich die 12 Schlüsselkontrollen des PCI DSS?
Kurz gesagt: nein. Die Anforderungen, die erfüllt werden müssen, sind nicht völlig neu, da sie nach wie vor unter die 12 Schlüsselkontrollen des PCI DSS fallen, welche vom PCI Council, einem globalen Forum von Branchenvertretern, definiert wurden. Die grundlegenden Anforderungen sind im Wesentlichen die gleichen, aber v4.0 legt mehr Gewicht auf die Sicherheitsziele und wie diese erreicht werden können.
Mit dem Update auf 4.0 verfolgt der PCI Council vor allem folgende Ziele:
– Die Erfüllung der PCI-Standards mit den Anforderungen der Zahlungsindustrie: Dadurch wird sichergestellt, dass sich die Sicherheitsverfahren weiterentwickeln, wenn sich die Risiken für personenbezogene Daten ändern und wachsen. Die neuen Sicherheitsanforderungen erweitern die Multi-Faktor-Authentifizierung, aktualisieren die Anforderungen an Passwörter und gehen auf E-Commerce und Phishing ein.
– Die Sicherheit als kontinuierlichen Prozess fördern: So wie die Cyberkriminalität weiter voranschreitet, muss auch die Entwicklung der Sicherheit als kontinuierlicher Prozess vorangetrieben werden, um die Zahlungsmethoden im Auge zu behalten. Der PCI-Rat fordert klar zugewiesene Rollen und Verantwortlichkeiten für jede einzelne Anforderung, um diesen Prozess zu unterstützen.
– Einführung verbesserter Validierungsverfahren und -methoden: Mit klaren Validierungs- und Berichtsoptionen werden Transparenz und Granularität unterstützt. Das Gremium stellt eine größere Übereinstimmung sicher zwischen den in einem Konformitätsbericht oder einem Fragebogen zur Selbsteinschätzung gemeldeten Informationen und den in einer Konformitätsbescheinigung zusammengefassten Informationen sicher.
– Firewall Terminologie auf den neuesten Stand bringen: Dies sollte nun einen Verweis auf Netzwerk-Sicherheitskontrollen einschließen, um ein breiteres Spektrum an Technologien zu berücksichtigen, die bei der Erfüllung von Sicherheitszielen unterstützen, welche zuvor nur von Firewalls erfüllt wurden.
– Ausdehnung der Anforderung 8: Diese Anforderung umfasst nun auch die Multi-Faktor-Authentifizierung für den Zugang zur Datenumgebung des Karteninhabers.
– Mehr Flexibilität bei der Erreichung unterschiedlicher Sicherheitsanforderungen mit unterschiedlichen, nachweisbaren Methoden schaffen: Der Europarat ist der Ansicht, dass dies mehr Möglichkeiten bietet, um das Ziel einer Sicherheitsanforderung zu erreichen, und Innovationen im Bereich der Zahlungstechnologie unterstützt, wie z. B. Gruppen-, Gemeinschafts- und Einzelkonten.
– Zielgerichtete Risikoanalyse: Damit können Unternehmen feststellen, wie häufig sie bestimmte Vorgänge über einen individuellen Ansatz zur Umsetzung und Validierung der PCI DSS-Anforderungen durchführen, um ihre Sicherheitsziele zu erreichen.
Wird ein Zeitplan für die Umsetzung von PCI 4.0 empfohlen?
Wie ein altes Sprichwort sagt, schlägt die Stunde der Gegenwart. Für die Umsetzung der erforderlichen Änderungen haben Sie also noch eine Weile Zeit. Die offiziellen Anforderungen treten am 31. März 2024 in Kraft, wobei eine Übergangsfrist am 31. März 2025 endet. Dieser Zeitrahmen gibt Unternehmen die Möglichkeit, alle notwendigen Änderungen im Sinne der Konformität zu planen und umzusetzen.
Es kann einige Zeit in Anspruch nehmen, bis Ihr Unternehmen auf dem neuesten Stand ist, was die Einhaltung der Vorschriften anbelangt. Sie sollten auch die erforderlichen Ressourcen vorsehen, damit Sie die Frist einhalten können. Berücksichtigen Sie die nötige Zeit, um gegebenenfalls neue Technologien einzuführen, um die Einhaltung der Vorschriften zu gewährleisten und um zu prüfen, wie es um die Cybersicherheit heute und künftig bestellt ist. Beziehen Sie zusätzlich Schulungsmaßnahmen für Ihre Mitarbeiter ein, um sich besser gegen einen Verstoß gegen Ihre PCI-bezogenen Daten zu schützen.
Verankern Sie die PCI Compliance als Teil der gesamten Cybersicherheitsstrategie
Die vom PCI Council festgelegten Richtlinien zu befolgen, ist eine Voraussetzung. Allerdings geht es nicht nur darum, die vorgeschriebenen Schritte oder Prozesse abzuarbeiten, vielmehr sollte die Einhaltung der PCI-Anforderungen in Ihren Schulungsmaßnahmen, der Verbesserung von Unternehmensrichtlinien und -prozessen sowie dem Gesamtkonzept der Cybersicherheit als Kontinuum verankert werden.
Ein wichtiger Schritt in Bezug auf PCI (und andere Compliance-Anforderungen) ist die Frage, wie Ihr Unternehmen die vielen Dateien, die es täglich austauscht handhabt und sichert. Managed File Transfer (MFT)-Software ist eine dieser Lösungen, auf die viele Unternehmen zurückgreifen, um den Dateiübertragungsprozess proaktiv zu sichern, zu automatisieren, zu rationalisieren und transparenter zu gestalten.
GoAnywhere MFT von Fortra ermöglicht die Einhaltung von PCI DSS und anderen branchenspezifischen Compliance-Vorgaben. Es sorgt für überprüfbare, zentralisierte und automatisierte Dateiübertragungen und bietet die folgenden Vorteile, die die Einhaltung der Vorschriften erleichtern:
– Sichere Schnittstellen für die Übermittlung sensibler Daten
– Detaillierte Prüfprotokolle und Berichte
– Verschlüsselung von Daten sowohl während der Übertragung als auch im Ruhezustand, mit Schlüsselmanagement für die Codierung
– Hält PCI-Daten von der DMZ fern
– Die Ports zum internen Netzwerk werden geschlossen, um unbefugtes Eindringen zu verhindern
Die Automatisierungs- und Sicherheitsfunktionen von GoAnywhere tragen außerdem dazu bei, kostspielige manuelle Fehlbedienungen im Umgang mit PCI-bezogenen Daten zu vermeiden.
Die Erfüllung der PCI DSS 4.0-Anforderungen lässt sich mit einem starken Partner und einer zuverlässigen Technologie an Ihrer Seite einfacher gestalten. Die systematik GmbH und GoAnywhere unterstützen Ihr Unternehmen bei der Erfüllung Ihrer individuellen Anforderungen.
Laden Sie sich gerne das Whitepaper zur PCI-Konformität herunter, um mehr zu erfahren oder kontaktieren Sie uns und lassen Sie sich von unseren Experten zeigen, wie Sie nach Ihren Bedürfnissen mit GoAnywhere MFT die PCI 4.0-Anforderungen auf unkomplizierte, verlässliche und sichere Weise erfüllen können.
Datasheets zum Thema
- PCI-DSS-4.0-Compliance Whitepaper
- GoAnywhere MFT
- Security Standards with GoAnywhere MFT
- GoAnywhere & Clearswift
Weitere Fragen?
Rufen Sie uns gerne an: +49 (0) 5251 / 13 42 – 0
Oder schreiben Sie uns direkt: