dark

PCI DSS-Sicherheitsauditverfahren – alles, was Sie wissen müssen

Die Einhaltung des Datensicherheitsstandards (DSS) der Zahlungskartenbranche (PCI, engl.: Payment Card Industry) erfordert eine jährliche Berichterstattung. Diese jährliche Berichterstattung umfasst umfangreiche PCI-DSS-Auditverfahren für Organisationen, die die höchsten Transaktionsvolumina abwickeln. Die Auditverfahren werden im Rahmen einer Vor-Ort-Bewertung durchgeführt, die als Konformitätsbericht (ROC, engl.: Report on Compliance) bezeichnet wird.

Die Durchführung der PCI-DSS-Auditverfahren ist für jede Organisation ein umfangreicher Prozess. ROCs (engl.: Report on Compliance) beinhalten verifizierte Tests durch Dritte, die die vollständige Implementierung des Frameworks überprüfen.
Um ein ROC vorzubereiten und durchzuführen, muss Ihr Unternehmen Folgendes wissen:

  • Die Anforderungen des PCI-DSS an die Berichterstattung.
  • Die relevanten Parteien, die an den Bewertungen beteiligt sind.
  • Wie man sich auf die Prüfung vorbereitet.
  • Die PCI-DSS-Auditverfahren.

Durch die Zusammenarbeit mit einem Experten für die Einhaltung des PCI-DSS erhält Ihr Unternehmen eine umfassende Beratung und Bewertung, um ein jährliches ROC durchzuführen – und den komplizierten Prozess zu vereinfachen.

Berichtsanforderungen – PCI-Stufen und eingereichte Dokumentation

Der erste Schritt des PCI DSS-Sicherheitsaudits besteht darin, die Anforderungen an die Berichterstattung Ihres Unternehmens zu ermitteln. Die Berichtsanforderungen basieren in erster Linie auf der Einstufung eines Händlers in die vier PCI-Stufen, die vom jährlichen Transaktionsvolumen abhängt.

Die vier PCI-Levels und ihre Berichtsanforderungen

Laut Visa gibt es die folgenden vier PCI-Stufen und die damit verbundenen Berichtsanforderungen (siehe unten):

  • Stufe 1 – Händler, die jährlich mehr als sechs Millionen Transaktionen über alle Kanäle abwickeln.
    • Berichtsdokumentation: ROC und Konformitätsbescheinigung (AOC, engl.: Attestation of Compliance)
  • Stufe 2 – Händler, die zwischen einer und sechs Millionen Transaktionen pro Jahr über alle Kanäle abwickeln.
    • Berichtsdokumentation: Selbstbeurteilungs-Fragebogen (SAQ, engl.: Self-Assessment Questionnaire) und AOC
  • Stufe 3 – Händler, die jährlich zwischen 20 Tausend und einer Million Transaktionen im E-Commerce abwickeln
    • Meldedokumentation: SAQ und AOC
  • Stufe 4 – Händler mit weniger als 20 Tausend jährlichen E-Commerce-Transaktionen oder bis zu einer Million jährlichen Transaktionen über andere Kanäle
    • Berichtsdokumentation: SAQ Sicherheit

PCI DSS-Berichtsdokumentation

Die Dokumentation der PCI-DSS-Konformitätsberichte umfasst ROCs, AOCs und SAQs:

  • Konformitätsbericht (ROC, engl.: Report on Compliance) – Die gründlichste Konformitätsprüfung, die von Sicherheitsbegutachter (QSA, engl.: Qualified Security Assessor) durchgeführt wird, testet jede DSS-Spezifikation und erfordert umfangreiche PCI-DSS-Auditverfahren vor Ort.
  • Konformitätsbescheinigung (AOC, engl.: Attestation of Compliance) – Wird von einem QSA erstellt, um die Konformität eines Händlers zu bestätigen. Der PCI Security Standards Council (PCI-SSC) bietet verschiedene AOC-Versionen in Verbindung mit ROCs und den verschiedenen SAQs an.
  • Selbstbeurteilungs-Fragebogen (SAQ, engl.: Self-Assessment Questionnaire) – Der PCI-SCC bietet neun verschiedene SAQs an, die sich jeweils auf unterschiedliche Geschäftsaktivitäten, Transaktionsabwicklungsmethoden oder andere Kriterien beziehen.

PCI-DSS-Audit-Verfahren – Die relevanten Parteien

Nachdem Sie festgestellt haben, ob Ihr Unternehmen der PCI-Stufe 1 zuzuordnen ist, besteht der nächste Schritt der Vorbereitung auf die DSS-Auditverfahren darin, die damit verbundenen Berichtsanforderungen zu verstehen.
Beachten Sie, dass der Grad der Bewertung durch ein ROC nicht für Organisationen der Stufen 2 bis 4 gilt.
An den für das Ausfüllen und Einreichen Ihres ROCs erforderlichen PCI-DSS-Audits sind drei Parteien beteiligt:

  1. Der PCI-SSC – Der SSC ist die Instanz, die den DSS beaufsichtigt und offiziell die QSAs (engl.: Qualified Security Assessor) – die Organisationen, die PCI-DSS-Audits durchführen – genehmigt. Vollständige Audit- und Berichtsdokumente müssen dem SSC jährlich vorgelegt werden. Während der SSC mehr Mitglieder und Interessengruppen umfasst, sind die PCI-Gründungsmitglieder:
    • American Express
    • Discover
    • JCB International
    • MasterCard
    • Visa
  2. Der geprüfte “Händler” – Alle Organisationen, die Kreditkarten- und Karteninhaberdaten (CHD, engl.: Card Holder Data) sammeln, speichern, verarbeiten oder übertragen, unterliegen dem PCI-DSS. Die offiziellen PCI-DSS-Dokumente und -Vorlagen bezeichnen diese Organisationen als “Händler”.
    Je nach ihren Meldepflichten können Händler verpflichtet sein, sich jährlich einem PCI-DSS-Audit zu unterziehen.
  3. Der QSA – QSAs sind offiziell vom PCI-SCC zur Durchführung von Audits und zur Überwachung, Vervollständigung und Bestätigung der Compliance-Berichtsdokumentation eines Händlers zugelassen. QSAs werden jedes Jahr einer strengen Prüfung unterzogen, um sicherzustellen, dass sie über die erforderlichen Kenntnisse und Fähigkeiten zur Durchführung von PCI-DSS-Audits verfügen.

PCI-DSS-Auditvorbereitung – Lückenbeurteilungen

Die ROCs (engl.: Report on Compliance) werden die gesamte PCI-DSS-Implementierung Ihres Unternehmens umfassend bewerten. Daher sollte die Auditvorbereitung eine von einem QSA (engl.: Qualified Security Assessor) durchgeführte Lückenbewertung beinhalten, um festzustellen, welche Maßnahmen zur Erreichung der Compliance behoben werden müssen.
Lückenbewertungen sollten als ein ROC-Probelauf betrachtet werden; wenn die Ergebnisse der Lückenbewertung notwendige Abhilfemaßnahmen aufzeigen, würde ein sofortiger Übergang zu einem offiziellen ROC nur die Nichteinhaltung des PCI-DSS demonstrieren.
Ein QSA kann ohne Weiteres PCI-DSS-Lückenbewertungen durchführen und Sie bei den erforderlichen Abhilfemaßnahmen beraten. Unternehmen sollten sich jedoch mit ihrem QSA in Verbindung setzen und die Durchführung dieser Maßnahmen einige Monate vor den erwarteten ROC-Auditverfahren planen, um die rechtzeitige Einreichung des Konformitätsberichts sicherzustellen.

PCI-DSS-Sanierung

Die Bemühungen um die Einhaltung der Vorschriften für Händler erfordern die Implementierung von Prozessen und Technologien, um die Einhaltung der sechs Ziele, zwölf Anforderungen, 79 Unteranforderungen und zahlreichen Unterunteranforderungen des PCI-DSS zu gewährleisten, wie in der neuesten Version (v3.2.1) beschrieben.
Eine Liste der Ziele, Anforderungen und Unteranforderungen des PCI-DSS finden Sie im Dokument “Overview of Credit Card Industry Data Security Standards” von RSI Security. Abschnitt 6 der ROC-Vorlage, die auf der offiziellen Website des SSC zur Verfügung gestellt wird und allen Organisationen über die Dokumentenbibliothek zugänglich ist, bietet eine Lückenbewertung und einen Sanierungsfahrplan. Nichtsdestotrotz macht der Umfang des gesamten Rahmenwerks – allein die Anforderung 1.1 umfasst sieben weitere Unteranforderungen, und das Vorlagendokument umfasst insgesamt 191 Seiten – selbst durchgeführte Lückenbewertungen zu einer besonderen Herausforderung.
Durch die Zusammenarbeit mit einem QSA (engl.: Qualified Security Assessor) wird die Aufgabe, vor offiziellen ROC-Bewertungen festzustellen, ob Spezifikationen korrigiert werden müssen, erheblich vereinfacht.

PCI-DSS-Audit-Verfahren – laufende ROC-Bewertung

PCI-DSS-Auditverfahren erfordern eine Vor-Ort-Bewertung – ein entscheidender Unterschied zwischen der ROC-Anforderung von PCI Level 1 und der Berichterstattung für andere Levels. Die für die Level 2 und 3 erforderlichen AOCs können Remote durchgeführt werden.
Das PCI-SSC beschreibt ein ausgefülltes ROC als eine “Zusammenfassung von Beweisen”, die die Einhaltung des DSS nachweisen. Die ROC-Vorlage enthält:

  • Abschnitt 1 – Kontaktinformationen und Berichtsdatum, einschließlich:
    • 1.1 – Kontaktinformationen des Händlers, des Prüfers und des Prüfers.
    • 1.2 – Datum und Zeitrahmen des Berichts.
    • 1.3 – Die implementierte PCI-DSS-Version (z. B. v3.2.1).
    • 1.4 – Alle zusätzlichen QSA-Dienstleistungen, die für den Händler erbracht wurden.
    • 1.5 – Eine Zusammenfassung der Ergebnisse (d.h. alle 12 Anforderungen und drei Anhänge).
  • Abschnitt 2 – Zusammenfassung der Informationen, einschließlich:
    • 2.1 – Eine Beschreibung der zahlungskartenrelevanten Geschäftstätigkeiten des Händlers.
    • 2.2 – Netzdiagramme auf höherer Ebene zur Veranschaulichung der Netztopographie des Händlers und seiner vollständigen, bewerteten Umgebungsarchitektur.
  • Abschnitt 3 – Arbeitsumfang und Bewertungsansatz, einschließlich:
    • 3.1 – Validierung der Karteninhaberdaten-Umgebung (CDE, engl.: Cardholder Data Environment) durch den Prüfer und Genauigkeit des Umfangs (d.h. eine Zusammenfassung der durchgeführten PCI-DSS-Auditverfahren).
    • 3.2 – Eine CDE-Übersicht.
    • 3.3 – Segmentierung des Netzes.
    • 3.4 – Details zur Netzsegmentierung.
    • 3.5 – Einbeziehung von Drittparteien, die für die ROC-Bewertung relevant sind (z.B. Zahlungsverarbeitung und Übertragungsdienste).
    • 3.6 – Drittanbieter, die die PCI-DSS-Konformität einhalten müssen.
    • 3.7 – Zusammenfassung des drahtlosen Netzes.
    • 3.8 – Details zur Bewertung des drahtlosen Netzes.
  • Abschnitt 4 – Details über die bewertete Umgebung des Händlers, einschließlich:
    • 4.1 – Ein detailliertes Netzdiagramm und ein optionales Datenflussdiagramm.
    • 4.2 – CHD-Datenflussbeschreibungen.
    • 4.3 – Cybersicherheitsmaßnahmen und Technologie zur Sicherung der CHD.
    • 4.4 – Verwendete Hardware und Software, die CHD-Umgebungen ermöglichen.
    • 4.5 – Stichproben.
    • 4.6 – Berichterstattung über die Stichprobenmenge.
    • 4.7 – Bewertung von Dienstleistern mit CDE-Anbindung.
    • 4.8 – Überprüfung von Zahlungsanwendungen und -lösungen durch Dritte.
    • 4.9 – Überprüfung der Dokumentation.
    • 4.10 – Überprüfung des Personals.
    • 4.11 – Verwaltete Dienstleistungsanbieter (MSP, engl.: Managed Service Providers).
    • 4.12 – Eine Zusammenfassung der Prüferangaben für alle vor Ort durchgeführten Kompensationskontrollen.
    • 4.13 – Eine Zusammenfassung der Prüferangaben für alles nicht Geteste.
  • Abschnitt 5 – Vierteljährliche Scan-Ergebnisse, einschließlich:
    • 5.1 – Vierteljährliche Überprüfungen der Einhaltung der Vorschriften durch einen QSA.
    • 5.2 – Eine Bescheinigung über die Einhaltung der Scans.
  • Abschnitt 6 – Feststellungen und Beobachtungen, einschließlich:
    Umfasst die Bewertung der PCI-DSS-Anforderungen, Unteranforderungen, Unterunteranforderungen, Testverfahren, Implementierungsfragen für alle Rahmenspezifikationen, gegliedert nach Anforderung.
  • Anhang A – Zusätzliche PCI-DSS-Anforderungen, einschließlich:
    • Anhang A1 – Für Anbieter von gemeinsam genutzten Hosting-Services.
    • Anhang A2 – Für Händler, die SSL oder altes TLS für Verbindungen zu POS-POI-Terminals bei Kartenzahlung verwenden.
    • Anhang A3 – Für die Validierung von benannten Stellen.
  • Anhang B – Übersicht über kompensierende Kontrollen
  • Anhang C – Arbeitsblätter für kompensierende Kontrollen (CCW, engl.: Compensating Controls Worksheet)
  • Anhang D – Segmentierung und Stichproben zur Reduzierung des PCI-DSS-Konformitätsumfangs einer Organisation

Zusätzlich zu den vollständigen PCI-DSS- und Testverfahren enthält die ROC-Vorlage Berichtsanweisungen für die Antworten eines Prüfers in Abschnitt 6. Diese Prüfverfahren, Berichterstattungsanweisungen und Prüferantworten bilden den größten Teil der offiziellen PCI-DSS-Sicherheitsauditverfahren.

ROC-Berichtsdetails – Prüferantworten

Wenn ein QSA (engl.: Qualified Security Assessor) die PCI-DSS-Auditverfahren durchführt, testet er und berichtet seine Ergebnisse direkt in der ROC-Vorlage. Die Feststellungen werden über eine Kombination von Kontrollkästchen und schriftlichen Antworten gemeldet.

Zusammenfassung der Prüfungsfeststellungen – Checkboxen

Bei der Beantwortung der Frage, ob eine bestimmte PCI-DSS-Spezifikation (d.h. Anforderung, Unteranforderung oder Unterunteranforderung) umgesetzt wurde, stehen den Prüfern fünf Kontrollkästchen zur Verfügung.
So wird beispielsweise in Anforderung 1.1.1 gefragt, ob der bewertete Händler einen formalen Prozess für die Genehmigung und Prüfung von Netzverbindungen und Änderungen der Firewall- oder Routerkonfiguration implementiert hat.
Bei der Beantwortung der Frage kreuzen die Prüfer eine der folgenden Möglichkeiten an:

  • Vorhanden – Die Tests haben gezeigt, dass die Anforderung in vollem Umfang erfüllt wurde.
  • Vorhanden mit CCW – Die Tests haben gezeigt, dass die Anforderung mit Hilfe einer kompensierenden Kontrolle erfüllt wurde.
    Alle Fälle dieser Antwort müssen durch ein Arbeitsblatt für kompensierende Kontrollen belegt werden, das als Teil der ROC-Dokumentation eingereicht wird.
  • Nicht vorhanden – Diese Antwort vermittelt eines der folgenden drei Szenarien:
    • Die Tests haben gezeigt, dass einige oder alle Anforderungselemente nicht erfüllt wurden.
    • Die Anforderung befindet sich in der Umsetzungsphase.
    • Weitere Tests sind erforderlich, um zu überprüfen, ob die Anforderung erfüllt ist.
  • Nicht anwendbar – Die Anforderung trifft nicht auf den bewerteten Händler zu. Jede Überprüfung von nicht anwendbar muss durch detaillierte schriftliche Antworten unterstützt werden, die belegen, warum die Kontrolle nicht auf den Händler zutrifft – mit Ausnahme bestimmter “Nein/Ja”-Fragen der ROC.
  • Nicht getestet – Die Anforderung wurde vom Prüfer nicht getestet. Das PCI-SSC, die Marken und die Erwerber, die entscheiden, ob die PCI-DSS-Implementierung eines Händlers konform ist, entscheiden von Fall zu Fall, ob die Beantwortung mit “Nicht getestet” zur Konformität führt oder nicht.

Gemeldete Befunde – Detaillierte schriftliche Antworten

Jedes ROC-Prüfverfahren muss mit einer detaillierten Antwort in dem dafür vorgesehenen Feld beantwortet werden. Viele der Feststellungen werden mit kurzen Erklärungen zur Umsetzung der Anforderungen eines bewerteten Händlers gemeldet, einschließlich Details wie den geprüften spezifischen Konfigurationen sowie den beobachteten Prozessen.
Andere schriftliche Antworten können “Ja/Nein”-Antworten, Referenznummern, Namen oder Titel von Mitarbeitern (wenn die Testverfahren Personalbefragungen erfordern) oder eine Liste der überprüften und getesteten Muster sein.

Drittanbieter von Dienstleistungen

Viele Händler lagern einen Teil der Erfassung, Speicherung, Verarbeitung oder Übermittlung von CHD (engl.: Card Holder Data) an externe Dienstleister aus. Diese Dienstleister müssen ebenfalls die Einhaltung des PCI-DSS gewährleisten und jährlich nachweisen. Die PCI-DSS-Auditverfahren müssen jedoch eine gründliche Überprüfung beinhalten, ob ein ausgelagerter Dienst die Anforderungen erfüllt.
Das SSC stellt klar, dass die Annahme der Händler, dass ihre Dienstleister den PCI-DSS einhalten, unzureichend ist – es wird in allen offiziellen PCI-Dokumenten und -Anleitungen betont, dass die Einhaltung der Vorschriften letztlich in der Verantwortung der Händler liegt. Es ist eine sorgfältige Prüfung erforderlich, um festzustellen, ob die Partnerdienstleister die erforderlichen Kontrollen und Cyber- oder physischen Sicherheitsmaßnahmen implementiert haben. Outsourcing entbindet nicht von der Verantwortung für die Einhaltung der Vorschriften.

Beispiel für eine detaillierte schriftliche Antwort für Drittdienstleister

Wenn eine bestimmte PCI-DSS-Anforderung in der Verantwortung eines Dienstanbieters liegt, muss der Prüfer des Händlers dennoch das letzte AOC des Drittanbieters prüfen, um dessen Einhaltung zu bestätigen.
Die ROC-Vorlage enthält das folgende Beispiel für eine schriftliche Antwort für diese Szenarien:
“Der Prüfer hat sich vergewissert, dass dies in der Verantwortung von Dienstanbieter X liegt, was durch die Überprüfung von Vertrag x/y (Dokument) bestätigt wurde. Der Prüfer hat das AOC des Dienstanbieters X vom MM/DD/YYYYY geprüft und bestätigt, dass der Service Provider in Bezug auf alle anwendbaren Anforderungen PCI-DSS v3.2 (oder PCI-DSS v3.2.1) erfüllt und dass es den Umfang der vom geprüften Unternehmen in Anspruch genommenen Dienstleistungen abdeckt.“

PCI-DSS-Auditverfahren Version 4.0

Die Sicherheitsauditverfahren des PCI-DSS werden derzeit für die Version 4 aktualisiert, die voraussichtlich im ersten Quartal 2022 veröffentlicht wird. Sobald die Version und alle unterstützenden und berichterstattenden Dokumentationsanleitungen vom SSC veröffentlicht sind, haben Händler 18 Monate Zeit, um alle neuen Konformitätslücken zu beheben.
Angesichts des Umfangs des PCI-DSS-Frameworks wird die Zusammenarbeit mit einem QSA (engl.: Qualified Security Assessor) den Prozess zur Behebung von Lücken in Version 4.0 vereinfachen.

QSAs – obligatorisch (und vorteilhaft) für PCI-DSS-Auditverfahren

Organisationen, die sich den jährlichen PCI-DSS-Auditverfahren gemäß der ROC-Vorlage unterziehen müssen, sind vom SSC verpflichtet, für die Bewertung mit einem zugelassenen QSA zusammenzuarbeiten. Obwohl die Bewertung durch einen QSA vorgeschrieben ist, werden die Herausforderungen bei der Einhaltung des PCI-DSS durch das Fachwissen dieser Partnerschaften erheblich gemildert. Als vom SSC zugelassener QSA und PCI-Konformitätsexperte optimiert RSI Security den Prozess – von den vorbereitenden Lückenbewertungen bis zur Einreichung der endgültigen Dokumentation.

Pierre Gronau ist seit über 25 Jahren für namhafte Unternehmen als Senior IT-Berater mit umfangreicher Projekterfahrung tätig. Zu seinen Kompetenzfeldern gehören Server-Virtualisierungen, IT-Sicherheit, moderne Cloud- und Automationslösungen sowie Informationsschutz.

Total
0
Shares
Previous Post

Die NIS-Richtlinie

Next Post

Helidon

Related Posts

Die NIS-Richtlinie

Die Richtlinie über die Sicherheit von Netz- und Informationssystemen ist eine Richtlinie, welche in die nationale Gesetzgebung der einzelnen Mitgliedsstaaten übersetzt wird. Dies bedeutet, dass es Unterschiede in der Anwendung geben kann.
weiterlesen