Introducing G2.ai, the future of software buying.Try now
Technologie Glossar

PCI-Konformität

Sagar Joshi
SJ
von Sagar Joshi
Die Einhaltung der Payment Card Industry (PCI) spielt eine entscheidende Rolle in der Datensicherheit. Erfahren Sie mehr über die PCI-Konformität, wie sie Unternehmen hilft, Kreditkartendaten sicher zu halten, sowie nützliche Informationen zu den Vorteilen und bewährten Praktiken der PCI-Konformität.
DefinitionPCI-Konformität Software

In diesem Beitrag

In diesem Beitrag

Was ist PCI-Compliance?

Die PCI-Compliance (Payment Card Industry), ursprünglich bekannt als PCI DSS-Compliance (Payment Card Industry Data Security Standard), ist ein selbstregulierender Verhaltenskodex der Branche, der vom Payment Card Industry Security Standards Council verwaltet wird.

Die PCI-Compliance verpflichtet Organisationen, die mit markengebundenen Kreditkarten unter großen Kartensystemen (Visa, Mastercard, American Express usw.) umgehen, Karteninhaberdaten sicher zu akzeptieren, zu speichern, zu verarbeiten und zu übertragen.

Unternehmen müssen sensible Daten, die in ihrem System gespeichert, übertragen oder verarbeitet werden, entdecken und vor unbefugtem Zugriff schützen, um die PCI-Compliance zu erfüllen. Software zur Entdeckung sensibler Daten erleichtert es, diese sensiblen Daten zu lokalisieren und hilft Unternehmen, geeignete Maßnahmen zu ergreifen, um zu verhindern, dass Hacker darauf zugreifen.

Organisationen benötigen Folgendes, um PCI-konform zu werden:

  • 12 allgemeine Anforderungen der PCI-Compliance
  • 78 Basisanforderungen basierend auf Ihrem Geschäft
  • Vierhundert Testverfahren, um sicherzustellen, dass Ihre Organisation die PCI-Anforderungen erfüllt (abhängig von Ihrem Geschäft)

PCI-Compliance-Vorschriften stellen sicher, dass sowohl Kunden als auch Unternehmen vor Datenverletzungen geschützt sind. Sie gilt für alle Unternehmen, die Kreditkarteninformationen verarbeiten, und ist ein Eckpfeiler des Sicherheitsprotokolls jeder Organisation.

Die PCI-Standards haben ihre Richtlinien erweitert, um verschlüsselte Internettransaktionen einzuschließen, und neue Regeln und Vorschriften hinzugefügt, um den jüngsten Fortschritten in der Zahlungstechnologie und im Handel Rechnung zu tragen.

PCI-Konformität Software
Software, die pci-konformität als Funktion oder Begriff erwähnt.
VGS Platform
VGS Platform
Trustwave Managed SIEM
Trustwave Managed SIEM
Stripe Connect
Stripe Connect
AlienVault USM (from AT&T Cybersecurity)
AlienVault USM (from AT&T Cybersecurity)
Clover
Clover
Qualys VMDR
Qualys VMDR

PCI-Compliance-Stufen

Vier PCI-Compliance-Stufen bestimmen die Anzahl der Transaktionen, die ein Händler jedes Jahr abwickelt.

  • Stufe 1: Händler, die über 6 Millionen Kartentransaktionen pro Jahr abwickeln.
  • Stufe 2: Händler, die 1 bis 6 Millionen Kartentransaktionen pro Jahr abwickeln.
  • Stufe 3: Händler, die 20.000 bis 1 Million Kartentransaktionen pro Jahr abwickeln.
  • Stufe 4: Händler, die weniger als 20.000 Kartentransaktionen pro Jahr abwickeln.

Für Organisationen auf PCI-Compliance-Stufe 1 umfasst die Erreichung der PCI-Compliance die Durchführung externer Audits durch einen qualifizierten Sicherheitsprüfer (QSA) oder einen internen Sicherheitsprüfer (ISA). QSA oder ISA führen eine Vor-Ort-Bewertung durch, um:

  • den Umfang der Bewertung zu validieren
  • technische Informationen und Dokumentationen zu überprüfen,
  • festzustellen, ob die PCI-Anforderungen erfüllt sind
  • während des Compliance-Prozesses Anleitung und Unterstützung zu bieten
  • kompensierende Kontrollen zu bewerten

Nach erfolgreicher Bewertung reicht der qualifizierte Sicherheitsprüfer einen Compliance-Bericht (RoC) bei den Betriebsbanken der Organisation ein, um die Compliance nachzuweisen.

Organisationen der PCI-Compliance-Stufe 2 sollten ebenfalls einen RoC abschließen.

Organisationen der Stufen 2 bis 4 können einen Selbstbewertungsfragebogen anstelle externer Audits ausfüllen, um die Compliance zu bestimmen.

Vorteile der PCI DSS-Compliance

Die PCI DSS-Compliance bietet eine Reihe von Vorschriften und Anforderungen, um optimale Datenvertraulichkeit und -sicherheit zu gewährleisten.

Einige der Vorteile der PCI DSS-Compliance sind:

  • Die PCI DSS-Compliance stellt sicher, dass Unternehmensressourcen über mehrere Sicherheitsebenen verfügen.
  • Sie listet sich entwickelnde Bedrohungen und Angriffsvektoren auf und macht die Datenumgebung sicherer.
  • Die PCI DSS umfasst die Einrichtung von Firewalls, SIEM-Systemen und anderer Sicherheitsinfrastruktur, um Bedrohungsinformationen im Falle von Anomalien zu sammeln.
  • Die PCI-Compliance betont die Verschlüsselung von Karteninhaberdaten, wodurch ein PCI DSS-konformes Unternehmen ein weniger wertvolles Ziel für Cyberkriminelle wird.
  • Die PCI-Compliance-Prinzipien legen großen Wert auf den Schutz von Karteninhaberdaten, während sie gespeichert oder übertragen werden. Sie betont die Durchsetzung der PCI-Prinzipien mit einer geeigneten Sicherheitsinfrastruktur, um Organisationen bei der Verhinderung von Datenverletzungen zu unterstützen.
  • Die PCI DSS-Compliance baut und erhält das Vertrauen der Kunden und macht die Datensicherheit unkompliziert.
  • Die PCI-Compliance hilft Unternehmen, sich an branchenakzeptierte Standards bei der Speicherung, Verarbeitung und Übertragung von Karteninhaberinformationen anzupassen.
  • Die PCI DSS-Compliance hilft Organisationen, den branchenanerkannten Standards für Datensicherheit zu entsprechen.

PCI-Compliance-Anforderungen

Die PCI DSS-Compliance-Anforderungen konzentrieren sich darauf, die PCI-Compliance zu erreichen und Karteninhaberdaten vor unbefugtem Zugriff zu schützen.

1. Schützen Sie das Unternehmensnetzwerk mit Firewalls

Schritte, die Sie unternehmen können, um Ihr Netzwerk zu schützen:

  • Konfigurieren Sie Firewalls, um das Unternehmensnetzwerk zu sichern und den ein- und ausgehenden Datenverkehr basierend auf den organisatorischen Kriterien zu regulieren.
  • Verwenden Sie Hardware-Firewalls und Software-Firewalls, um das Netzwerk zu schützen.
  • Konfigurieren Sie die Firewalls für eingehenden und ausgehenden Datenverkehr. Wenn ein Angreifer das System durchdringt, wird es ihm aufgrund der ausgehenden Regeln schwerfallen, die gestohlenen Informationen zu exportieren.

2. Verzichten Sie auf die Verwendung von Standardpasswörtern und konfigurieren Sie Einstellungen

Um die zweite Anforderung der PCI-Compliance zu erfüllen:

  • Ändern Sie Standardpasswörter und implementieren Sie Systemhärtung und Systemkonfigurationsmanagement.
  • Beheben Sie alle Schwachstellen im System, beheben und melden Sie sie und stellen Sie sicher, dass die Systemhärtungsstandards mit den besten Praktiken der Branche übereinstimmen.
  • Adoptieren Sie Systemmanagement-Software, die als Komplettpaket für die Überwachung, das Scannen und die Konfiguration von Geräten und Systemhärtungsoptionen dient.
  • Überprüfen Sie, dass der Systemhärtungsstandard sicher implementiert ist, wenn neue Geräte und Anwendungen in die Systemumgebung eingeführt werden.

3. Schützen Sie gespeicherte Karteninhaberdaten vor unbefugtem Zugriff

Ergreifen Sie die folgenden Maßnahmen, um Karteninhaberdaten vor unbefugtem Zugriff zu schützen:

  • Verschlüsseln Sie Karteninhaberdaten mit starken und branchenakzeptierten Verschlüsselungsstandards wie AES-256.
  • Stellen Sie sicher, dass die Systeme vertrauliche Karteninhaberdetails in einem verschlüsselten Format speichern.
  • Erstellen und dokumentieren Sie das Flussdiagramm der Karteninhaberdaten (CHD). Es ist eine grafische Darstellung des Datenflusses innerhalb einer Organisation.
  • Verwenden Sie ein Tool zur Entdeckung sensibler Daten, um sensible Informationen wie Sozialversicherungsnummern in den Unternehmenssystemen zu finden, um sie zu verschlüsseln oder zu entfernen.

4. Verschlüsseln Sie die Übertragung von Karteninhaberdaten über offene, öffentliche Netzwerke

Berücksichtigen Sie Folgendes, um die Übertragung von Karteninhaberdaten über offene oder öffentliche Netzwerke zu verschlüsseln:

  • Identifizieren Sie, wie und wo die Daten übertragen werden. Verfolgen Sie alle Bereiche, in denen ähnliche Details gesendet werden.
  • Wechseln Sie von Secure Sockets Layer (SSL) und frühen Versionen von Transport Layer Security (TLS) zu sichereren Versionen von TLS.
  • Überprüfen Sie die Gateways, Terminalanbieter, Dienstleister und Banken, um festzustellen, ob sie aktualisierte Verschlüsselungen für Transaktionsanwendungen verwenden.

5. Verwenden Sie eine aktualisierte Version von Antivirensoftware

Ergreifen Sie die folgenden Maßnahmen, um die fünfte PCI DSS-Anforderung zu erfüllen.

  • Verwenden Sie Antivirensoftware und verhindern Sie, dass die Systeme von bekannter Malware betroffen werden.
  • Aktualisieren Sie die Antivirensoftware regelmäßig.
  • Sammeln Sie Informationen über aufkommende Malware und die verschiedenen Möglichkeiten, wie sie in Unternehmenssysteme eindringen kann.
  • Konfigurieren Sie die Systeme und entwerfen Sie Prozesse, um benachrichtigt zu werden, wenn bösartige Aktivitäten in der Systemumgebung auftreten.
  • Führen Sie regelmäßige Malware-Scans durch, um sicherzustellen, dass Sie einen Prozess zur Implementierung haben.

6. Entwickeln und pflegen Sie sichere Systeme und Anwendungen

Praktizieren Sie die folgenden Methoden, um sichere Systeme und Anwendungen zu entwickeln und zu pflegen:

  • Beheben Sie Sicherheitslücken mit den neuesten Patches, die vom Softwareanbieter veröffentlicht wurden.
  • Installieren Sie die neuesten Sicherheitsupdates und gepatchte Schwachstellen in Anwendungen und Systemen, die für den Datenfluss von Karten entscheidend sind.
  • Installieren Sie kritische Patches innerhalb eines Monats nach ihrer Veröffentlichung, um die Compliance sicherzustellen.
  • Seien Sie proaktiv im Patch-Management und in der Implementierung, sobald der Patch veröffentlicht wird.

7. Beschränken Sie den Zugriff auf Karteninhaberdaten nach geschäftlichem Bedarf

Berücksichtigen Sie Folgendes, um den Zugriff auf Karteninhaberdaten zu beschränken:

  • Stellen Sie strenge Zugriffskontrollen für Karteninhaberdaten sicher, indem Sie rollenbasierte Zugriffskontrollsysteme (RBAC) implementieren, die den Zugriff auf Karteninhaberdetails auf einer Need-to-know-Basis gewähren.
  • Verzichten Sie darauf, Gruppenbenutzer zu erstellen oder ein gemeinsames Benutzerkonto mit anderen Benutzern zu teilen. Es wird schwierig sein, Datenverletzungen zu verfolgen.

8. Weisen Sie jeder Person mit Computerzugang eine eindeutige ID zu

Ergreifen Sie die folgenden Schritte, um die achte Anforderung der PCI DSS-Anforderung zu erfüllen:

  • Weisen Sie jedem Benutzer mit Computerzugang eine eindeutige ID zu und erstellen Sie starke Passwörter, um unbefugten Zugriff zu verhindern.
  • Erstellen Sie mehrere Sicherheitsebenen beim Schutz von Benutzerkonten.
  • Verwenden Sie Multi-Faktor-Authentifizierungslösungen, um zusätzliche Verteidigungsschichten bereitzustellen und Ihre Systeme vor Angreifern zu schützen.

9. Beschränken Sie den physischen Zugang zum Arbeitsplatz und zu Karteninhaberdaten

Wichtige Dinge, die zu beachten sind, um die neunte Anforderung der PCI DSS zu erfüllen:

  • Beschränken Sie den Zugang der Mitarbeiter zu Bereichen mit gespeicherten Karteninhaberdaten.
  • Dokumentieren Sie Mitarbeiter mit Zugang zu sicheren Umgebungen und diejenigen, die Zugangsbefugnisse benötigen. Listen Sie alle autorisierten Gerätebenutzer, Orte, an denen das Gerät nicht erlaubt ist, und wo es sich derzeit befindet. Notieren Sie alle Anwendungen, die auf einem Gerät zugänglich sind. Dokumentieren Sie, was, wo, wann und warum Geräte verwendet werden.
  • Unterscheiden Sie zwischen Mitarbeitern und Besuchern in der Organisation und verwenden Sie Methoden, um Personen mit Zugang zu sicheren Umgebungen zu überwachen.
  • Stellen Sie sicher, dass die Zugriffsrechte des Benutzers entfernt werden und physische Zugangsmethoden wie Schlüssel und Zugangskarten deaktiviert oder zurückgegeben werden, wenn Mitarbeiter offboarding sind.

10. Verfolgen und überwachen Sie den Zugriff auf Netzwerkressourcen und Karteninhaberdaten

Wichtige Punkte, die beim Verfolgen und Überwachen des Zugriffs auf Netzwerkressourcen und Karteninhaberdaten zu beachten sind:

  • Implementieren und pflegen Sie ein Protokollierungssystem, um alle Protokolle anzuzeigen und im Falle von Anomalien Benachrichtigungen zu erhalten.
  • Überprüfen Sie die Systemereignisprotokolle mindestens einmal täglich, um Muster zu identifizieren, Bedrohungsinformationen zu sammeln und Verhaltensweisen zu erkennen, die den erwarteten Trends widersprechen.
  • Verwenden Sie Security Information and Event Management (SIEM)-Lösungen, um ein zentrales Protokollsammlungssystem, Überwachung und Inspektion aufzubauen und zu verwalten.

11. Testen Sie regelmäßig Sicherheitssysteme und -prozesse

Befolgen Sie die unten genannten Praktiken, um die elfte Anforderung der PCI DSS zu erfüllen.

  • Führen Sie häufig Schwachstellenscans durch, um festzustellen, ob die Sicherheitslücken erfolgreich gepatcht wurden.
  • Führen Sie vierteljährliche Schwachstellenscans für alle externen IPs und Domains durch, die in der Karteninhaberdatenumgebung exponiert sind, unter Verwendung eines von PCI genehmigten Scananbieters (ASV).
  • Führen Sie regelmäßige Penetrationstests durch, um verschiedene Möglichkeiten zu identifizieren, wie Hacker Schwachstellen ausnutzen können, um Ihre Sicherheitssysteme sicher zu konfigurieren und die Daten vor ähnlichen bösartigen Taktiken zu schützen. (Die Häufigkeit der Penetrationstests hängt von Ihrem Selbstbewertungsfragebogen (SAQ), Ihrer Umgebung, Größe, Verfahren und anderen Faktoren ab).

12. Risikobewertung und Dokumentation

Adoptieren Sie die folgenden Praktiken, um die letzte Anforderung der PCI DSS-Compliance zu erfüllen:

  • Dokumentieren Sie alle Richtlinien, Verfahren und Beweise im Zusammenhang mit den Informationssicherheitspraktiken der Organisation.
  • Bewerten Sie formale und jährliche Risiken, um kritische Bedrohungen, Schwachstellen und damit verbundene Risiken zu bestimmen.
Sagar Joshi
SJ

Sagar Joshi

Sagar Joshi is a former content marketing specialist at G2 in India. He is an engineer with a keen interest in data analytics and cybersecurity. He writes about topics related to them. You can find him reading books, learning a new language, or playing pool in his free time.

PCI-Konformität Software

Diese Liste zeigt die Top-Software, die pci-konformität erwähnen auf G2 am meisten.

VGS Platform

VGS ist der moderne Ansatz für Datensicherheit. Seine SaaS-Lösung bietet Ihnen alle Vorteile der Interaktion mit sensiblen und regulierten Daten, ohne die Haftung für deren Sicherung.

Trustwave Managed SIEM

Trustwave Managed SIEM hilft Unternehmen, Datenrauschen leicht zu durchschauen, schnell auf neue Bedrohungen zu reagieren und kosteneffektiv den Schutz zu maximieren, während die Einhaltung von Vorschriften nachgewiesen wird. Ob Ihre Herausforderung darin besteht, das richtige SIEM auszuwählen, es vollständig zu besetzen, Kosten zu kontrollieren oder mit neuen Bedrohungen und Compliance-Anforderungen Schritt zu halten, Trustwave kann helfen.

Stripe Connect

Stripe bietet Lösungen für Web- und mobile Zahlungen, die für Entwickler entwickelt wurden. Stripe stellt eine Reihe von einheitlichen APIs und Tools bereit, die Unternehmen sofort ermöglichen, Online-Zahlungen zu akzeptieren und zu verwalten.

AlienVault USM (from AT&T Cybersecurity)

AlienVault USM (von AT&T Cybersecurity) ist eine Plattform, die fünf wesentliche Sicherheitsfunktionen in einer einzigen Konsole bietet, um sowohl Compliance als auch Bedrohungen zu verwalten, wobei die sensible Natur von IT-Umgebungen verstanden wird. Sie umfasst aktive, passive und hostbasierte Technologien, um die Anforderungen jeder spezifischen Umgebung zu erfüllen.

Clover

Clover ersetzt Ihre Registrierkasse, Ihr Zahlungsterminal, Ihren Belegdrucker und Ihren Barcodescanner durch eine integrierte Produktreihe. Akzeptieren Sie Kreditkarten, EMV und Apple Pay.

Qualys VMDR

Bewerten, priorisieren und beheben Sie kritische Schwachstellen in Echtzeit und über Ihre globale Hybrid-IT-Landschaft hinweg – alles aus einer einzigen Lösung.

PCIPal

PCI Pal ist eine Suite von Lösungen, die entwickelt wurde, um den Betrieb Ihrer Kundenkontaktabteilungen in Übereinstimmung mit dem Payment Card Industry Data Security Standard (PCI DSS) zu unterstützen.

BlueSnap

Mit BlueSnap erhalten Sie endlich alles, was Sie zur Abwicklung von Zahlungen benötigen – eine Zahlungsgateway-Lösung, ein Händlerkonto und erweiterte Funktionen zur Steigerung Ihres Gewinns – alles an einem Ort.

Shopify

Shopify ist eine cloudbasierte Handelsplattform, die für kleine und mittelständische Unternehmen entwickelt wurde. Händler können die Software nutzen, um ihre Geschäfte über mehrere Vertriebskanäle hinweg zu entwerfen, einzurichten und zu verwalten, einschließlich Web, Mobil, soziale Medien, stationäre Standorte und Pop-up-Shops.

PayPal BrainTree

Braintree's robuste, vielseitige Plattform ist ideal für abonnementbasierte Unternehmen, die wiederkehrende Abrechnungen einrichten oder wiederholte Zahlungen online akzeptieren möchten.

Vanta

Es war klar, dass Sicherheit und Datenschutz zu Mainstream-Themen geworden waren und dass wir alle zunehmend auf Cloud-Dienste angewiesen waren, um alles von unseren persönlichen Fotos bis hin zu unseren Kommunikationsdaten bei der Arbeit zu speichern. Vantas Mission ist es, die Vertrauensschicht über diesen Diensten zu sein, das Internet zu sichern, das Vertrauen in Softwareunternehmen zu erhöhen und die Daten der Verbraucher sicher zu halten. Heute sind wir ein wachsendes Team in San Francisco, das leidenschaftlich daran arbeitet, das Internet sicherer zu machen und die Standards für Technologieunternehmen zu erhöhen.

Chargent

Chargent-Zahlungsabwicklung für Salesforce. 100% native Kreditkarten-/ACH-Zahlungsabwicklung auf Opportunities, Cases, Chargent Orders oder Force.com-Sites.

EBizCharge

EBizCharge-Zahlungsgateway integriert sich mit über 50 ERP-, CRM-, Buchhaltungs- und E-Commerce-Lösungen und ist darauf ausgelegt: die Verarbeitungskosten um 15-40% zu senken, die Effizienz der Zahlungsabwicklung zu steigern, doppelte Eingaben zu eliminieren, menschliche Fehler zu reduzieren, die Sicherheit zu verbessern und das Kundenerlebnis zu vereinfachen. EBizCharge bietet Online- und mobile Kreditkartenverarbeitung, unbegrenzte Transaktionshistorie, anpassbare Berichte, elektronische Rechnungsstellung, sichere Verschlüsselung und Tokenisierung und mehr.

LogRhythm SIEM

LogRhythm befähigt Organisationen auf sechs Kontinenten, das Risiko erfolgreich zu reduzieren, indem sie schädliche Cyberbedrohungen schnell erkennen, darauf reagieren und neutralisieren.

REPAY

REPAY (NASDAQ: RPAY) ist ein Anbieter von Zahlungstechnologie, der Karten- und ACH-Verarbeitung, Sofortfinanzierung, automatisierte ausgehende Kreditorenbuchhaltungsfunktionen und Online-Rechnungszahlungssysteme mit Web-, Text-, Mobile-App- und IVR-Funktionen anbietet. Mit den integrierten Omnichannel-Zahlungslösungen von REPAY können Kunden jederzeit und überall bezahlen und bezahlt werden.

Chargebee

Die Abrechnungs- und Monetarisierungsplattform, die für die KI-Wirtschaft entwickelt wurde.

Zuora

Die Abrechnungslösungen von Zuora helfen Unternehmen, ihre Innovationen durch flexible Preisstrategien und einfache, automatisierte Abrechnungsprozesse zu monetarisieren.

Passly

80 % der heutigen Datenschutzverletzungen sind das Ergebnis verlorener, schwacher oder gestohlener Passwörter. Jede Organisation, unabhängig von ihrer Größe, muss eine sichere Identitäts- und Zugriffsmanagement-Plattform implementieren, um ihre Daten, Mitarbeiter, Netzwerke zu schützen und die Geschäftskontinuität zu gewährleisten. Passly stärkt Ihre Abwehr, indem es mehrere wesentliche Elemente des sicheren Identitäts- und Zugriffsmanagements hinzufügt, darunter Zwei-Faktor-Authentifizierung, Single Sign-On und Passwort-Manager in einer umfassenden, kosteneffektiven Lösung.

Ostendio

Ostendio ist eine cloudbasierte Cybersecurity- und Informationsmanagement-Plattform, die Unternehmen eine benutzerfreundliche, kostengünstige Möglichkeit bietet, die Einhaltung von Informationssicherheitsstandards und -vorschriften in mehreren Branchen nachzuweisen.

Imperva App Protect

Incapsula ist ein cloudbasierter Sicherheits- und Beschleunigungsdienst, der Websites sicherer, schneller und zuverlässiger macht.