PCI-DSS-Protokollverwaltung

Jedes Unternehmen, dessen Dienstleistungsbereich das Einziehen von Zahlungen umfasst, muss über Systeme zum Schutz der Kundendaten verfügen, sei es im Gesundheitswesen, in der Lebensmittelbranche, im Einzelhandel, im Gastgewerbe oder in einer anderen Branche. Denn die Übermittlung von Zahlungsdaten ist sehr sensibel.

Der Payment Card Industry Data Security Standard oder PCI-DSS setzt nicht nur die Industriestandards für Karteninhaberdaten (CD), sondern setzt diese Standards auch mit Strafen gegen Verstöße durch.

Was genau beinhaltet PCI-DSS?

Bereits in den frühen 2000er Jahren trafen sich die fünf weltweit führenden Anbieter von Zahlungskartentransaktionen: American Express, MasterCard, Discover Financial Services, Visa Inc. und JCB International, um das Payment Card Industry-Security Standards Council oder PCI-SSC zu gründen. Der Rat hat Informationssicherheitsstandards für die Zahlungsabwicklung mit zwei Zielen entwickelt:

• Schutz der Kunden vor unbefugtem Identitätsdiebstahl und
• Unterstützung der Kartenindustrie bei der Vermeidung von Zahlungen für vermeidbare Datenschutzverletzungen.

Aus den Beratungen des PCI-SSC wurde das, was wir heute als „Best Practices“ der Kartenindustrie zum Schutz von Kundenzahlungsdaten und -informationen kennen, bald in PCI-DSS standardisiert.

Strafen für PCI-DSS-Nichteinhaltung

Obwohl PCI-DSS nur als „Industriestandard“ und nicht als Vorschrift bezeichnet wird, ist seine Einhaltung alles andere als optional. Die Nichteinhaltung kann Ihrem Geschäft als Händler erheblich schaden. Kartenunternehmen und Acquiring-Banken können bei Nichteinhaltung monatliche Strafen zwischen 5.000 und 100.000 US-Dollar zahlen. Solche Bußgelder können für KMU ein Todesurteil sein.

Ist die PCI-DSS-Konformität dann obligatorisch ?

Ja, so ist es! Unabhängig von der Größe Ihres Unternehmens oder der Branche, in der Sie tätig sind, ist PCI-DSS-Konformität ein Muss, wenn Sie Karteninhaberdaten akzeptieren, übertragen oder speichern.

PCI-DSS-Anforderung 10: Was ist das?

Diese Anforderung betrifft die Überwachung des Zugriffs sowohl auf Netzwerke als auch auf Daten. Darin heißt es: Verfolgen und überwachen Sie jeden Zugriff auf Netzwerkressourcen und Karteninhaberdaten.

Abgesehen von Protokollierungsmechanismen ist die Fähigkeit, Benutzeraktionen zu verfolgen und zu überwachen, entscheidend für die Erkennung, Verringerung der Auswirkungen oder die vollständige Verhinderung von Datenschutzverletzungen. Mit Systemaktivitätsprotokollen ist es einfacher, die Quelle eines Verstoßes zu verfolgen, zu analysieren und zu bestimmen, um die betroffenen Behörden zum Handeln zu alarmieren.

Mit 39 Unterabschnitten, die ihre Anforderungen konkretisieren, betont Anforderung 10, dass Sie den Benutzerzugriff auf und die Aktivitäten in Ihrer Umgebung kontinuierlich überwachen. Benutzerzugriffskontrollen ermöglichen es Ihnen, eine sichere Umgebung für Karteninhaberdaten (CDE) zu gewährleisten. Da es sich bei PCI-DSS um eine Reihe von Standards handelt, enthält es außerdem eine ausführliche Liste der Schritte, Prozesse und Dokumente, die zur Erfüllung seiner Anforderungen erforderlich sind.

Anforderung 10 Compliance: Welche Aufzeichnungen werden benötigt?

Um sicherzustellen, dass Sie die Anforderungen vollständig erfüllen, verfügt PCI-DSS über viele eingebaute Mechanismen. Neben der Auflistung von Abschnitten, Unterabschnitten und Teilen von Unterabschnitten enthält der Standard auch einen Abschnitt mit Leitlinien, um seinen Benutzern zu helfen, eine effektive Kontrollüberprüfung zu schätzen. Nachfolgend finden Sie eine Zusammenstellung von Schritten, die Ihnen helfen können, Daten zu protokollieren, die für die Feststellung, ob Sie konform sind oder nicht, unerlässlich sind:

• Entwerfen Sie ein System/einen Prozess, der den Benutzerzugriff auf die Bereiche des Systems verbindet, auf die Zugriff erlangt wurde, und seien Sie sicher, dass Sie jede verdächtige Aktivität bis zu ihrer Quelle zurückverfolgen können.
• Erstellen Sie Audit-Trails, die zeigen, wie der Systemadministrator über verdächtige Aktivitäten benachrichtigt werden und entsprechend reagieren kann.
• Zeichnen Sie alle individuellen Zugriffseinträge auf das CDE auf, um nachzuweisen, dass keine unbefugten Benutzer Zugriff auf die Systeme, Netzwerke und Daten erhalten haben.
• Stellen Sie sicher, dass Sie alle Aktivitäten aufzeichnen, die von „Admin/Root“-Konten durchgeführt werden, die einen möglichen Missbrauch von Rechten deutlich machen, und verfolgen Sie die Verletzung bis zu ihrer spezifischen Quelle.
• Bewahren Sie die Dateiintegrität von Überwachungsprotokollen, indem Sie eine Methode implementieren, um Änderungen, Hinzufügungen oder Löschungen an ihnen zu identifizieren.
• Machen Sie Aufzeichnungen über ungültige/illegale Anmeldeversuche, um Passwortvermutungen und Brute-Force-Hacking-Angriffe nachzuverfolgen.
• Ein Dokument, mit dem Sie jede Manipulation von Authentifizierungsaktivitäten verfolgen können, die versuchen, Kontrollen zu umgehen.
• Zeichnen Sie alle Pausen/Neustarts der Überwachungsprotokollierungsprozesse Ihres Systems auf.
• Führen Sie Aufzeichnungen, um nachzuweisen, dass Objekte auf Systemebene wie Datenbanken oder gespeicherte Prozeduren nicht über nicht autorisierte Benutzerkonten erstellt/gelöscht wurden.
• Erstellen Sie ein Ereignisprotokoll, um Benutzer-IDs, Ereignistypen, Zeitstempel, Erfolgs-/Fehlerindikatoren, Ereignisursprung, betroffene Daten, betroffene Systemkomponenten und Ressourcenidentität/-namen aufzuzeichnen.
• Synchronisieren Sie Uhren über Systemkomponenten hinweg, um genaue Ereignissequenzen für Forensikteams im Auge zu behalten.
• Nutzen Sie das „Prinzip der geringsten Rechte“ beim Audit-Log-Zugriff, um die Integrität und Sicherheit von Informationen zu gewährleisten.
• Sichern Sie Protokolle auf zentralisierten Servern/Medien, die die Datenintegrität garantieren.
• Protokolle direkt schreiben oder von externen Quellen auf ein sicheres internes System auslagern/kopieren.
• Integrieren Sie Dateiintegritätsüberwachungs- und Änderungserkennungsmechanismen, um Audit-Log-Änderungen im Falle von Datumslücken zu erkennen.
• Überprüfen Sie Protokolle regelmäßig, entweder manuell oder über Tools zum Sammeln und Analysieren von Protokollen und Warnmeldungen.
• Überprüfen Sie die Sicherheitskontrollen täglich auf Warnungen zu kritischen Systemkomponentenprotokollen, z. B. verdächtige Aktivitäten.
• Planen Sie regelmäßige Überprüfungen für alle Systemkomponenten, die potenzielle Probleme oder unbefugte Zugriffsversuche auf sensible Systeme über weniger sensible Systeme aufdecken.
• Behalten Sie die Untersuchungen von Ausnahmen/Anomalien im Auge.
• Bewahren Sie alle Aufzeichnungen mindestens ein Jahr lang auf.
• Stellen Sie sicher, dass die Mitarbeiter die Sicherheitsrichtlinien und deren Überwachung kennen.

Zusätzliche Anforderungen für Dienstleister

• Implementieren Sie formale Verfahren, um kritische Sicherheitskontrollfehler zu erkennen/zu melden, z. B. Firewall-Regeln löschen oder offline gehen.
• Bewahren Sie Nachweise über die Reaktion auf Sicherheitsausfälle auf, einschließlich der beteiligten und verantwortlichen Verfahren.

Anmerkung des Herausgebers: Ken Lynch ist ein erfahrener Startup-Experte für Unternehmenssoftware, der sich schon immer dafür interessiert hat, was Mitarbeiter zur Arbeit antreibt und wie man die Arbeit ansprechender gestalten kann. Ken gründete Reciprocity, um genau das zu verfolgen. Er hat den Erfolg von Reciprocity mit diesem missionsbasierten Ziel vorangetrieben, Mitarbeiter mit den Governance-, Risiko- und Compliance-Zielen ihres Unternehmens zu beschäftigen, um sozial denkendere Unternehmensbürger zu schaffen. Ken erwarb seinen BS in Informatik und Elektrotechnik am MIT. Erfahren Sie mehr unter ReciprocityLabs.com.

Haben Sie irgendwelche Gedanken dazu? Lassen Sie es uns unten in den Kommentaren wissen oder übertragen Sie die Diskussion auf unseren Twitter oder Facebook.

Empfehlungen der Redaktion:

• Scoping eines SOC2-Audits
• Prüfungsanforderungen – Privatunternehmen in den USA
• Risikomanagementplan – Wozu dient er?
• Datenanalysestrategie zur Wirksamkeit der internen Revision
• Priorisierung von Risiken im Projektmanagement