Netzwerksegmentierung und PCI-Konformität

Der Ausgangspunkt bei der Formulierung des Umfangs Ihrer Compliance-Reise zum Payment Card Industry Data Security Standard (PCI DSS) beginnt mit der Netzwerksegmentierung. Dazu müssen lediglich Kontrollen erstellt werden, die auf Ihre Datensicherheitsanforderungen ausgerichtet sind.

Damit Sie die PCI-Netzwerksegmentierungsstandards erfüllen, müssen Sie zunächst die Ziele und den Zweck des Standards verstehen.

Was ist die Cardholder Data Environment (CDE)?

PCI DSS beschreibt Karteninhaberdaten (CHD) als alle persönlich identifizierbaren Daten, die mit der Debit- oder Kreditkarte einer Person verbunden sind. Diese Definition umfasst auch Primary Account Numbers (PANs) sowie Servicecode, Name des Karteninhabers, Ablaufdatum und alle anderen sensiblen Kartenauthentifizierungsdaten. Einfach ausgedrückt umfasst CDH alle Informationen, die verwendet werden können, um entweder die Karte einer Person in betrügerischer Absicht zu belasten oder eine Identität zu stehlen.

Die Karteninhaberdatenumgebung umfasst Computer oder Netzwerksysteme, die an der Verarbeitung, Speicherung oder Übertragung dieser Informationen beteiligt sind. CDH umfasst verwandte Systemkomponenten wie Server, Netzwerkgeräte, Computergeräte und Anwendungen. Dies können virtuelle Komponenten, Sicherheitsdienste, Netzwerkkomponenten, Anwendungen, Servertypen und alles andere sein, was mit der CDE verbunden ist. Wenn Systeme oder Mitarbeiter auf CHD zugreifen können, sollte dies von den anderen Aspekten Ihres Unternehmens getrennt werden.

PCI DSS und Netzwerksegmentierung

Bei der Netzwerksegmentierung wird untersucht, wie Informationen über Ihre Systeme übertragen werden. Sie sollten Ihr CDE als Fluss sehen und Karteninhaberdaten als Kanu, das durch die Stromschnellen navigiert. Flüsse haben normalerweise mehrere Zugangspunkte für Boote. Ebenso verfügt Ihr Netzwerk über verschiedene Datenzugriffspunkte. Sie sind wie Flüsse, die mit Nebenflüssen verbunden sind. Solange Ihr CHD einen Weg innerhalb Ihres Netzwerks hinunterschwimmen kann, müssen Sie entweder einen Damm bauen oder diesen Nebenfluss schützen.

Zum Beispiel wird Konnektivität von PCI DSS als drahtlos, virtualisiert und physisch definiert. An jedem Punkt dieses Flusses kann CHD eintreten. Drahtlose Konnektivität kann Bluetooth-Verbindungen und LANs umfassen. Physische Konnektivität kann USB-Laufwerke sein. Virtualisierte Konnektivität umfasste typischerweise gemeinsam genutzte Ressourcen, darunter virtuelle Maschinen und virtuelle Firewalls. Es wird empfohlen, diese Datenzugriffspunkte zu sichern, damit CHD nicht gefährdet wird.

Wie Unternehmen Systeme erfassen

PCI DSS Scoping sollte die kritische Bewertung aller Datenzugriffspunkte und Nebenflüsse beinhalten, die auf Ihrem CDE-Fluss gefunden werden. Die PCI-DSS-Bewertung beginnt mit der Klassifizierung, wie und wo KHK empfangen wird. Während Sie am Ufer Ihres CDE-Flusses auf und ab gehen, müssen Sie alle Zahlungskanäle sowie Methoden zum Akzeptieren von Karteninhaberdaten genau bestimmen. Folgen Sie danach der Informationsreise beginnend mit der Sammlung über die Vernichtung, Entsorgung und Übertragung.

Sie sollten auch unsere Orte auf Ihrem CDE lokalisieren und markieren, wo Daten gespeichert, verarbeitet oder übertragen werden. Diese Identifizierung kann nicht nur beinhalten, zu verstehen, wer mit Daten umgeht, sondern auch, wie Informationen verarbeitet werden. Sie müssen auch Prozesse und Technologien dokumentieren, die Sie zum Schutz Ihrer Datenumgebung eingerichtet haben.

Nachdem Sie den Informationsfluss durch Ihr Netzwerk verfolgt haben, stellen Sie sicher, dass Sie alle Prozesse, Personen und Systemkomponenten einbeziehen, die das CDE beeinflussen. Dies ist ein entscheidender Schritt, der sich vom vorherigen unterscheidet, da Sie über diejenigen hinausblicken müssen, die mit KHK interagieren. Stattdessen müssen Sie sich auf Personen und Systemkomponenten konzentrieren, die Ihre Datenumgebung steuern.

Sobald Ihr Datenfluss überprüft wurde, müssen Sie Kontrollen zum Schutz der Informationen erstellen. Genauso haben die meisten Flüsse Anlegestellen, die Bootsfahrer an bestimmten Stellen daran hindern sollen, ins Wasser zu gelangen. Um dies ins rechte Licht zu rücken, sind Kontrollen unerlässlich. Ebenso müssen Sie einen Weg finden, einzuschränken, wohin wichtige Informationen gelangen können und wer darauf zugreifen kann.

Dazu müssen Sie die Datensicherheitsversion von dams einrichten. Dies kann die Einrichtung von Verschlüsselungsmethoden und Firewalls umfassen. Nachdem Sie die Kontrolle etabliert haben, müssen Sie sie anwenden, um Ihre Prozesse, Systemkomponenten und Ihr Personal zu sichern. Am wichtigsten ist, dass Sie die Kontrollen überwachen müssen, um sicherzustellen, dass sich alle von Ihnen vorgenommenen Änderungen parallel zu Ihrer CDE weiterentwickeln.

Gibt es Systeme außerhalb des Geltungsbereichs?

Out-of-Scope-Systeme werden vom Payment Card Industry Security Standard Council (PCI SSC) als solche ohne Zugriff auf CDE-Systeme definiert. Bemerkenswerterweise sind Out-of-Scope-Systeme selten geworden. PCI SSC schreibt vor, dass die Systemkomponente CHD nicht speichern, verarbeiten oder gar übertragen soll. Ebenso sollte es nicht mit Netzwerksegmenten verbunden sein, die CHD berühren.

Drittanbieter und Dienstanbieter fallen in den Geltungsbereich der Einhaltung Ihrer PCI-Sicherheitsstandards. Sie ähneln den Förstern deines Flusses. Indem sie Ihre Geschäftspartner sind, bieten sie Ihnen Ferndienste an. Da sie ständig mit Ihrer Datenumgebung interagieren, können sie Risiken einführen, die CHD gefährden können. Dies unterstreicht die Bedeutung der Teilnahme an der Überwachung durch Dritte sowie die Verwaltung Ihres Anbieter-Ökosystems.

Anmerkung des Herausgebers: Ken Lynch ist ein erfahrener Startup-Experte für Unternehmenssoftware, der sich schon immer dafür interessiert hat, was Mitarbeiter zur Arbeit antreibt und wie man die Arbeit ansprechender gestalten kann. Ken gründete Reciprocity, um genau das zu verfolgen. Er hat den Erfolg von Reciprocity mit diesem missionsbasierten Ziel vorangetrieben, Mitarbeiter mit den Governance-, Risiko- und Compliance-Zielen ihres Unternehmens zu beschäftigen, um sozial denkendere Unternehmensbürger zu schaffen. Ken erwarb seinen BS in Informatik und Elektrotechnik am MIT. Erfahren Sie mehr unter ReciprocityLabs.com.

Haben Sie irgendwelche Gedanken dazu? Lassen Sie es uns unten in den Kommentaren wissen oder übertragen Sie die Diskussion auf unseren Twitter oder Facebook.

Empfehlungen der Redaktion:

• PCI-DSS-Protokollverwaltung
• Scoping eines SOC2-Audits
• Prüfungsanforderungen – Privatunternehmen in den USA
• Risikomanagementplan – Wozu dient er?
• Datenanalysestrategie zur Wirksamkeit der internen Revision