Natee Meepian - stock.adobe.com
PCI DSS 4.0: Best Practices für den Umstieg
PCI DSS 4.0 beeinflusst, wie Firmen künftig Finanzdaten speichern dürfen. Damit der Umstieg von der bisherigen Version gelingt, es ist höchste Zeit, sich damit zu beschäftigen.
Mit dem in Kürze bevorstehenden Rollout der Version 4.0 des Payment Card Industry Data Security Standards (PCI DSS) müssen alle Unternehmen, die Zahlungskarten verwenden und ihre Daten verarbeiten, dafür sorgen, dass ihre Systeme und Sicherheitsmaßnahmen mit den geänderten Vorgaben des neuen Standards übereinstimmen. Im ersten Quartal 2024 wird die derzeit noch aktuelle Version 3.2.1 außer Kraft gesetzt.
Lassen Sie uns daher einen ausführlichen Blick auf die wichtigsten Best Practices für PCI DSS 4.0 werfen, die betroffene Unternehmen zügig umsetzen müssen.
1. Studieren Sie alle Vorgaben der neuen Version 4.0 gründlich
Besorgen Sie sich direkt beim PCI Security Standards Council (SSC) eine Kopie der aktuellen 4er-Version und arbeiten Sie die Inhalte sorgfältig durch. Achten Sie besonders auf die zwölf wichtigsten Anforderungen, die auch in Zukunft die Grundlage für den PCI Data Security Standard darstellen: Sie wurden gründlich überarbeitet.
Prüfen Sie alle Änderungen und finden Sie heraus, wie sie sich auf Ihr Unternehmen und seine vorhandenen Sicherheitsmaßnahmen und -prozesse auswirken. Das Security Standards Council stellt auf seiner Webseite viele nützliche Dokumente bereit, die bei der Umsetzung von PCI DSS 4.0 behilflich sind.
2. Füllen Sie als Defizitanalyse einen Selbsteinschätzungsfragebogen aus
Die PCI DSS bietet eine Reihe von Selbsteinschätzungsfragebögen, mit denen ein betroffenes Unternehmen unter anderem Benchmarks für die frühen Stadien der Umstellung erstellen kann. Dadurch finden sie Lücken in der aktuellen Datensicherheitsstrategie und erfahren, wo ihr Projekt am besten beginnen sollte.
3. Setzen Sie die für PCI DSS entwickelten Compliance-Tools und -Dienste ein
Viele Anbieter stellen eine Reihe von nützlichen Diensten und spezieller Software bereit, mit denen sich betroffene Firmen auf den Wechsel zu PCI DSS 4.0 vorbereiten können. Mit diesen Werkzeugen lässt sich etwa herausfinden, wo Änderungen an den Sicherheitselementen durchgeführt werden müssen, wo forensische Untersuchungen nötig sind, wo Geräte geprüft und wo nach Sicherheitslücken gescannt werden muss, wo Performancetests für die Datensicherheit benötigt werden, wo Endnutzer geschult und beraten werden müssen und wie Sie sich insgesamt am besten auf die Durchführung von Security Audits vorbereiten können, um Ihre Compliance mit den geänderten Vorgaben zu belegen.
4. Stellen Sie ein Projektteam zur Umsetzung der Vorgaben auf
Sobald die Zustimmung der Unternehmensleitung vorliegt und die Finanzierung des Projekts geklärt werden konnte, sollten Sie ein dediziertes Team aufstellen, das für die Erfüllung der Vorgaben verantwortlich ist. Diese Mitarbeiter können dann einen Plan für den Übergang und die Überprüfung der getroffenen Maßnahmen erstellen. Stellen Sie zudem sicher, dass ihre Führungskräfte regelmäßig über die Fortschritte und den aktuellen Projektstatus informiert werden.
5. Vergleichen Sie Ihre aktuellen Praktiken mit den Anforderungen von PCI DSS 4.0
Gehen wir davon aus, dass die Zahl und Art der Kreditkarten sich nicht geändert, die Ihr Unternehmen verarbeitet. Das erleichtert den Vergleich der aktuellen Maßnahmen mit den künftig zu erfüllenden Vorgaben von PCI DSS 4.0. Auf diese Weise finden Sie heraus, wo Sie noch Änderungen vornehmen müssen.
Prüfen Sie dabei auch Ihre derzeit gültigen Sicherheitsrichtlinien und die betrieblichen Abläufe. Das hilft Ihnen dabei, erforderliche Anpassungen an Ihre Sicherheitssysteme und -Software zu identifizieren, zusätzliche Regeln für Ihre Firewalls sowie erforderliche Änderungen für Ihre IDS-/IPS-Systeme (Intrusion Detection Systems, Intrusion Prevention Systems) festzulegen und gegebenenfalls Ihre Anti-Malware-Lösungen auf den aktuellen Stand zu bringen.
6. Führen Sie die erforderlichen Änderungen durch
Kontrollieren und analysieren Sie während der gesamten Umstellung den jeweils aktuellen DSS-Status. Finden Sie dabei heraus, wo Sie noch Änderungen vornehmen müssen und welche Schritte nötig sind, um die geplanten Änderungen in die Praxis umzusetzen.
Stellen Sie die dafür erforderliche Technologie bereit und setzen Sie die Änderungen um. Beispiele dafür sind etwa das Kontrollieren und Überarbeiten der Firewall-Regeln, das Härten des Netzwerk-Perimeters und das Aktualisieren der Sicherheitslösungen inklusive der Erkennung von Malware und Phishing sowie der Abwehr von Viren und Ransomware.
7. Erstellen Sie ein Assessment der vorgenommenen Änderungen
Sobald die Änderungen abgeschlossen wurden, testen und analysieren Sie sie, um sicherzustellen, dass sie den Anforderungen von PCI DSS 4.0 auch wirklich entsprechen. Aktualisieren Sie die eingesetzten Techniken, wo immer dies notwendig ist, und dokumentieren Sie alle Änderungen sorgfältig.
Die bereits erwähnten Selbsteinschätzungsfragebögen können für diese Aufgabe genutzt werden. Darüber hinaus gibt es vom PCI Security Standards Council bereitgestellte Assessment-Tools, die ebenfalls dafür geeignet sind. Es kann außerdem sinnvoll sein, einen externen Consultant zu Rate zu ziehen, der die durchgeführten Änderungen unter die Lupe nimmt und bewertet.
8. Stellen Sie Belege über alle Änderungen für künftige Audits zusammen
Dokumentieren Sie alle relevanten Maßnahmen inklusive der durchgeführten Änderungen, Anpassungen der Richtlinien und Prozesse sorgfältig für künftig zu erledigende Audits. Wenn noch frühere Audit-Berichte zur Verfügung stehen, nutzen Sie diese, um die erforderlichen Daten für spätere Audits zu sammeln.
9. Schließen Sie die Änderungen ab und stellen Sie sicher, dass alle Systeme ordnungsgemäß funktionieren
Sobald der Änderungsprozess abgeschlossen, getestet und validiert werden konnte, aktualisieren Sie alle relevanten Dokumentationen. Organisieren und führen Sie zudem Schulungen für Ihre Mitarbeiter durch, um die betroffenen Anwender mit den geänderten Prozessen vertraut zu machen.
10. Erklären Sie Ihren Compliance-Status selbst oder lassen Sie ihn durch einen externen Berater feststellen
Es gibt keine formelle Zertifizierung des PCI Security Standards Councils, mit denen ein Unternehmen seine Einhaltung der Vorgaben belegen könnte. Firmen haben aber trotzdem zwei Möglichkeiten, um ihre Compliance zu dokumentieren. Erstens können sie sich nach dem Durcharbeiten eines geeigneten PCI-DSS-Fragebogens selbst als „compliant" erklären. Zweitens können sie einen qualifizierten und erfahrenen Consultant mit dieser Aufgabe beauftragen, der bestätigen kann, dass das fragliche Unternehmen die Vorgaben von PCI DSS 4.0 einhält.
Die beschriebenen Maßnahmen sind allerdings nur eine Auswahl der meist äußerst anspruchsvollen Schritte, die Unternehmen durchführen müssen, um sich in Zukunft an die strikten Vorgaben von PCI DSS 4.0 zu halten. Ein gezieltes Programm zur Erledigung aller nötigen Anpassungen ist daher unverzichtbar. Das gilt ganz besonders, da die momentan noch geltenden Vorgaben schon in Bälde ihre Gültigkeit verlieren werden.