Data-Security Blog über   Managed File Transfer (MFT) ifms Clearswift Data Loss Prevention (DLP) Automate Termine & Webinare u.v.m.

Teilen:    

Bereiten Sie sich bereits auf die Einführung von PCI 4.0 vor?

Die Anforderungen zum Schutz von Daten der Karteninhaber treten am 31.03.2024 in Kraft

PCI 4.0-credit-card-security

Die Compliance-Vorschriften werden ständig weiterentwickelt, um immer gezieltere Cyberkriminalität zu bekämpfen. Die PCI DSS-Compliance-Anforderungen sind eine der wichtigsten Aktualisierungen, die den Schutz der Daten von Karteninhabern verbessern sollen. PCI Version 4.0 wird ab März 2024 verpflichtend sein. Es ist jetzt an der Zeit, sicherzustellen, dass Sie in Ihrem Unternehmen die neuen Standards erfüllen.

Version 4.0 definiert zwölf Kriterien, die umgesetzt werden sollen:

–  Kontrollen im Netzwerk einrichten und prüfen

  Konfiguration aller Komponenten des Systems sichern personengebundener Information unterstützen

  Gespeicherte Account-Daten schützen

  Daten der Kreditkartenbesitzer verschlüsseln

  Alle Systeme gegen Malware schützen

  Sicherheitssysteme und -anwendungen entwickeln und pflegen

  Zugriffe auf die Daten der Kreditkartenbesitzer auf Personen und Systeme beschränken, die sie wirklich benötigen

  Eindeutige Identifikationsmerkmale für alle Anwender mit Zugriff auf das Netzwerk und die darin enthaltenen Systeme einsetzen

  Physische Zugriffe auf die Daten der Kreditkartenbesitzer beschränken

  Zugriffe auf die Netzwerke und Daten der Kreditkartenbesitzer protokollieren und überwachen

  Alle Systeme und Ressourcen regelmäßig auf ihre Sicherheit testen

  Sicherheitsrichtlinien und -programme entwickeln, umsetzen und pflegen

PCI 4.0 und Datenschutz

Indem Sie bereits heute darauf achten, was in Ihrem Unternehmen zukünftig zu tun ist, können Sie sich viel Kopfzerbrechen ersparen und gegebenenfalls beachtliche Geldstrafen für die Nichteinhaltung der Vorschriften vermeiden. Wenn Ihr Unternehmen Kreditkartendaten verarbeitet oder speichert, ist diese Aktualisierung für Sie relevant.

Der PCI Security Standards Council (PCI SSC) hat die Anforderungen der Version 4.0 im März 2022 als Update der Version 3.2.1 (zuletzt 2018) aktualisiert. Da immer mehr Karten kontaktlos verwendet werden und immer mehr Zahlungen in der Cloud erfolgen, war diese Aktualisierung überfällig.

Das ist jedoch viel Arbeit und kaum zu gewährleisten, wenn man diese Kriterien manuell oder über eigene Skripte realisieren will.

Ändern sich die 12 Schlüsselkontrollen des PCI DSS?

Kurz gesagt: nein. Die Anforderungen, die erfüllt werden müssen, sind nicht völlig neu, da sie nach wie vor unter die 12 Schlüsselkontrollen des PCI DSS fallen, welche vom PCI Council, einem globalen Forum von Branchenvertretern, definiert wurden. Die grundlegenden Anforderungen sind im Wesentlichen die gleichen, aber v4.0 legt mehr Gewicht auf die Sicherheitsziele und wie diese erreicht werden können.

Mit dem Update auf 4.0 verfolgt der PCI Council vor allem folgende Ziele:

Ziele verfolgen für die Einführung von PCI 4.0

  Die Erfüllung der PCI-Standards mit den Anforderungen der Zahlungsindustrie: Dadurch wird sichergestellt, dass sich die Sicherheitsverfahren weiterentwickeln, wenn sich die Risiken für personenbezogene Daten ändern und wachsen. Die neuen Sicherheitsanforderungen erweitern die Multi-Faktor-Authentifizierung, aktualisieren die Anforderungen an Passwörter und gehen auf E-Commerce und Phishing ein.

  Die Sicherheit als kontinuierlichen Prozess fördern: So wie die Cyberkriminalität weiter voranschreitet, muss auch die Entwicklung der Sicherheit als kontinuierlicher Prozess vorangetrieben werden, um die Zahlungsmethoden im Auge zu behalten. Der PCI-Rat fordert klar zugewiesene Rollen und Verantwortlichkeiten für jede einzelne Anforderung, um diesen Prozess zu unterstützen.

  Einführung verbesserter Validierungsverfahren und -methoden: Mit klaren Validierungs- und Berichtsoptionen werden Transparenz und Granularität unterstützt. Das Gremium stellt eine größere Übereinstimmung sicher zwischen den in einem Konformitätsbericht oder einem Fragebogen zur Selbsteinschätzung gemeldeten Informationen und den in einer Konformitätsbescheinigung zusammengefassten Informationen sicher.

  Firewall Terminologie auf den neuesten Stand bringen: Dies sollte nun einen Verweis auf Netzwerk-Sicherheitskontrollen einschließen, um ein breiteres Spektrum an Technologien zu berücksichtigen, die bei der Erfüllung von Sicherheitszielen unterstützen, welche zuvor nur von Firewalls erfüllt wurden.

  Ausdehnung der Anforderung 8: Diese Anforderung umfasst nun auch die Multi-Faktor-Authentifizierung für den Zugang zur Datenumgebung des Karteninhabers.

  Mehr Flexibilität bei der Erreichung unterschiedlicher Sicherheitsanforderungen mit unterschiedlichen, nachweisbaren Methoden schaffen: Der Europarat ist der Ansicht, dass dies mehr Möglichkeiten bietet, um das Ziel einer Sicherheitsanforderung zu erreichen, und Innovationen im Bereich der Zahlungstechnologie unterstützt, wie z. B. Gruppen-, Gemeinschafts- und Einzelkonten.

  Zielgerichtete Risikoanalyse: Damit können Unternehmen feststellen, wie häufig sie bestimmte Vorgänge über einen individuellen Ansatz zur Umsetzung und Validierung der PCI DSS-Anforderungen durchführen, um ihre Sicherheitsziele zu erreichen.

Wird ein Zeitplan für die Umsetzung von PCI 4.0 empfohlen?

Wie ein altes Sprichwort sagt, schlägt die Stunde der Gegenwart. Für die Umsetzung der erforderlichen Änderungen haben Sie also noch eine Weile Zeit. Die offiziellen Anforderungen treten am 31. März 2024 in Kraft, wobei eine Übergangsfrist am 31. März 2025 endet. Dieser Zeitrahmen gibt Unternehmen die Möglichkeit, alle notwendigen Änderungen im Sinne der Konformität zu planen und umzusetzen.

Es kann einige Zeit in Anspruch nehmen, bis Ihr Unternehmen auf dem neuesten Stand ist, was die Einhaltung der Vorschriften anbelangt. Sie sollten auch die erforderlichen Ressourcen vorsehen, damit Sie die Frist einhalten können. Berücksichtigen Sie die nötige Zeit, um gegebenenfalls neue Technologien einzuführen, um die Einhaltung der Vorschriften zu gewährleisten und um zu prüfen, wie es um die Cybersicherheit heute und künftig bestellt ist. Beziehen Sie zusätzlich Schulungsmaßnahmen für Ihre Mitarbeiter ein, um sich besser gegen einen Verstoß gegen Ihre PCI-bezogenen Daten zu schützen.

Zeitplan Einführung PCI 4.0

Verankern Sie die PCI Compliance als Teil der gesamten Cybersicherheitsstrategie

Bereiten Sie sich bereits auf die Einführung von PCI 4.0 vor? | systematik GmbH

Die vom PCI Council festgelegten Richtlinien zu befolgen, ist eine Voraussetzung. Allerdings geht es nicht nur darum, die vorgeschriebenen Schritte oder Prozesse abzuarbeiten, vielmehr sollte die Einhaltung der PCI-Anforderungen in Ihren Schulungsmaßnahmen, der Verbesserung von Unternehmensrichtlinien und -prozessen sowie dem Gesamtkonzept der Cybersicherheit als Kontinuum verankert werden.

Ein wichtiger Schritt in Bezug auf PCI (und andere Compliance-Anforderungen) ist die Frage, wie Ihr Unternehmen die vielen Dateien, die es täglich austauscht handhabt und sichert. Managed File Transfer (MFT)-Software ist eine dieser Lösungen, auf die viele Unternehmen zurückgreifen, um den Dateiübertragungsprozess proaktiv zu sichern, zu automatisieren, zu rationalisieren und transparenter zu gestalten.

GoAnywhere MFT von Fortra ermöglicht die Einhaltung von PCI DSS und anderen branchenspezifischen Compliance-Vorgaben. Es sorgt für überprüfbare, zentralisierte und automatisierte Dateiübertragungen und bietet die folgenden Vorteile, die die Einhaltung der Vorschriften erleichtern:

–   Sichere Schnittstellen für die Übermittlung sensibler Daten

  Detaillierte Prüfprotokolle und Berichte

  Verschlüsselung von Daten sowohl während der Übertragung als auch im Ruhezustand, mit Schlüsselmanagement für die Codierung

  Hält PCI-Daten von der DMZ fern

  Die Ports zum internen Netzwerk werden geschlossen, um unbefugtes Eindringen zu verhindern

Sicherheit für die Datenübermittlung

Die Automatisierungs- und Sicherheitsfunktionen von GoAnywhere tragen außerdem dazu bei, kostspielige manuelle Fehlbedienungen im Umgang mit PCI-bezogenen Daten zu vermeiden.

Die Erfüllung der PCI DSS 4.0-Anforderungen lässt sich mit einem starken Partner und einer zuverlässigen Technologie an Ihrer Seite einfacher gestalten. Die systematik GmbH und GoAnywhere unterstützen Ihr Unternehmen bei der Erfüllung Ihrer individuellen Anforderungen.

Laden Sie sich gerne das Whitepaper zur PCI-Konformität herunter, um mehr zu erfahren oder kontaktieren Sie uns und lassen Sie sich von unseren Experten zeigen, wie Sie nach Ihren Bedürfnissen mit GoAnywhere MFT die PCI 4.0-Anforderungen auf unkomplizierte, verlässliche und sichere Weise erfüllen können.

Datasheets zum Thema

Bereiten Sie sich bereits auf die Einführung von PCI 4.0 vor? | systematik GmbH

Weitere Fragen?

Rufen Sie uns gerne an: +49 (0) 5251 / 13 42 – 0

Oder schreiben Sie uns direkt:

Passende Blogartikel:

End of life für Attunity repliweb MFT
Managed File Transfer

Attunity repliweb MFT – Alternative GoAnywhere MFT

Der Wechsel von Attunity repliweb MFT zu GoAnywhere MFT ist eine sinnvolle Entscheidung. Durch das End of Life des bisherigen Systems ist es notwendig geworden, nach Alternativen zu suchen. GoAnywhere MFT bietet dabei nicht nur alle wichtigen Funktionen, die auch bei Attunity repliweb MFT vorhanden waren, sondern geht sogar noch darüber hinaus.

Weiterlesen »
Datensicherheit in und aus der Cloud gewährleisten
Data Loss Prevention

Datensicherheit in der Cloud – sichern Sie sich das kostenlose eBook

Hier geht es um das Thema Datensicherheit in der Cloud und gibt einen Überblick darüber, wie Unternehmen ihre Daten in der Cloud schützen und kontrollieren können. Es wird auch auf die Risiken und Herausforderungen eingegangen, die mit der Nutzung von Cloud-Diensten verbunden sind. Das eBook „Kontrolle in der Cloud: MFT zur sicheren Handhabung Ihrer Daten“ – welches wertvolle Tipps zur Datensicherheit in der Cloud liefert – steht zum kostenlosen Download bereit Es konzentriert sich darauf, welche Fragen Unternehmen sich stellen sollten, bevor sie eine Cloud-Lösung auswählen und welche Schritte sie unternehmen können, um ihre Daten zu schützen.

Weiterlesen »

Folgen Sie uns in den Netzwerken:    

Rubriken
Downloads

Downloads

In unserem Downloadbereich finden Sie weiteres Infomaterial
kostenlos
Termine & Webinare

Individuelle WebEx buchen

Gerne zeigen wir Ihnen – zugeschnitten auf Ihre individuellen Bedürfnisse – alle für Sie relevanten Features in einer MFT WebEx!

Wir freuen uns auf Ihren Terminvorschlag.

Weiterlesen »
Newsletter

Blog Updates

Interessante Blog-Beiträge frei Haus zustellen lassen. Verpassen Sie keine Fachthemen mehr!
kostenlos