PCI-DSS v4.0
Erreichen Sie PCI-DSS-Compliance fuer Zahlungskartenverarbeitung mit CyberOrigen.
Uebersicht
PCI-DSS (Payment Card Industry Data Security Standard) ist fuer jede Organisation erforderlich, die Karteninhaberdaten speichert, verarbeitet oder uebertraegt.
Anforderungen
12 Anforderungen
| Nr. | Anforderung |
|---|---|
| 1 | Netzwerksicherheitskontrollen installieren und pflegen |
| 2 | Sichere Konfigurationen anwenden |
| 3 | Gespeicherte Kontodaten schuetzen |
| 4 | Karteninhaberdaten mit starker Kryptographie schuetzen |
| 5 | Systeme gegen Malware schuetzen |
| 6 | Sichere Systeme entwickeln und pflegen |
| 7 | Zugriff nach Geschaeftsbedarf einschraenken |
| 8 | Benutzer identifizieren und Zugriff authentifizieren |
| 9 | Physischen Zugriff auf Karteninhaberdaten einschraenken |
| 10 | Alle Zugriffe protokollieren und ueberwachen |
| 11 | Sicherheit regelmaessig testen |
| 12 | Sicherheit durch Richtlinien und Programme unterstuetzen |
Validierungsstufen
| Stufe | Kriterium | Validierung |
|---|---|---|
| 1 | >6 Mio. Transaktionen/Jahr | Jaehrlicher ROC durch QSA |
| 2 | 1-6 Mio. Transaktionen/Jahr | Jaehrlicher SAQ, vierteljaehrlicher ASV |
| 3 | 20K-1 Mio. E-Commerce | Jaehrlicher SAQ, vierteljaehrlicher ASV |
| 4 | <20K E-Commerce oder <1 Mio. andere | Jaehrlicher SAQ, vierteljaehrlicher ASV |
Erste Schritte
1. Framework aktivieren
- Gehen Sie zu GRC → Frameworks
- Klicken Sie auf Registrieren bei PCI-DSS v4.0
- Waehlen Sie den anwendbaren SAQ-Typ
- Klicken Sie auf Aktivieren
2. Scope-Definition
Definieren Sie Ihre Cardholder Data Environment (CDE):
- Systeme, die CHD speichern/verarbeiten/uebertragen
- Verbundene Systeme
- Sicherheitssysteme
3. Gap-Bewertung
- Fuehren Sie einen Compliance-Scan durch
- Pruefen Sie die Anforderungen
- Identifizieren Sie Luecken
- Planen Sie die Behebung
Schluesselanforderungen
Anforderung 6 - Sichere Entwicklung
| Unter-Anf. | Titel | CyberOrigen-Funktion |
|---|---|---|
| 6.2 | Schwachstellenidentifikation | Schwachstellen-Scanning |
| 6.3 | Sichere Entwicklung | SAST mit Semgrep |
| 6.4 | Webanwendungssicherheit | Web-App-Scanning |
| 6.5 | Aenderungsmanagement | Aenderungsverfolgung |
Anforderung 11 - Sicherheitstests
| Unter-Anf. | Titel | CyberOrigen-Funktion |
|---|---|---|
| 11.2 | Schwachstellen-Scans | Vierteljaehrliches Scanning |
| 11.3 | Penetrationstests | Scan-Berichte |
| 11.4 | Intrusion Detection | Threat Intelligence |
Scanning-Anforderungen
Internes Scanning
Anforderung 11.2.1: Vierteljaehrliche interne Schwachstellen-Scans.
CyberOrigen bietet:
- Automatisierte Zeitplanung
- Compliance-zugeordnete Findings
- Behebungsverfolgung
- Trendberichte
Externes Scanning
Anforderung 11.2.2: Vierteljaehrliche externe Scans durch ASV.
CyberOrigen-Scans erfuellen PCI-Anforderungen:
- Externe Perspektive
- Vollstaendiges Port-Scanning
- SSL/TLS-Analyse
- Compliance-Berichte
Penetrationstests
Anforderung 11.3: Jaehrliche Penetrationstests.
CyberOrigen unterstuetzt:
- Scan-basierte Bewertung
- Finding-Dokumentation
- Behebungsverifizierung
Kontrollzuordnung
CyberOrigen ordnet PCI-DSS anderen Frameworks zu:
| PCI-DSS | SOC 2 | ISO 27001 |
|---|---|---|
| 1.1 | CC6.6 | A.8.20 |
| 2.1 | CC6.1 | A.8.9 |
| 3.4 | CC6.7 | A.8.24 |
| 6.1 | CC7.1 | A.8.8 |
| 7.1 | CC6.1 | A.5.15 |
| 8.1 | CC6.1 | A.5.16 |
| 10.1 | CC7.2 | A.8.15 |
| 11.2 | CC7.1 | A.8.8 |
Nachweissammlung
Automatisierte Nachweise
- Schwachstellen-Scan-Berichte
- Konfigurationsbewertungen
- Zugriffsueberpruefungen
- Netzwerktopologie
Manuelle Nachweise
- Richtlinien und Verfahren
- Datenflussdiagramme
- Incident-Response-Plaene
- Schulungsunterlagen
SAQ-Typen
SAQ A
E-Commerce, alle Karteninhaberdaten ausgelagert:
- Minimale Anforderungen
- Hauptsaechlich Richtlinien und Lieferantenmanagement
SAQ A-EP
E-Commerce mit teilweiser Auslagerung:
- Webanwendungsanforderungen
- Redirect-Sicherheit
SAQ D
Vollstaendige Bewertung fuer Dienstleister oder Haendler:
- Alle 12 Anforderungen
- Vollstaendige Dokumentation
Vierteljaehrliche Aktivitaeten
- Interner Schwachstellen-Scan
- Externer Schwachstellen-Scan (ASV)
- File Integrity Monitoring-Pruefung
- Benutzerzugriffsueberpruefung
- Wireless-Netzwerk-Scan
Jaehrliche Aktivitaeten
- Penetrationstest
- Richtlinienueberpruefung
- Sicherheitsbewusstseins-Schulung
- Incident-Response-Tests
- Risikobewertung
Haeufige Luecken
| Anforderung | Problem | Loesung |
|---|---|---|
| 2.1 | Standardpasswoerter | Passwortrichtlinie |
| 3.4 | Unverschluesselte PAN | Verschluesselungsimplementierung |
| 6.2 | Ungepatchte Systeme | Patch-Management |
| 8.3 | Kein MFA | MFA-Bereitstellung |
| 11.2 | Fehlende Scans | Scan-Zeitplanung |