Erreichen und Aufrechterhalten der PCI-Compliance-Anforderungen

Veröffentlicht: 2022-06-30

Wenn Ihr Magento 1-Unternehmen Kreditkarteninformationen verarbeitet, kennen Sie möglicherweise bereits die über 300 Sicherheitsanforderungen in PCI DSS. Wenn Sie nicht damit vertraut sind, behandelt dieser Artikel einige der Grundlagen und bietet Ressourcen für die Zertifizierung der Konformität.

Die 2006 von American Express, Discover, JCB International, Mastercard und Visa gegründeten Payment Card Industry Data Security Standards (PCI DSS) legen den Mindeststandard für die Datensicherheit bei der Verarbeitung von Kreditkartentransaktionen fest. Es trägt dazu bei, Betrug und Datenschutzverletzungen im gesamten Zahlungsökosystem zu reduzieren, und gilt für alle Organisationen, die Zahlungen per Kreditkarte akzeptieren oder verarbeiten.

PCI-DSS-Konformität

Die PCI-DSS-Compliance umfasst drei Hauptregeln:

  1. Sensible Kreditkartendaten von Verbrauchern sollten sicher erfasst und übermittelt werden
  2. Diese Daten müssen sicher gespeichert werden, indem Verschlüsselung, laufende Überwachung und Sicherheitstests des Zugriffs auf Kartendaten verwendet werden
  3. Jährliche Validierung, dass die erforderlichen Sicherheitskontrollen vorhanden sind

Sensible Daten von Verbrauchern

Unternehmen, die mit Kartendaten umgehen, müssen möglicherweise jede der über 300 Sicherheitskontrollen in PCI DSS erfüllen. Selbst wenn Kartendaten die Infrastruktur eines Unternehmens nur kurz durchlaufen, müsste das Unternehmen Sicherheitssoftware und -hardware kaufen, implementieren und warten.

Wenn ein Unternehmen keine sensiblen Kreditkartendaten verarbeiten muss, sollte es dies nicht tun. Lösungen von Drittanbietern (wie Stripe) akzeptieren und speichern Kreditkartendaten sicher, wodurch erhebliche Komplexität, Kosten und Risiken vermieden werden. Wenn Kartendaten niemals die Server Ihres Unternehmens berühren, müssten Sie nur 22 relativ einfache Sicherheitskontrollen bestätigen, z. B. die Verwendung starker Passwörter.

Daten sicher speichern

Wenn eine Organisation Kreditkartendaten verarbeitet oder speichert, muss sie den Umfang ihrer Karteninhaberdatenumgebung (CDE) definieren. PCI DSS definiert CDE als die Personen, Prozesse und Technologien, die Kreditkartendaten speichern, verarbeiten oder übertragen – oder jedes damit verbundene System.

Da alle über 300 Sicherheitsanforderungen in PCI DSS für CDE gelten, ist es wichtig, die Zahlungsumgebung ordnungsgemäß vom Rest des Unternehmens zu trennen, um den Umfang der PCI-Validierung zu begrenzen. Wenn eine Organisation den CDE-Umfang nicht eindämmen kann, gelten die PCI-Sicherheitskontrollen für alle Systeme, Laptops und Geräte in ihrem Unternehmensnetzwerk. Dafür hat niemand Zeit.

Eine jährliche Überprüfung der erforderlichen Sicherheitskontrollen

Unabhängig davon, wie Kartendaten akzeptiert werden, müssen Organisationen, die Kreditkartenzahlungen abwickeln, jährlich ein PCI-Validierungsformular ausfüllen, um die Compliance aufrechtzuerhalten.

12 Hauptanforderungen für PCI DSS

Die neuesten Sicherheitsstandards, PCI DSS Version 3.2.1, umfassen 12 Hauptanforderungen mit über 300 Unteranforderungen, die Best Practices für die Sicherheit widerspiegeln.

Diese 12 Hauptanforderungen sind:

  1. Installieren und verwalten Sie eine Firewall-Konfiguration, um Karteninhaberinformationen zu schützen
  2. Verwenden Sie niemals vom Hersteller bereitgestellte Standardwerte für Systemkennwörter und andere Sicherheitsparameter
  3. Schützen Sie gespeicherte Karteninhaberdaten
  4. Verschlüsseln Sie die Übertragung von Karteninhaberdaten über offene oder öffentliche Netzwerke
  5. Schützen Sie alle Systeme vor Malware und aktualisieren Sie die Antivirensoftware regelmäßig
  6. Entwickeln und warten Sie sichere Systeme und Anwendungen
  7. Beschränken Sie den Zugriff auf Karteninhaberdaten
  8. Identifizieren und authentifizieren Sie den Zugriff auf Systemkomponenten
  9. Beschränken Sie den physischen Zugriff auf Karteninhaberdaten
  10. Verfolgen und überwachen Sie alle Zugriffe auf Netzwerkressourcen und Karteninhaberdaten
  11. Testen Sie regelmäßig Sicherheitssysteme und -prozesse
  12. Pflegen Sie eine Richtlinie, die die Informationssicherheit für alle Mitarbeiter anspricht

Neue Unternehmen können die PCI-Konformität anhand von neun Fragebögen zur Selbsteinschätzung validieren, die jeweils eine Teilmenge der gesamten PCI-DSS-Anforderung darstellen. Die Schwierigkeit besteht darin, herauszufinden, welche Anforderungen für Ihr Unternehmen notwendig sind. Einige Unternehmen beauftragen einen vom PCI Council zugelassenen Prüfer, um sicherzustellen, dass alle PCI-DSS-Anforderungen erfüllt wurden. Und als ob das nicht kompliziert genug wäre – das PCI Council überarbeitet die Regeln alle drei Jahre und veröffentlicht jedes Jahr Updates. Wie können Unternehmen ihre Kreditkartendaten sichern und die PCI-Compliance unter Berücksichtigung dieser Faktoren aufrechterhalten?

Wege zur Sicherung

Es gibt eine Reihe anerkannter Methoden, um Ihre Website gemäß den PCI-DSS-Anforderungen zu sichern, von der Beauftragung eines qualifizierten Sicherheitsgutachterunternehmens (QSA) über die Nutzung des dreistufigen PCI-Prozesses bis hin zu Nexcess Safe Harbor in Partnerschaft mit Stripe.

1. Ein qualifizierter Sicherheitsgutachter

Ein Qualified Security Assessor ist eine Datensicherheitsfirma, die vom PCI Council für die Durchführung von PCI-Datensicherheitsstandard-Bewertungen vor Ort qualifiziert ist. Ein Gutachter überprüft alle technischen Informationen, die vom Händler oder Dienstanbieter bereitgestellt werden, und verwendet ein unabhängiges Urteil, um zu bestätigen, dass der Standard erfüllt wurde. Eine Liste der Qualified Security Assessor (QSA)-Unternehmen finden Sie hier.

2. Der dreistufige PCI-Prozess

  1. Asses Identifizierung von Karteninhaberdaten, Bestandsaufnahme von IT-Assets und Geschäftsprozessen für die Zahlungskartenverarbeitung und Analyse auf Schwachstellen.
  2. Behebung von Sicherheitslücken und Beseitigung der Speicherung von Karteninhaberdaten, sofern nicht unbedingt erforderlich.
  3. Bericht Erstellung und Übermittlung der erforderlichen Berichte an die entsprechenden Acquiring-Banken und Kartenmarken.

3. Sicherer Hafen

Magento 1 erreichte im Juni 2020 das Ende seiner Lebensdauer und brachte Tausende von E-Commerce-Websites in eine Compliance-Grauzone, als Adobe die Veröffentlichung offizieller Sicherheitsupdates einstellte.

Während die E-Commerce-Anwendung selbst nur einen kleinen Teil dessen ausmacht, was PCI-Compliance wirklich bedeutet, ist es für Händler, die ihre E-Commerce-Websites noch auf Magento 1 betreiben, wichtig zu beachten, dass es keine Sicherheitspatches und Updates mehr für die Plattform geben wird. Sie sind auf sich allein gestellt, es sei denn, sie haben in eine Lösung wie Nexcess Safe Harbor investiert. Wir empfehlen Ihnen dringend, sich Stripe anzusehen, das sich verpflichtet hat, sein Magento 1-Modul für seine Kunden am Laufen zu halten.

Streifen

Stripe ist weiterhin bestrebt, Benutzern die sichere Verwendung der Stripe-Produkte innerhalb von Magento 1 zu ermöglichen. Zu diesem Zweck empfiehlt Nexcess Ihnen, das offizielle Magento 1-Modul von Stripe zu installieren, das Stripe.js und Elements verwendet, um die PCI-Konformität Ihrer Website zu vereinfachen. Stripe wird weiterhin Fehlerkorrekturen und Sicherheitsupdates für das Stripe Magento 1-Modul veröffentlichen, um sicherzustellen, dass diese Lösung den Payment Card Industry Data Security Standards (PCI DSS) entspricht.

Fazit

Wie Sie sehen, ist das Erreichen und Aufrechterhalten der PCI-Konformität keine leichte Aufgabe. Aber mit den richtigen Informationen, der Unterstützung durch einen Compliance-Experten und Nexcess Safe Harbor können Unternehmen, die noch mit Magento 1 arbeiten, die Kreditkartendaten ihrer Kunden sicher aufbewahren.