PCI DSS-Compliance-Stufen: Was sie bedeuten und wie man sich qualifiziert

PCI DSS-Compliance-Level auf einen Blick

Übersicht der Händlerstufen 1-4

Der Payment Card Industry Data Security Standard (PCI DSS) kategorisiert Organisationen in vier Händlerstufen basierend auf dem jährlichen Kartenumsatz und dem Gesamtrisiko, um die richtigen Validierungsanforderungen zu bestimmen. Das Verständnis Ihres Compliance-Levels ist entscheidend, um Verpflichtungen zu erfüllen und angemessene Sicherheitsmaßnahmen aufrechtzuerhalten, damit die Fähigkeit zur Verarbeitung von Kartenzahlungen erhalten bleibt.

Level-1-Händler verarbeiten das höchste Transaktionsvolumen, typischerweise über 6 Millionen Transaktionen pro Jahr, und unterliegen den strengsten Validierungsanforderungen. Level-2-Händler verwalten hohe Transaktionsvolumina, jedoch weniger als Level 1, typischerweise zwischen 1 und 6 Millionen Kartentransaktionen pro Jahr, und werden durch Selbstbewertung mit zusätzlicher Aufsicht validiert. Level-3-Händler sind in der Regel mittelständische E-Commerce-Unternehmen, die üblicherweise zwischen 20.000 und 1 Million Kartentransaktionen verarbeiten und durch Selbstbewertung validiert werden. Level-4-Händler sind kleine Unternehmen mit dem niedrigsten Transaktionsvolumen, weniger als 20.000 E-Commerce-Transaktionen oder bis zu 1 Million Gesamttransaktionen jährlich, und werden mit Selbstbewertung und den einfachsten Compliance-Verpflichtungen validiert.

Es ist wichtig zu beachten, dass Organisationen, die Kartendaten im Auftrag anderer Organisationen (Dienstleister) verarbeiten oder speichern, ein separates zweistufiges System für Validierungsanforderungen befolgen, das sich von der Händlervalidierung unterscheidet und vom jährlichen Kartenumsatz abhängt. Dienstleister der Stufe 1 verarbeiten mehr als 300.000 Transaktionen pro Jahr oder speichern Karteninhaberdaten für Dritte. Dienstleister der Stufe 2 verarbeiten weniger als 300.000 Transaktionen jährlich.

Warum Ihr Level wichtig ist

Ihr Compliance-Level bestimmt direkt, wie Ihre Organisation die Einhaltung überprüfen muss und welchen Aufwand die Aufrechterhaltung erfordert. Das Händler-Level legt fest, ob eine Organisation einen Report on Compliance (ROC) durch einen Qualified Security Assessor oder einen Self-Assessment Questionnaire (SAQ) ausfüllen sollte, sowie die Tiefe und Art der Compliance-Nachweise, die sie vorhalten muss.

Höhere Händlerstufen erfordern mehr dokumentierte Nachweise und regelmäßige Tests der Sicherheitskontrollen. Zum Beispiel benötigen Händler der Stufe 1 eine formelle Attestation of Compliance (AOC), die von einem Qualified Security Assessor (QSA) unterzeichnet ist. Während die Einhaltung eine fortlaufende Verpflichtung darstellt, beeinflusst die Händlerstufe auch, wie oft Bewertungen erforderlich sind, wie z. B. vierteljährliche Netzwerkscans durch einen Approved Scanning Vendor. Kartenmarken und Akquisitionsbanken können zusätzliche Anforderungen basierend auf dem Compliance-Level auferlegen. Es ist entscheidend, Ihr Compliance-Level korrekt zu identifizieren und aufrechtzuerhalten, um regulatorische Erwartungen zu erfüllen, Strafen zu vermeiden und die erforderliche Sorgfaltspflicht beim Schutz von Karteninhaberdaten effizient nachzuweisen.

Wie Kartenmarken Ihr PCI DSS-Compliance-Niveau bestimmen

Transaktionsvolumenschwellenwerte

Kartenanbieter verwenden hauptsächlich das jährliche Kartenumsatzvolumen, um das Compliance-Niveau einer Organisation festzulegen. Diese Schwellenwerte helfen dabei zu bestimmen, welche Art von Validierungs- und Berichtsstruktur eine Organisation einhalten muss, um die PCI DSS-Konformität zu gewährleisten:

• Stufe 1: Händler, die jährlich über 6 Millionen Transaktionen über alle Kanäle (im Geschäft und online) abwickeln
• Stufe 2: Händler, die jährlich zwischen 1 und 6 Millionen Transaktionen abwickeln
• Stufe 3: Händler, die jährlich zwischen 20.000 und 1 Million E-Commerce-Transaktionen abwickeln
• Stufe 4: Händler, die weniger als 20.000 E-Commerce-Transaktionen pro Jahr oder bis zu 1 Million Gesamttransaktionen über alle Kanäle abwickeln

Händler der Stufe 1 benötigen in der Regel jährliche Vor-Ort-Bewertungen durch einen Qualified Security Assessor (QSA), während niedrigere Stufen Selbstbewertungen mittels Fragebögen (SAQ) und zusätzliche Anforderungen wie vierteljährliche Netzwerkscans erfordern.

Verletzungs- und Vorfalleskalation

Das jährliche Transaktionsvolumen ist der Hauptfaktor für die Festlegung des Compliance-Levels, aber nicht der einzige. Kartenmarken behalten sich das Recht vor, jeden Händler manuell auf Level 1 hochzustufen, wenn sie ein hohes Risiko für das Zahlungssystem sehen. Wenn ein Händler eine Datenschutzverletzung oder einen Sicherheitsvorfall erlitten hat, der Karteninhaberdaten kompromittiert hat, können Kartenmarken den Händler unabhängig vom Transaktionsvolumen auf Level 1 hochstufen. Darüber hinaus können Kartenmarken, wenn sie systemische Schwachstellen wie unzureichende Sicherheitskontrollen, fehlende Compliance-Nachweise oder ein hohes Risikoprofil basierend auf Transaktionsmustern, Branchenart oder Betrugshistorie feststellen, Level-1-Validierungsanforderungen vorschreiben.

Rolle der erwerbenden Bank

Während Kartenmarken globale Sicherheitsstandards festlegen, haben die erwerbenden Banken die endgültige Autorität bei der Zuweisung des PCI DSS-Levels. Die erwerbende Bank ist dafür verantwortlich, das richtige Händlerlevel einer Organisation sicherzustellen und überprüft tatsächliche Transaktionsdaten sowie spezifische Kriterien der Kartenmarke, um das Compliance-Level zu bestätigen. Der Erwerber sammelt und überprüft Compliance-Validierungsdokumente wie Attestation of Compliance, SAQ oder Reports on Compliance und kann zusätzliche Anforderungen über die Mindeststandards der Kartenmarke hinaus auferlegen. Verschiedene Kartenmarken wie Visa, Mastercard, Discover und American Express haben leicht unterschiedliche Schwellenwerte für PCI-Compliance-Levels. Händler, die mit mehreren Marken arbeiten, müssen alle Compliance-Levels der Kartenmarken einhalten, und die erwerbende Bank vermittelt und setzt diese Anforderungen durch.

Die vier Händlerstufen: Anforderungen und Nachweise

Stufe 1: höchste Sicherheit

Wer qualifiziert sich: Händler, die jährlich über 6 Millionen Kartentransaktionen über alle Kanäle hinweg abwickeln (Karte präsent, E-Commerce, Post- oder Telefonbestellungen), einschließlich aller Transaktionstypen wie Käufe, Rückerstattungen, Gutschriften und Autorisierungen. Außerdem jeder Händler, der eine Datenpanne mit Datenkompromittierung erlebt hat oder von Kartenmarken aufgrund von Risikoanalysen, früheren Compliance-Verstößen oder eines Geschäftsmodells mit erheblichem Risiko als Level 1 eingestuft wurde, unabhängig vom Transaktionsvolumen.

Validierungsanforderungen: Die Einhaltung von PCI DSS Level 1 stellt das höchste Risikoniveau dar und erfordert daher die strengste Validierung:

Stufe 2: hohes Volumen standardmäßig ohne QSA

Wer qualifiziert sich: Händler der Stufe 2, wie mittelgroße bis große E-Commerce-Händler, regionale Einzelhandelsketten sowie Hotels und Restaurants mit mehreren Standorten, stellen ein erhebliches Risiko dar, dürfen sich jedoch selbst validieren, sofern ihre erwerbende Bank nichts anderes anordnet.

Validierungsanforderungen:

Hinweis: Akquirierende Banken oder Kartenanbieter können für Händler der Stufe 2 basierend auf Risikoprofil, Sicherheitsverletzungshistorie, komplexer Infrastruktur oder schlechter Compliance-Lage eine vollständige ROC- und QSA-geführte Bewertung verlangen.

Stufe 3: Fokus auf den Mittelstands-E-Commerce

Wer qualifiziert sich: Händler, die jährlich 20.000 bis 1 Million E-Commerce-Transaktionen abwickeln, insbesondere solche mit einer bedeutenden Online-Präsenz in Card-Not-Present (CNP)-Szenarien.

Validierungsanforderungen: Level 3-Händler umfassen typischerweise wachsende E-Commerce-Unternehmen, SaaS-Firmen mit Zahlungsintegrationen, digitale Marktplätze und abonnementbasierte Unternehmen. Sie müssen die folgenden Validierungen bereitstellen:

Stufe 4: Basislinie für kleine Händler

Wer qualifiziert sich: Händler, die weniger als 20.000 E-Commerce-Transaktionen oder bis zu 1 Million Gesamttransaktionen für alle Kanäle pro Jahr abwickeln, qualifizieren sich für die Einhaltung von Level 4.

Validierungsanforderungen: Level-4-Händler umfassen typischerweise kleine Unternehmen, lokale Einzelhandelsgeschäfte, Hotels und Restaurants mit nur einem Standort sowie kleine Online-Händler. Sie müssen die folgenden Validierungen abschließen:

Häufiges Missverständnis: Händler der Stufe 4 sind verpflichtet, alle anwendbaren PCI DSS-Anforderungen zu erfüllen, wie z. B. die Aufrechterhaltung eines sicheren Netzwerks mit Firewalls und Verschlüsselungstechnologien, den Schutz von Karteninhaberdaten, Schwachstellenmanagement, Zugangskontrollen, kontinuierliche Überwachung und Netzwerktests. Die Stufe betrifft nur die Validierungsmethode, nicht die Sicherheitsverpflichtungen.

PCI DSS-Stufen für Dienstleister

Zweistufiges Dienstleistermodell

Dienstleister spielen eine bedeutende Rolle im Zahlungsabwicklungssystem, da sie im Auftrag von Händlern Karteninhaberdaten speichern, verarbeiten oder übertragen und die Sicherheit dieser Daten beeinflussen können. Während Händler in vier Compliance-Stufen eingeteilt werden, folgen Dienstleister einem zweistufigen Klassifizierungsmodell mit strengen Validierungsanforderungen aufgrund ihrer gemeinsamen Verantwortungsrolle für mehrere Kunden.

Dienstleister der Stufe 1: Jede Organisation, die jährlich mehr als 300.000 Kartentransaktionen im Auftrag von Händlern verarbeitet, speichert oder übermittelt, oder jede Organisation, die von einer Zahlungskartenmarke unabhängig vom Transaktionsvolumen speziell benannt wurde. Sie müssen eine Vor-Ort-Prüfung durch einen Qualified Security Assessor (QSA) für den ROC durchführen lassen, den AOC einreichen, vierteljährliche ASV-Scans durchführen und verpflichtende jährliche Penetrationstests ausführen. Diese Kategorie von Dienstleistern umfasst typischerweise Zahlungs-Gateways, Managed Service Provider sowie Cloud- und Hosting-Anbieter.

Dienstleister der Stufe 2: Jede Organisation, die jährlich weniger als 300.000 Transaktionen verarbeitet, speichert oder überträgt und nicht von den Kartenmarken als Dienstleister der Stufe 1 eingestuft ist. Dienstleister der Stufe 2 müssen die Validierungsanforderungen durch den jährlichen SAQ D für Dienstleister erfüllen, um alle PCI DSS-Anforderungen abzudecken, den AOC einreichen, vierteljährliche ASV-Scan-Berichte bereitstellen und jährliche Penetrationstests durchführen.

Wer validiert Dienstleister

Die Einhaltung der Vorschriften durch den Dienstleister kann je nach vertraglichen Verpflichtungen und Risikobetrachtungen durch verschiedene Mechanismen überprüft werden:

• Selbstvalidierung vs. QSA: Anbieter der Stufe 1 müssen von einem externen QSA validiert werden, während Anbieter der Stufe 2 sich selbst mit SAQ D validieren können. Dennoch können ihre Kunden, Händler oder die Kartenmarken je nach Sensitivität der erbrachten Dienstleistung weiterhin einen vom QSA unterzeichneten ROC verlangen. In einigen Fällen überprüfen Händler-QSAs die Kontrollen des Dienstanbieters während der PCI-Bewertungen des Händlers aufgrund der Natur der geteilten Verantwortung.
• Compliance-Register der Kartenmarken: Bekannte Kartenmarken wie Visa und Mastercard führen offizielle Listen konformer Dienstleister. Händler werden ermutigt und sind oft verpflichtet, nur diese Dienstleister zu verwenden
• Verantwortung des Händlers: Händler müssen eine Liste ihrer Dienstleister führen, schriftliche Vereinbarungen mit ihnen haben und sind dafür verantwortlich, den Compliance-Status ihrer Dienstleister mindestens einmal jährlich zu überprüfen. Die Nutzung eines nicht konformen Dienstleisters entbindet nicht von der PCI-Verpflichtung; Händler bleiben verantwortlich für den Schutz der Karteninhaberdaten.

Die richtige SAQ für Ihre Umgebung auswählen

SAQ-Auswahlmatrix

Selbsteinschätzungsfragebögen sind Validierungsinstrumente, die vom PCI Security Standards Council (PCI SSC) definiert wurden, um Händlern und Dienstleistern bei der Selbsteinschätzung der PCI DSS-Konformität zu helfen. Der richtige SAQ hängt davon ab, wie Händler Karteninhaberdaten akzeptieren, verarbeiten, übertragen und speichern.

Tipps zur Vermeidung von Scope Creep

Die Wahl des falschen SAQ-Typs kann die Compliance-Belastung erhöhen, Sicherheitslücken schaffen und zu Ablehnungen bei Audits führen.

Kartieren Sie Ihre Zahlungsflüsse: Dokumentieren Sie jeden Punkt, an dem Karteninhaberdaten in Ihr Unternehmen gelangen, wie sie verarbeitet und gespeichert werden und wo sie Ihre Umgebung verlassen. Identifizieren Sie alle Systeme und Dienste, die an der Datenerfassung und -verarbeitung beteiligt sind, einschließlich Backup-Systeme, Protokolle oder Archive.

Verstehen Sie die Berührungspunkte mit Karteninhaberdaten: Wenn ein Teil Ihrer Infrastruktur mit Karteninhaberdaten in Berührung kommt, kann dies den SAQ-Typ von einem leichteren SAQ zu SAQ D ändern. Wenn ein System Karteninhaberdaten speichert, verarbeitet oder überträgt, kann dies die Sicherheit der Karteninhaberdaten beeinflussen. Berücksichtigen Sie auch Systeme, die auf die Karteninhaberdatenumgebung zugreifen können, sowie Systeme, die sich im selben Netzwerksegment wie die CDE befinden.

Verwenden Sie Segmentierung: Eine ordnungsgemäße Netzwerk- und Systemsegmentierung kann den Umfang von PCI DSS reduzieren und somit den Aufwand für die Einhaltung verringern. Verwenden Sie Firewalls und VLANs, um Zahlungsterminals oder POS-Systeme vom restlichen Unternehmensnetzwerk zu isolieren. Dokumentieren Sie Änderungen stets und überprüfen Sie regelmäßig die Wirksamkeit, um die kontinuierliche Einhaltung zu gewährleisten.

Konsultieren Sie einen QSA: Wenn ein Händler sowohl Einzelhandels- als auch E-Commerce-Dienste anbietet, muss er möglicherweise mehrere SAQs oder ein einzelnes SAQ D ausfüllen. Es ist immer ratsam, einen QSA einzubeziehen, der helfen kann, Über- oder Untererfüllung zu vermeiden.

Vom Umfang bis zum Nachweis: Was Prüfer auf jeder Ebene erwarten

Abgrenzung und Dokumentation

Prüfer, die die Einhaltung von PCI DSS bewerten, konzentrieren sich zunächst auf die Geltungsbereichsvalidierung und die grundlegende Dokumentation, da alle relevanten Nachweise von einer genauen Definition der Cardholder Data Environment (CDE) abhängen.

Genaue Abgrenzung des CDE: Prüfer benötigen eine klare Identifikation aller Systeme, Netzwerke und Standorte, die Karteninhaberdaten speichern, verarbeiten oder übertragen. Klare Grenzen des CDE müssen dokumentiert werden. Welche Systeme im Geltungsbereich liegen, wie Kassenterminals, Zahlungs-Gateways und Datenbanken, und welche Systeme außerhalb des Geltungsbereichs liegen, müssen durch Ausschlussnachweise wie Netzwerksegmentierung und Firewall-Regeln belegt sein. Die Abgrenzung des CDE muss mindestens jährlich und nach jeder wesentlichen Änderung des CDE oder der zugehörigen Infrastruktur überprüft werden.

Datenflussdiagramme: DFDs müssen die vollständige Bewegung von Karteninhaberdaten von den Einstiegspunkten über die interne Bewegung, Speicherung bis hin zu den Austrittspunkten darstellen. DFDs müssen sowohl hochrangige als auch detaillierte Datenflüsse mit kurzen Beschreibungen enthalten, verschlüsselte und unverschlüsselte Routen kennzeichnen und reale Geräte mit IP-Adressen und Hostnamen abbilden.

Netzwerksegmentierungsdokumentation: Wenn bestimmte Server und Geräte als außerhalb des Geltungsbereichs angegeben werden, müssen technische Nachweise in der Dokumentation enthalten sein, dass die CDE nicht betroffen ist. Zum Beispiel Firewall-Konfigurationen, die den Netzwerkverkehr zwischen CDE- und Nicht-CDE-Netzwerken einschränken, VLAN-Konfigurationen, die Netzwerke logisch trennen, und Ergebnisse jährlicher Penetrationstests.

Systeminventar: Ein vollständiges, aktuelles Inventar aller IT-Ressourcen, wie Server, Arbeitsstationen, Netzwerkgeräte und Terminals, mit installierten Betriebssystemen, Anwendungen, Versionen und Patch-Ständen muss für alles dokumentiert werden, was die CDE beeinflussen könnte. Änderungsmanagementmechanismen sollten implementiert werden, um Protokolle als Nachweis für Systemupdates, Patches und Hardwarestilllegungen zu zeigen.

Zeitsynchronisation: Alle Systeme müssen eine genaue und synchronisierte Zeit unter Verwendung des Network Time Protocol (NTP) haben, da die Zeitsynchronisation für die Protokollkorrelation und forensische Analyse entscheidend ist. Die Dokumentation sollte die NTP-Serverkonfiguration, die Zeitquelle und die Einstellungen zur Synchronisationshäufigkeit enthalten sowie unterstützende Protokolle, die eine erfolgreiche Zeitsynchronisation belegen.

Schlüsselartefakte nach Ebene

Verschiedene Berichtsebenen erfordern unterschiedliche Arten und Tiefen von Nachweisen, aber die Kernartefakte bleiben konsistent; nur die Validierungsmethoden variieren je nach Händlerstufe. Im Folgenden sind die gemeinsamen Artefakte aufgeführt, die Prüfer auf allen Ebenen erwarten:

• Informationssicherheitsrichtlinien: Umfassend dokumentierte Sicherheitsrichtlinien die alle anwendbaren PCI DSS-Anforderungen abdecken, einschließlich Richtlinie zur akzeptablen Nutzung, Richtlinie zur Datenaufbewahrung, Mechanismen zum Management von Verschlüsselungsschlüsseln, Richtlinie für Fernzugriff, Richtlinie zum Änderungsmanagement, physische Sicherheit und Verfahren zur Reaktion auf Vorfälle
• Zugangskontrolldokumentation: Benutzer Zugriffsrichtlinien und Berichte, die zeigen, wer Zugriff auf welche Systeme und Daten hat, die Implementierung von rollenbasierter Zugriffskontrolle (RBAC) und ob Rollen und Berechtigungen dem Prinzip der minimalen Rechte folgen. Multi-Faktor-Authentifizierung (MFA) wird auf allen Zugangswegen im CDE durchgesetzt, Privileged Access Management-Mechanismen mit Sitzungsaufzeichnung und vollständiger Audit-Trail des administrativen Zugriffs auf das CDE.
• Dateiintegritätsüberwachungsprotokolle (FIM): Nachweis, dass kritische Systemdateien und -konfigurationen auf unautorisierte Änderungen überwacht werden, einschließlich FIM-Warnungen und -Berichte, Definitionen der Basiskonfiguration und Untersuchungsaufzeichnungen für legitime Änderungen
• Überprüfungen des Benutzerzugriffs: Periodische Überprüfungen von Benutzerkonten und Administratorkonten, einschließlich Berichten, die von Abteilungsleitern genehmigt wurden, Nachweisen zur Behebung von übermäßigen Berechtigungen und Entfernung des Zugriffs für ausgeschiedene Benutzer
• Ergebnisse des Schwachstellenscans: Vierteljährliche Berichte von internen Scanning-Tools und externen Approved Scanning Vendors (ASV), die zeigen, dass keine Hochrisiko-Schwachstellen gefunden wurden oder dass Schwachstellen behoben wurden und erneute Scans zeigen, dass die Schwachstellen behoben sind
• Penetrationstestberichte:Formelle Berichte über interne oder externe Penetrationstestergebnisse, einschließlich Tests der Netzwerkschicht, Tests der Anwendungsschicht und Validierung der Segmentierung. Die Ergebnisse sollten Schwachstellen mit Schweregradbewertungen und Validierungen der Behebung nach erneuter Prüfung klar identifizieren.
• Verfahren zur Vorfallreaktion: Ein dokumentierter Plan zur Behandlung von Sicherheitsvorfällen, einschließlich der Klassifizierung von Vorfällen, Eskalationspfaden, Rollen und Verantwortlichkeiten des Reaktionsteams, Kommunikationsprotokollen, Verfahren zur Sammlung forensischer Beweise und Maßnahmen zur Geschäftskontinuität
• Änderungsmanagement-Dokumentation: Vollständige Prüfspur der an Systemen und Anwendungen vorgenommenen Änderungen, einschließlich Änderungsantragsformulare, Risikobewertungsformulare, Genehmigungsnachweise, Validierung nach der Implementierung und Begründungen für die Durchführung von Notfallverfahren

Die Audit- und Compliance-Funktionen von Netwrix helfen Organisationen dabei, Nachweise für alle PCI DSS-Anforderungen zu erstellen, von der genauen Definition des Geltungsbereichs und Datenentdeckung bis hin zu Zugriffskontrolle und Multi-Faktor-Authentifizierung, Privileged Access Management sowie umfangreiche Protokollierung und kontinuierliche Überwachung. Automatisierte Datenentdeckungsfunktionen finden und klassifizieren Primary Account Numbers (PAN) und andere sensible Karteninhaberdaten. Datenminimierung hilft dabei, veraltete oder übermäßig gespeicherte Karteninhaberdaten zu identifizieren, um sichere Löschprozesse zu unterstützen. Regelmäßige Überprüfungen des Benutzerzugriffs automatisieren die Zugriffsbestätigung, um den Zugriff auf CDE durch Durchsetzung des Prinzips der geringsten Privilegien zu begrenzen. Netwrix-Lösungen erfassen umfassende Audit-Trails der Benutzeraktivitäten, Systemänderungen und Zugriffsereignisse mit der Möglichkeit, diese Protokolle und Compliance-Berichte zu exportieren, um die PCI DSS-Anforderungen zu erfüllen.

Wie sich Levels ändern: Auslöser für Auf- oder Abstieg

Auslöser für Ebenenänderungen

Die PCI DSS-Compliance-Stufen sind nicht statisch; sie können sich je nach Geschäftstätigkeiten, Risikoeignissen oder Entscheidungen der Kartenanbieter oder der erwerbenden Bank nach oben oder unten bewegen. Die Compliance-Stufen von Händlern und Dienstleistern werden hauptsächlich durch das Transaktionsvolumen pro Jahr bestimmt. Wenn eine Marketingkampagne in der Ferienzeit das Transaktionsvolumen dramatisch erhöht und die Marke von 6 Millionen Transaktionen überschreitet, wird die erwerbende Bank den Händler darüber informieren, dass er nun die PCI DSS Level 1 Compliance-Anforderungen erfüllen muss.

Ähnlich verhält es sich, wenn das Transaktionsvolumen eines Händlers deutlich sinkt; dann könnte er berechtigt sein, sein Compliance-Level herabzustufen, was die Komplexität und die Kosten der Prüfung reduziert. Fusionen und Übernahmen können die Transaktionsvolumina mehrerer Händler zusammenführen, und neue Zahlungskanäle oder Marken, die durch Übernahmen hinzugekommen sind, können die Gesamtzahl der Transaktionen beeinflussen.

Jeder Sicherheitsvorfall oder Datenverstoß kann strenge Compliance-Maßnahmen von Kartenanbietern oder der akquirierenden Bank auslösen, die das Niveau erhöhen und möglicherweise eine forensische Untersuchung mit Abhilfemaßnahmen erfordern, bevor das Compliance-Niveau wieder auf den Normalzustand zurückgesetzt werden kann. Wenn ein Händler einen neuen Drittanbieterdienstleister einsetzt oder die ausgelagerte Zahlungsabwicklung ändert, kann dies das Compliance-Niveau beeinflussen. Zum Beispiel kann der Wechsel von einer ausgelagerten Zahlungsseite zu einem teilweise gehosteten Modell die Compliance-Verpflichtungen erhöhen, während der Wechsel von einem internen Zahlungsmanagement-Service zur ausgelagerten Zahlungsabwicklung die Compliance-Verpflichtungen vereinfachen kann. Kartenanbieter behalten sich das Recht vor, jeden Händler oder Dienstleister aufgrund hoher Betrugsraten, wiederholter Nichteinhaltung oder eines risikoreichen Geschäftsmodells neu zu klassifizieren.

Governance Best Practice

Compliance ist kein einmaliges Ereignis; es ist ein kontinuierlicher Prozess. Um plötzliche Ausfälle zu vermeiden, müssen Organisationen die für die PCI-Compliance erforderlichen Kontrollen und Richtlinien in ihr Geschäftsführungsmodell integrieren.

Überraschungen vermeiden: Indem sie das Transaktionsvolumen vierteljährlich oder monatlich verfolgen, können Händler vorhersagen, wann sie die nächste Stufe erreichen könnten, bevor es passiert. Bewahren Sie Nachweise über Transaktionen zur Neuklassifizierung auf, wie z. B. Datenflussdiagramme neuer Kanalergänzungen, Vorfallprotokolle und Behebungsaufzeichnungen im Falle eines Sicherheitsvorfalls.

Validierungsplanung: Der Wechsel von Level 2 zu Level 1 erfordert die Beauftragung eines Qualified Security Assessor (QSA) und verursacht technische Kosten für die Sicherung der CDE. Diese Änderungen erfordern eine bedeutende und effiziente Planung, um eine ordnungsgemäße Budgetierung sicherzustellen und dass Ressourcen wie Personal und Ausrüstung korrekt verteilt werden.

Proaktive Kommunikation: Pflegen Sie eine transparente Beziehung zu Ihrer erwerbenden Bank, die bei der Aushandlung von Zeitplänen für die Implementierung von Sicherheitskontrollen hilft, falls unerwartet eine Änderung des Compliance-Levels eintritt. Informieren Sie den Erwerber stets, bevor Sie neue E-Commerce-Plattformen, Tokenisierungsänderungen oder Ersatz von Zahlungsgateways einführen.

Häufige Fallstricke nach Ebene und wie man sie vermeidet

Fallstricke der Stufe 1

Schwaches Privileged Access Management: Level 1 Karteninhaberumgebungen und die zugehörige Infrastruktur erfordern eine strenge Zugangskontrolle, um die Angriffsfläche zu reduzieren. Umfassendes access management ist ein Schlüsselfaktor für die Sicherheit von Karteninhaberdaten. Häufige Probleme sind die Nutzung gemeinsamer Admin-Konten, keine implementierte MFA für administrative oder Service-Konten und Fernzugriff, übermäßige dauerhafte Berechtigungen, fehlende Überprüfungskampagnen für Benutzerzugriffe, rollenbasierte Zugriffskontrolle (RBAC), die nicht dem Prinzip der geringsten Rechte folgt, und fehlende Überwachung der Administratoraktivitäten.

Unvollständige Protokollierung: Protokolle spielen eine entscheidende Rolle bei der forensischen Untersuchung von Datenverletzungen und bei der Überprüfung der Wirksamkeit von Sicherheitskontrollen. Häufige Probleme sind fehlende Authentifizierungsnachweise wie wichtige Ereignisse bei Authentifizierungsfehlern, Privilegienerweiterungen oder Datenzugriffen. Protokolle werden gesammelt, aber nicht in einer zentralen Plattform für automatisierte Analyse und Speicherung zusammengeführt. Protokolle sind vorhanden, können jedoch Ereignisverläufe nicht anhand eindeutiger IDs unterscheiden, die bestimmten Konten zugeordnet sind.

Effektivität der Segmentierung: Häufige Probleme sind Netzwerke, die als außerhalb des Geltungsbereichs gekennzeichnet sind, ohne Nachweis, dass sie keinen Zugriff auf die CDE haben, fehlende jährliche Penetrationstestberichte und fehlerhafte Firewall-Regeln, die den Netzwerkzugang ermöglichen können.

Nachweise zum Änderungsmanagement: Häufige Probleme sind Aufzeichnungen über Notfalländerungen, die ohne ordnungsgemäße Genehmigung durchgeführt wurden, keine Bewertung der PCI-Auswirkungen nach der Implementierung, Upgrades oder Ersatz von Hardware und Software ohne ordnungsgemäße Sicherung sowie kein Bericht zur Bewertung der Sicherheitslage nach legitimen Änderungsmanagementereignissen.

Fallstricke der Stufen 2-4

Falsche SAQ-Auswahl: Händler wählen oft den einfachsten oder kürzesten Self-Assessment Questionnaire (SAQ), ohne zu erkennen, dass ihre Umgebung tatsächlich detailliertere und relevantere technische Bewertungen erfordert. Die Wahl eines falschen SAQ-Typs führt zu einer unvollständigen Compliance-Bewertung, insbesondere wenn Zahlungsabläufe missverstanden und in der Dokumentation falsch dargestellt werden. Kartieren Sie immer vollständige Zahlungsdatenflüsse, bevor Sie den SAQ auswählen, dokumentieren Sie, wo PANs übertragen, verarbeitet und gespeichert werden, und überprüfen Sie die Integrationsmethoden von Drittanbieterprozessoren. Im Zweifelsfall konsultieren Sie immer den SAQ-Auswahlleitfaden oder beauftragen Sie einen QSA, der beim SAQ-Auswahlprozess hilft.

Verpasste vierteljährliche ASV-Scans: Schwachstellenscans müssen alle 90 Tage von einem Approved Scanning Vendor (ASV) durchgeführt werden. Händler gehen fälschlicherweise davon aus, dass es sich um eine jährliche Aufgabe handelt oder beheben die im Scan identifizierten Schwachstellen nicht innerhalb der erforderlichen Frist, um den Compliance-Status aufrechtzuerhalten. Planen Sie Scans immer für den ersten Monat jedes Quartals ein, um genügend Zeit zur Behebung der identifizierten Schwachstellen zu haben, und führen Sie nach den Behebungsmaßnahmen einen erneuten Scan durch, um vor Ende desselben Quartals einen bestandenen Bericht zu erhalten. Stellen Sie Kalendererinnerungen 2 bis 3 Wochen vor dem Fälligkeitsdatum ein, verfolgen Sie die Fristen für die Behebung (30 Tage für Hochrisiko-Schwachstellen), bewahren Sie dokumentierte Nachweise der Scan-Ergebnisse und der Behebung auf und verwenden Sie für vierteljährliche Scans nur von PCI SSC genehmigte Scanning-Anbieter.

PAN in Protokollen und Exporten: Informationen zur Primary Account Number (PAN) können an Stellen gelangen, an denen sie nicht gespeichert werden sollten, wie z. B. Anwendungsprotokolle, Kundenservice-Chat-Transkripte, Audioanrufaufnahmen, CRM-Exporte oder CSV-Exporte, die von der Buchhaltungsabteilung verwendet werden. Verwenden Sie automatisierte data discovery tools, um die Infrastruktur mindestens einmal jährlich auf unverschlüsselte PAN zu scannen. Stellen Sie sicher, dass Softwarelösungen Kartennummern maskieren und nur die ersten oder letzten 4 Ziffern anzeigen. Überprüfen Sie Exportfunktionen und Berichtswerkzeuge, um PAN zu kürzen, schulen Sie Entwickler in sicheren Programmierpraktiken, um die Speicherung sensibler Informationen in Debug-Protokollen zu vermeiden, und überprüfen Sie regelmäßig Protokolle, um unverschlüsselte sensible Informationen zu identifizieren.

Wo Netwrix PCI DSS auf allen Ebenen beschleunigt

Anforderung 3: Geschützte Speicherung von Karteninhaberdaten

Netwrix Data Security Posture Management Lösungen helfen Organisationen, automatisierte Datenentdeckung und -klassifizierung über hybride Umgebungen hinweg durchzuführen, um Primary Account Numbers (PAN) und andere sensible Karteninhaberdaten zu finden. Die Datenklassifizierung erfolgt durch die Verarbeitung zusammengesetzter Begriffe und statistische Analysen anstelle einfacher Schlüsselwortübereinstimmungen. Automatisierte Schwärzungsfunktionen maskieren Kartenziffern, wenn keine geschäftliche Notwendigkeit besteht, diese anzuzeigen. Datenminimierung und Nachverfolgung der Aufbewahrung zeigen, dass nur notwendige Karteninhaberdaten gespeichert werden und unnötige Daten nicht aufbewahrt werden. Automatisierte Workflows ermöglichen es Organisationen, sensible Daten an unsicheren Orten zu isolieren und helfen dabei, Berechtigungen von globalen Zugriffsgruppen zu entfernen.

Anforderungen 7 und 8: Zugriffskontrolle und Authentifizierung

Netwrix Identity Governance Lösungen bieten Transparenz über Benutzer-, Dienstkonto- und Administratorberechtigungen in lokalen und Cloud-Plattformen. Privilege Attestation Reporting zertifiziert Benutzerprivilegien, um das Prinzip der geringsten Rechte durchzusetzen und sicherzustellen, dass der Zugriff auf die Karteninhaberumgebung streng rollenbasiert und dokumentiert ist. Identity Governance-Lösungen automatisieren den Lebenszyklus von Benutzeridentitäten, um sicherzustellen, dass jede Person eine eindeutige ID hat, alle Aktivitäten mit dieser eindeutigen ID verfolgt werden und der Zugriff im Falle verdächtiger Aktivitäten oder einer Beendigung sofort widerrufen werden kann. Privileged Account Monitoring Funktionen ermöglichen es Organisationen, privilegierte Sitzungen im CDE zu überwachen und aufzuzeichnen, um unautorisierte Änderungen oder Versuche der Datenexfiltration zu erkennen.

Anforderung 10: Protokollierung und Überwachung

Netwrix Auditor bietet einheitliche Audit- und Aktivitätsüberwachungsfunktionen über hybride Infrastrukturen hinweg, einschließlich Dateisystemen, Active Directory und Cloud-Diensten. Change-Tracking-Lösungen integrieren Funktionen zur Überwachung der Dateiintegrität (FIM), um unautorisierte Änderungen an kritischen Systemdateien und Sicherheitskonfigurationen zu erkennen und Warnungen zu generieren, wenn Protokolldaten geändert werden. Netwrix-Lösungen bieten exportierbare, auditfertige Protokolle und Berichte, die als Nachweis in Attestation of Compliance- und Report on Compliance-Einreichungen dienen und die Auditvorbereitungszeit erheblich verkürzen.

Anforderungen 6 und 11: sichere Systeme und Tests

Netwrix Change Tracker verfolgt kontinuierlich die Systemkonfiguration, erkennt Fehlkonfigurationen, die von Sicherheits-Baselines abweichen, und stellt sicher, dass Server, Endgeräte und Netzwerkgeräte stets sicher bleiben. Die Änderungsverfolgung mit Vorher-Nachher-Konfigurationswerten zeigt, was sich geändert hat, wann und von wem, um einen umfassenden, evidenzbasierten Bericht über die CDE bereitzustellen. Diese evidenzbasierten Berichte unterstützen die sichere Systemwartung, die Überprüfung konsistenter Konfigurationen und kontinuierliche Tests zur Erfüllung der PCI-Scan- und Testanforderungen.

PCI DSS Level 1 Deep Dive (für Unternehmen und Dienstleister)

Zusätzliche Strenge für Stufe 1

Händler und Dienstleister der Stufe 1 stehen unter erhöhter Beobachtung, da sie das höchste Risiko für das Zahlungssystem darstellen. Auf Stufe 1 wird von Organisationen erwartet, dass sie über die 12 Kernanforderungen der PCI-Konformität hinausgehen; sie müssen erweiterte Kontrollen, dokumentierte Disziplin und kontinuierliche Überwachung implementieren, um die Validierungsanforderungen ordnungsgemäß zu erfüllen.

Überlegungen zur Stichprobenstrategie: Wenn ein Unternehmen Hunderte oder Tausende von Infrastrukturkomponenten hat, kann ein QSA nicht jede einzelne bewerten. PCI DSS schreibt keine spezifische Stichprobenformel vor, aber Level-1-Audits erfordern grundsätzlich eine repräsentative Stichprobe der kritischsten Systeme, wie z. B. das CDE, Segmentierungskontrollen, Zugriffskontrolle und Protokollierung. Standardisieren Sie die Stichproben durch Gruppierung von Systemen mit identischer Konfiguration. Die Stichprobe muss jeden Geschäftsprozess und jeden geografischen Standort umfassen, der Karteninhaberdaten verarbeitet. Führen Sie eine Dokumentation der Stichprobenmethode, einschließlich Definition der Population, Auswahlkriterien, statistischer Begründung und Rückverfolgbarkeit der Stichprobe zu spezifischen PCI-Anforderungen mit Nachweisen zur Vollständigkeit gegenüber dem QSA. Wenn die Stichprobe Fehler aufdeckt, erweitern Sie die Tests oder bewerten Sie die gesamte Systemklasse. Level-1-Unternehmen sollten nicht davon ausgehen, dass ein einzelnes repräsentatives System die gesamte Klasse abdeckt.

Erweiterter Umfang der Penetrationstests: Level-1-Einheiten müssen jährlich interne Netzwerke, Perimeternetzwerke, VPN, Cloud-Infrastruktur, APIs und Endpunkte sowie bei wesentlichen Änderungen im Netzwerk, wie z. B. der Hinzufügung neuer Hardware, Software-Upgrades oder der Migration zu einer neuen Cloud-Plattform, einbeziehen. Mindestens sind gezielte Penetrationstests erneut erforderlich. Organisationen müssen die Netzwerksegmentierung mit Nachweisen wie Firewall-Regeln und VLAN-Isolierung belegen. Authentifizierungs- und Autorisierungsprozesse müssen sowohl aus der Perspektive interner Benutzer als auch externer Angreifer bewertet werden. Nach der Behebung ist ein gezieltes Nachtesten erforderlich, um zu bestätigen, dass die Schwachstellen behoben sind.

Best Practices für das Evidenz-Repository: Ein Level-1-Audit kann Tausende von Beweisstücken erfordern. Organisationen müssen von Tabellenkalkulationen zu einem richtigen Governance-, Risk- und Compliance-(GRC)-Tool wechseln, um den gesamten Prozess mit einem zentralisierten Datenrepository zu automatisieren. Verwenden Sie automatisierte Tools, um Basisartefakte für jede Anforderung zu erstellen, wie Richtlinien, Konfigurationsdateien, Protokolle und Verfahren. Organisieren Sie die Beweise entsprechend den 12 PCI DSS-Anforderungen und Unteranforderungen. Führen Sie datierte Versionen aller Konfigurationen und Richtlinien, rollenbasierte Zugriffsberechtigungsdetails, vierteljährliche Scan-Berichte, Protokollanalysen, Warnungen zur Dateiintegritätsüberwachung, Firewall-Regeln und Verschlüsselungsimplementierungen.

Kontinuierliche Compliance: Im Gegensatz zur älteren punktuellen Compliance betont PCI DSS kontinuierliche Sicherheit. Für Organisationen der Stufe 1 muss kontinuierliche Überwachung in jeden Geschäftsprozess integriert sein. Abgesehen von vierteljährlichen externen ASV-Schwachstellen-Scans und internen Schwachstellen-Scans müssen Protokolle täglich oder mindestens zweimal pro Woche überprüft werden, wobei SIEM-Tools für die aggregierte Analyse eingesetzt werden. Mechanismen zur Echtzeit-Alarmierung sollten für die Überwachung der Dateiintegrität eingesetzt werden. Ein formaler Änderungsmanagementprozess mit dokumentierter Genehmigung muss für jede Änderung in der CDE vorhanden sein. Monatlich müssen Kampagnen zur Überprüfung des Benutzerzugriffs ausgelöst, Firewall- und Router-Regeln überprüft und die Compliance der Dienstleister validiert werden.

Organisierte Dokumentation pflegen: Organisationen dürfen nicht auf die Auditsaison warten; sie müssen die Dokumentation für alle 12 PCI DSS-Anforderungen das ganze Jahr über regelmäßig mit ordnungsgemäßer Versionskontrolle und Zusammenfassungen der Änderungsprotokolle erstellen und aktualisieren. Die erste Aufgabe eines QSA ist oft die Umfangsermittlung. Wenn sie ein System oder eine Anforderung finden, die nicht dokumentiert wurde, wird das Audit höchstwahrscheinlich verzögert oder fehlschlagen.

Zusammenarbeit mit QSAs

Level-1-Validierungen erfordern einen externen Qualified Security Assessor (QSA). Der QSA sollte jedoch nicht als Prüfer, sondern als Partner zur Risikominderung betrachtet werden. Ein erfolgreicher Ablauf erfordert eine vorherige Vorbereitung und eine effiziente Zusammenarbeit, um den Nutzen dieses Prozesses zu maximieren.

Bereiten Sie Beweise im Voraus vor: Organisationen müssen interne Bewertungen mit der ROC-Vorlage durchführen, um Lücken zu identifizieren. Erstellen Sie eine Checkliste, die jede Anforderung den entsprechenden Nachweisen zuordnet. Bereiten Sie ein vollständiges und aktuelles Anlagenverzeichnis mit Datenflussdiagrammen vor, und die Scoping-Dokumentation muss eine detaillierte Netzwerksegmentierung enthalten, um den Umfang zu rechtfertigen.

Klare Kommunikationskanäle einrichten: Ernennen Sie einen einzigen Ansprechpartner für die Koordination des QSA. Identifizieren Sie Fachexperten für jeden Anforderungsbereich für Details. Richten Sie bevorzugte Kommunikationskanäle wie E-Mail, Videokonferenzen und Dokumentationsportale ein. Führen Sie Vor-Audit-Durchgänge durch, definieren Sie Eskalationswege für Streitigkeiten oder Verzögerungen bei Beweisanfragen und legen Sie Bearbeitungszeiten für Beweisanfragen fest, z. B. 48 oder 72 Stunden.

Ergebnisse umgehend beheben: Wenn ein QSA während der Prüfung eine Lücke findet, versuchen Sie, diese sofort zu beheben, solange er vor Ort ist. Dies kann oft dazu führen, dass der endgültige ROC erfolgreich bestanden wird, anstatt einen Status der Nichtkonformität zu erhalten. Der Behebungsprozess sollte formal sein, einschließlich der Bestätigung des Eingangs, dass die Ergebnisse verstanden wurden, der Ursachenanalyse, warum die Nichtkonformität aufgetreten ist, und dokumentierter Maßnahmen, die zur Behebung des Problems ergriffen wurden, mit Nachweisen wie Screenshots, Konfigurationsdetails und neuen Richtlinien.

Nächste Schritte: Validieren Sie Ihr PCI DSS-Compliance-Niveau

Aktionsplan

Das Verständnis Ihres Händler- oder Servicelevels ist entscheidend für die PCI DSS-Konformität. Sobald das Level korrekt bewertet wurde, besteht der weitere Compliance-Weg aus Validierung, Nachweisen und kontinuierlicher Überwachung.

Bereit, die PCI DSS-Compliance auf jeder Ebene zu optimieren? Besuchen Sie die Netwrix PCI DSS solution page, um Beispiele für zugeordnete Berichte zu sehen und zu entdecken, wie unsere Data Security- und Audit-Funktionen Ihre Validierung beschleunigen.