PCI DSS | Payment Card Industry Data Security Standard

08.04.2009 | Redakteur: Gerald Viola

Der Payment Card Industry Data Security Standard (PCI DSS) ist eine weit verbreitete Verfahrensrichtlinie zur Sicherheitsoptimierung bei Kredit-, Kunden- und EC-Karten-Transaktionen und zum Schutz der Karteninhaber vor dem Missbrach ihrer persönlichen Daten. PCI DSS wurde 2004 von vier großen Kreditkartenunternehmen gemeinsam aufgestellt: Visa, MasterCard, Discover und American Express.

Sechs Hauptziele werden in PCI DSS spezifisiert und ausgearbeitet:

Erstens ist die Aufrechterhaltung eines sicheren Netzwerkes für die Durchführung von Transaktionen notwendig. Zu dieser Bedingung gehört die Verwendung widerstandsfähiger Firewalls, die effektiv arbeiten, ohne dem Karteninhaber oder dem Anbieter übermäßig Schwierigkeiten zu bereiten. Spezielle Firewalls sind erhältlich für Wireless LANs, die durch Lauschaktionen und Angriffe von böswilligen Hackern in hohem Maß gefährdet sind. Zusätzlich dürfen die Authentifizierungsdaten, wie die persönlichen Identifikationsnummern (PIN – Personal Identification Numbers) und die Passwörter keine durch den Anbieter verursachten Fehler enthalten. Die Kunden sollten in der Lage sein, diese Daten bequem und häufig ändern zu können.

Zweitens müssen die Daten des Karteninhabers, wo immer sie gespeichert sind, geschützt sein. Die Ablagen für kritische Daten wie Geburtstag, Mädchennamen der Mutter, Sozialversicherungsnummer, Telefonnummern und E-Mail-Adressen müssen gegen Hackerangriffe geschützt sein. Werden Daten eines Karteninhabers über öffentliche Netzwerke weitergeleitet, dann müssen diese Daten wirksam verschlüsselt sein. Die digitale Verschlüsselung ist für alle Kreditkartentransaktionen wichtig, besonders aber für den im Internet stattfindenden elektronischen Handel.

Drittens sollten die Systeme durch die Anwendung einer häufig aktualisierten Antiviren-Software, durch Anti-Spyware-Programme und andere Anti-Malware-Konzepte vor den Aktivitäten böswilliger Hacker geschützt werden. Alle Anwendungen sollten fehlerfrei und nicht schadensanfällig sein, denn dadurch könnten Exploits eindringen und die Daten von Karteninhabern stehlen oder verändern. Von Software- und Betriebssystemanbietern verkaufte Patches sollten regelmäßig installiert werden, damit das bestmögliche Schwachstellenmanagement gewährleistet bleibt.

Viertens sollte der Zugriff auf Systeminformationen und -abläufen beschränkt und überprüft werden. Karteninhaber sollte für Geschäfte nur dann ihre Daten zur Verfügung stellen müssen, wenn dies zu ihrem Schutz und für die reibungslose Abwicklung einer Transaktion notwendig ist. An jede Person, die in einem System einen Computer bedient, muss ein eindeutiger und vertraulicher Identifikationsname (oder eine –zahl) vergeben werden. Die Daten eines Karteninhabers müssen sowohl physisch als auch elektronisch beschützt werden. Beispiele sind der Gebrauch von Aktenvernichtern, die Vermeidung unnötiger Papierdokumente, Schlösser und Ketten an Müllcontainern, um Kriminelle davon abzuhalten, im Abfall herumzustöbern.

Fünftens müssen die Netzwerke überwacht und regelmäßig getestet werden, um sicherzustellen, dass alle Sicherheitsmaßnahmen und -abläufe eingerichtet sind, gut funktionieren und aktualisiert werden. So sollten zum Beispiel Antiviren- und Anti-Spyware-Programme immer die aktuellste Definition und Signatur haben. Diese Programme sollten alle ausgetauschten Daten, alle Anwendungen, jeden Random-Access-Memory (RAM) und alle Speichermedien häufig, wenn nicht sogar kontinuierlich scannen.

Sechstens muss ein formale Vorschrift zur Informationssicherheit definiert, aufrechterhalten und zu jeder Zeit von allen beteiligten Einheiten befolgt werden. Durchsetzungsmaßnahmen wie Kontrollen und Strafen bei Nicht-Erfüllung sind gegebenenfalls notwendig.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2020938 / Glossar)