Die Payment Card Industry Data Security Standards (PCI DSS) im Blickpunkt
Abbau von Barrieren zwischen PCI-Compliance und Cybersecurity
Die Payment Card Industry Data Security Standards (PCI DSS) setzen sich aus Hunderten von betrieblichen und technischen Anforderungen für Organisationen zusammen, die Karteninhaberdaten annehmen, speichern, verarbeiten oder übertragen. Unternehmen wie beispielsweise Händler, Zahlungsverarbeiter, Acquirer, Versicherer und Dienstleister könnten Compliance-Pflichten nach PCI DSS unterliegen.
Das PCI DSS-Framework steht unter Aufsicht des PCI Security Standards Council (PCI SSC) und seine Augabe ist es, Zahlungsdaten zu schützen und es Cyberkriminellen zu erschweren, auf diese sensiblen Daten zuzugreifen. Darüber hinaus überwacht das PCI SSC Zahlungskartenstandards für Software- und App-Entwickler durch den Payment Application Data Security Standard (PA-DSS) sowie die PTS-Vorschriften (PIN Transaction Security) für Unternehmen, die Geräte für Kreditkartentransaktionen entwickeln.
Es gibt 15 PCI-Sicherheitsstandards, die von Händlern, Finanzinstituten und Dienstleistern bei Zahlungsvorgängen mit dem Ziel anzuwenden sind, die Sicherheit aller dazugehörigen Technologien und Verfahren zu gewährleisten.
Die aktuellste Version ist PCI DSS v4.0, die von der PCI SSC im März 2022 veröffentlicht wurde. Hierbei handelt es sich um die erste Aktualisierung dieser Standards seit dem Sommer 2018. Version 3.2.1 hat bis zum Datum des Außerkrafttretens am 31. März 2024 weiterhin Gültigkeit. PCI SSC sieht vor, dass Unternehmen die Anforderungen nach Version 4.0 bis zum 31. März 2025 erfüllen müssen.
In diesem Überblick erfahren Sie mehr über die neueste Version, einschließlich der PCI DSS-Ziele, wer PCI-konform sein sollte sowie Best Practices für die Implementierung und Verwaltung.
Erfahren Sie mehr über diese Themen:
![Zero-Day-Schwachstellen, Exploits und Angriffe verstehen Zero-Day-Schwachstellen, Exploits und Angriffe verstehen](https://www.tenable.com/themes/custom/tenable/img/seo/hero-pci-dss.png)
PCI-Compliance: Business as Usual
Der Schutz von Karteninhaberdaten ist mehr als nur eine Vorgabe – es handelt sich um eine gute Geschäftspraxis.
Mehr erfahrenWie kontinuierliches PCI-Monitoring gelingt
Informieren Sie sich über die Sicherheitsanforderungen nach PCI DSS und finden Sie heraus, wie die Standards aufrechterhalten werden können.
Mehr erfahrenDer PCI DSS-Community beitreten
Schließen Sie sich anderen professionellen Anwendern an, die mehr über die PCI-Datensicherheitsstandards erfahren möchten.
Mehr erfahrenHäufig gestellte Fragen (FAQ) zum Thema PCI DSS
Sie haben Fragen zu PCI DSS? Antworten auf häufig gestellte Fragen finden Sie in unseren FAQs.
Mehr erfahrenPCI-Händlerstufen
PCI-Händlerstufen werden von Zahlungskartenmarken festgelegt und beruhen auf der Anzahl von Transaktionen.
Mehr erfahrenPCI DSS-Anforderungen
Erfahren Sie mehr über die vier primären Ziele der neuen PCI DSS-Standards (Version 4).
Mehr erfahrenGewährleistung von PCI-Compliance
Es ist an der Zeit, auf Konformität mit PCI DSS v4 hinzuarbeiten, die 2025 in Kraft treten wird.
Mehr erfahrenHalten Sie PCI-Compliance aufrecht – dank umfassendem Einblick in Ihre Angriffsoberfläche
Wenn Ihr Unternehmen Kredit- oder Debitkarten verarbeitet, liegen Angreifer wahrscheinlich bereits auf der Lauer und hoffen darauf, sich Zugriff auf diese wertvollen Daten zu verschaffen. Schützen Sie die Informationen Ihrer Kunden und gewährleisten Sie PCI-Compliance mit Tenable One.
![PCI-Compliance: Business as Usual PCI-Compliance: Business as Usual](https://www.tenable.com/themes/custom/tenable/img/solutions/Make-PCI-compliance-business-as-usual.png)
PCI-Compliance: Business as Usual
Angreifer wissen, dass Kredit- und Debitkartendaten wertvoll sind, und sie entwickeln immer komplexere und weitreichendere Methoden, um diese Daten zu entwenden. Der Schutz dieser Daten ist nicht nur eine gute Geschäftspraxis, sondern zählt zu den Voraussetzungen für PCI DSS-Konformität.
PCI DSS deckt eine Reihe grundlegender technischer und betrieblicher Sicherheitskontrollen ab, die Karteninhaberdaten vor Sicherheitsverletzungen und Diebstahl schützen sollen. Diese Standards gelten für alle Unternehmen, die Karteninhaberdaten annehmen, speichern, verarbeiten oder übertragen. Hierzu zählen Point-of-Sale-Anbieter, Hardware- und Softwareentwickler, Händler und Finanzinstitute – praktisch jedes Unternehmen, das an der Verarbeitung von Kredit- und Debitkartendaten beteiligt ist.
Diese Lösungsübersicht geht auf Best Practices ein, mit denen Sie über das reine Bestehen von PCI-Audits hinausgehen können, und zeigt auf, wie – und aus welchen Gründen – Sie PCI-Compliance in den normalen Geschäftsbetrieb einbinden sollten.
In dieser Lösungsübersicht erfahren Sie mehr über folgende Themen:
- Die potenziellen Auswirkungen von PCI-Sicherheitsstandards auf Ihren Betrieb
- Warum PCI DSS mehr als nur ein Auditverfahren ist
- Wie Sie Ihre PCI-Compliance kontinuierlich bewerten können
- Erkenntnisse zu potenziellen Bedrohungen für Karteninhaberdaten nahezu in Echtzeit
- Aufrechterhaltung von Compliance zwischen Bewertungen
Erkenntnisse zu PCI
PCI DSS Rechnung tragen
Eine Sicherheitsverletzung bei Karteninhaberdaten Ihrer Kunden könnte Geldbußen, Strafen sowie Incident Response- und Disaster Recovery-Kosten nach sich ziehen, die sich schnell auf mehrere Millionen Dollar belaufen. Darüber hinaus setzt eine solche Sicherheitsverletzung Ihre Kunden der Gefahr aus, dass es zu Identitätsdiebstahl kommt, und kann Ihre Marke und Reputation in kürzester Zeit zerstören. Aus diesem Grund ist es wichtig, dass Sie genau wissen, was von Ihrem Unternehmen erwartet wird, um die PCI-Sicherheitsstandards zu erfüllen und bei Ihren Kunden das Vertrauen zu schaffen, dass Sie die Sicherheit und den Schutz ihrer sensiblen Daten sehr ernst nehmen.
Diese Lösungsübersicht wirft einen genaueren Blick auf die Rolle, die internes und externes Schwachstellen-Scanning bei der Erfüllung der PCI-Anforderungen spielt. Ihr Unternehmen verwaltet Sicherheits- und Compliance-Kontrollen noch immer manuell? Dann sollten Sie sich eingehender damit befassen, wie eine Exposure-Management-Plattform wie Tenable One Ihrem Unternehmen zu Effizienzverbesserungen verhelfen und die Wahrscheinlichkeit reduzieren kann, dass Sie kritische Schwachstellen in Ihren Systemen und Anwendungen für Karteninhaberdaten übersehen.
Lesen Sie weiter, um sich über Folgendes zu informieren:
- Entwicklung von Konfigurationsstandards für alle Systeme in Ihrer Karteninhaberdaten-Umgebung (CDE)
- Beseitigung von Bedrohungen und Schwachstellen in Ihren öffentlich zugänglichen Webanwendungen
- Nutzung von aktivem und passivem Scanning
- Best Practices des risikobasierten Schwachstellen-Managements für PCI-Compliance
Tenable Community: Ihre zentrale Anlaufstelle in Sachen PCI
Sie haben Fragen zu PCI-Compliance und -Sicherheit? Treten Sie der Tenable Community bei, um sich mit anderen auszutauschen, die ähnliche Interessen haben. In der Community können Sie sich näher über wichtige PCI-Themen wie ASV-Scanning, PCI-Validierung, PCI-Audits und vieles mehr informieren.
Hier einige Beispiele für Unterhaltungen, die derzeit stattfinden:
Interner PCI-Scan oder PCI DSS-Compliance-Audit-Datei
Wir haben die Vorlage für einen internen PCI-Scan verwendet und sind wie erwartet auf einige Schwachstellen gestoßen, wie z. B. nicht gepatchte... Meine Frage lautet: Muss ich für unsere vierteljährlichen internen Scans die PCI DSS-Audit-Datei ausführen?
Weiterlesend übePCI DSS-Version für externe Scans
Welche PCI DSS-Version nutzt Tenable.io für externe Scans der PCI-Compliance?
WeiterlesenTenable.io PCI ASV – Hintergrund und Überprüfungsprozess
Zugelassene Scanning-Anbieter (Approved Scanning Vendor, ASV) sind Unternehmen, die die Einhaltung der PCI-Anforderungen durch Schwachstellen-Scans von Umgebungen validieren, die mit dem Internet verbunden sind.
WeiterlesenHäufig gestellte Fragen (FAQ) zum Thema PCI
PCI-Sicherheit und -Compliance sind für Sie noch neu? Sie haben Fragen, wissen aber nicht, wo Sie anfangen sollen? Hier finden Sie einige häufig gestellte Fragen zum Thema PCI vertraut.
Wofür steht PCI?
Was ist PCI?
Was ist das PCI Security Standards Council (PCI SSC) und welche Aufgaben hat es?
Warum ist PCI wichtig?
Ist PCI-Compliance gesetzlich vorgeschrieben?
Was macht PCI-Konformität aus?
Was ist PCI DSS?
Worin besteht der Zweck von PCI DSS?
Wie lauten die 12 primären PCI-Compliance-Anforderungen?
Es gibt 12 primäre Anforderungen für PCI-Compliance:
- Installation und Pflege einer Firewall-Konfiguration zum Schutz von Karteninhaberdaten
- Keine vom Anbieter bereitgestellten Standardeinstellungen für Systempasswörter und andere Sicherheitsparameter verwenden
- Schutz gespeicherter Karteninhaberdaten
- Verschlüsselung bei der Übertragung von Karteninhaberdaten über offene, öffentliche Netze
- Nutzung und regelmäßige Aktualisierung von Antivirus-Software oder -Programmen
- Entwicklung und Wartung sicherer Systeme und Anwendungen
- Beschränkung des Zugriffs auf Karteninhaberdaten nach geschäftlichem Bedarf
- Zuweisung einer eindeutigen ID für jede Person mit Computerzugriff
- Beschränkung des physischen Zugriffs auf Karteninhaberdaten
- Verfolgung und Überwachung des gesamten Zugriffs auf Netzwerkressourcen und Karteninhaberdaten
- Regelmäßiges Testen der Sicherheitssysteme und -prozesse
- Pflege einer Richtlinie, die die Informationssicherheit für alle Mitarbeiter regelt
Wer sollte PCI-konform sein?
Welche Vorteile hat PCI-Compliance?
PCI-Compliance bietet zahlreiche Vorteile. Hier einige Beispiele:
- Sicherheit der Karteninhaberdaten von Kunden
- Geringeres Risiko von Datenpannen und anderen Sicherheitsvorfällen
- Aufbau von Reputation und Vertrauen unter Kunden
- Schutz Ihres Unternehmens/Ihrer Marke
- Keine Geldbußen oder Strafen bei Nichtkonformität
- Wettbewerbsvorteile
Was passiert, wenn ich nicht PCI-konform bin?
Welche PCI-Compliance-Stufen gibt es?
Was fällt nach PCI DSS unter Karteninhaberdaten?
Was fällt unter sensible Authentifizierungsdaten?
Was ist eine PCI DSS-Karteninhaberdaten-Umgebung?
Was ist das PCI Software Security Framework (SSF)?
Was sind PCI SSC Software Standards?
Was gilt als nach PCI SSC Software Standards validierte Software?
Was ist ein nach den PCI SSC Software Standards validierter Softwareanbieter?
Was ist PA-DSS?
Was sind vom PCI SSC zugelassene Scanning-Anbieter (Approved Scanning Vendor, ASV)?
Ist Tenable ein zertifizierter ASV?
Ist Schwachstellen-Scanning Bestandteil von PCI-Konformität?
Wie häufig sind Schwachstellen-Scans nach PCI durchzuführen?
Was sind häufige PCI-Verstöße?
Was ist eine PCI ASV-Schwachstelle?
Wie viel Zeit sollte ein PCI ASV-Scan in Anspruch nehmen?
Was sind die zentralen Schritte im PCI-Scan-Prozess?
Bei Nutzung von Tenable besteht der PCI-Scan-Prozess aus den folgenden zentralen Schritten:
- Einen Scan anhand einer Vorlage erstellen
- Den Scan starten
- Den Scan in Ihr PCI ASV-Dashboard übertragen
- Einen Entwurf für eine Bescheinigungsanfrage erstellen
- Die Scan-Bescheinigung zur ASV-Prüfung vorlegen, nachdem sämtliche Mängel beseitigt wurden
Welche Systeme sollten beim PCI ASV-Scanning berücksichtigt werden?
Ist ein zugelassener Scanning-Anbieter dasselbe wie ein qualifizierter Sicherheitsgutachter?
Gibt es Best Practices zur Implementierung von PCI DSS?
Die PCI DSS-Händlerstufen im Überblick
Unternehmen werden je nach Anzahl der Zahlungskartentransaktionen über einen Zeitraum von 12 Monaten in eine von insgesamt vier Compliance-Stufen eingeordnet. Dies umfasst Kredit-, Debit-, Prepaid-, Geschenk-, Chip- und Guthabenkarten, die mit einem Logo eines teilnehmenden PCI SSC-Zahlungsdienstleisters (PCI SSC Participating Payment Brand) versehen sind. Hierbei kann es sich um ein PCI SSC-Mitglied oder ein verbundenes Unternehmen handeln.
Jede Kreditkartenmarke kann basierend auf einer Vielzahl von Faktoren eigene Kriterien für Händlerstufen festlegen. Daher ist es wichtig, sich auf direktem Wege bei Ihrer sogenannten „erwerbenden Bank“ (Acquiring Bank) bzw. Kreditkartenmarke nach Ihrer entsprechenden Händlerstufe zu erkundigen. Hier ein Beispiel der Händlerstufen von Visa und Mastercard:
-
Händlerstufe 1
Mehr als 6 Millionen Kredit- oder Debitkartentransaktionen pro Jahr.
Anforderung: Durchführung eines jährlichen internen Audits sowie eines vierteljährlichen PCI-Scans durch einen zugelassenen Scan-Anbieter (ASV)
-
Händlerstufe 2
1 bis 6 Millionen Transaktionen jährlich.
Anforderung: Bearbeitung eines jährlichen Selbstbewertungsfragebogens (SAQ); gegebenenfalls ein vierteljährlicher ASV PCI-Scan.
-
Händlerstufe 3
20.000 bis 1 Million jährliche Transaktionen.
Anforderung: Durchführung einer jährlichen Selbstbewertung; gegebenenfalls vierteljährliche ASV PCI-Scans.
-
Händlerstufe 4
weniger als 20.000 jährliche Transaktionen sowie alle weiteren Händler, die jedes Jahr bis zu 1 Million Transaktionen verarbeiten.
Anforderung: Bearbeitung eines jährlichen Selbstbewertungsfragebogens (SAQ); unter Umständen vierteljährliche ASV PCI-Scans.
Laut PCI SSC gibt es drei weitere Zahlungsdienstleister: JCB, Discover und AMEX. Diese haben eigene Händlerstufen und Anforderungen, doch in vielen Fällen sind bei Erfüllung der oben genannten Kriterien im Allgemeinen auch deren Standards erfüllt. Erkundigen Sie sich bei Ihrem Zahlungsdienstleister dennoch nach den spezifischen Details.
Die PCI DSS-Anforderungen im Überblick
Im Anschluss an drei separate Runden mit Aufforderungen zur Stellungnahme (Request for Comments, RFC), mehr als 6.000 Rückmeldungen sowie Eingaben von mehr als 200 Unternehmen veröffentlichte die PCS SSC im März 2022 PCI DSS v4.0. Auch wenn PCI DSS v3.2.1 bis Ende des ersten Quartals 2024 in Kraft bleibt, sollten Unternehmen bereits Maßnahmen zur Implementierung der 4.0-Standards ergreifen. Die neuen Anforderungen treten zum 31. März 2025 in Kraft.
Laut PCI SSC gibt es bei den neuen Standards vier primäre Ziele:
-
Den Sicherheitsanforderungen der Zahlungsverkehrsbranche Rechnung tragen
Beispiele:Erweiterte Multi-Faktor-Authentifizierung, aktualisierte Passwörter und neue E-Commerce- und Phishing-Anforderungen
-
Sicherheit als kontinuierlichen Prozess vorantreiben
Beispiele:Klar zugewiesene Rollen und Zuständigkeiten für jede Anforderung und umfangreichere Empfehlungen zur Implementierung und Aufrechterhaltung von Sicherheit
-
Zusätzliche Flexibilität im Hinblick auf unterschiedliche Methoden
Beispiele:Zulassung von Gruppen-, gemeinsamen und generischen Konten sowie gezielten Risikoanalysen
-
Validierungsmethoden erweitern
Beispiele:Bessere Abstimmung zwischen den Informationen in Berichten und Bescheinigungen
Die PCI DSS-Anforderungen im Überblick
Um Unternehmen, die Zahlungskartendaten annehmen, speichern, verarbeiten oder übertragen, zu helfen, sensible Kundendaten auf sichere und vertrauliche Weise zu schützen, sind nach PCI DSS v4.0 insgesamt 12 Hauptanforderungen vorgesehen.
Diese lauten wie folgt:
Aufbau und Wartung eines sicheren Netzwerks und sicherer Systeme
- Installation und Wartung von Netzsicherheitskontrollen
- Anwendung von sicheren Konfigurationen auf alle Systemkomponenten
Schutz von Kontodaten
- Schutz von gespeicherten Kontodaten
- Schutz von Karteninhaberdaten mit starker Kryptografie während der Übertragung über offene, öffentliche Netzwerke
Wartung eines Programms zur Verwaltung von Schwachstellen
- Schutz aller Systeme und Netzwerke vor bösartiger Software
- Entwicklung und Wartung sicherer Systeme und Software
Implementierung starker Zugriffskontrollmaßnahmen
- Beschränkung des Zugriffs auf Systemkomponenten und Karteninhaberdaten nach geschäftlichem Bedarf
- Identifizierung von Benutzern und Authentisierung von Zugriff auf Systemkomponenten
- Beschränkung des physischen Zugriffs auf Karteninhaberdaten
Regelmäßige Überwachung und Prüfung der Netzwerke
- Protokollierung und Überwachung aller Zugriffe auf Systemkomponenten und Karteninhaberdaten
- Regelmäßige Prüfung der Sicherheit von Systemen und Netzwerken
Beibehaltung einer Informationssicherheitspolitik
- Unterstützung der Informationssicherheit durch organisatorische Richtlinien und Programme
Diese Anforderungen gelten für:
- Karteninhaberdaten-Umgebungen (Cardholder Data Environment, CDE)
- Systemkomponenten, Personen und Prozesse, die Karteninhaberdaten und/oder sensible Authentifizierungsdaten speichern, verarbeiten und übertragen
- Systemkomponenten, die unter Umständen keine CHD/SAD speichern, verarbeiten oder übertragen, aber uneingeschränkt mit Systemkomponenten verbunden sind, die CHD/SAD speichern, verarbeiten oder übertragen
- Systemkomponenten, Personen und Prozesse, die die Sicherheit der Karteninhaberdaten-Umgebung (CDE) beeinträchtigen könnten
In einigen Fällen können PCI DSS-Anforderungen auch für Unternehmen gelten, die keine Karteninhaberdaten speichern, verarbeiten oder übertragen. Hierzu zählen beispielsweise Unternehmen, die Karteninhaberdaten-Umgebungen (CDE) verwalten, oder Einrichtungen, die ihre Zahlungsverarbeitung an Drittanbieter auslagern. Wenn Ihr Unternehmen solche Drittanbieter beauftragt, sind Sie weiterhin für den Schutz der Karteninhaberdaten verantwortlich, indem Sie sicherstellen, dass der jeweilige Drittanbieter die PCI DSS-Standards erfüllt.
Sicherstellung von PCI DSS-Compliance
Möglicherweise fragen Sie sich, ob Sie die Anforderungen von PCI DSS v3.2.1 oder PCI DSS v4.0 erfüllen müssen.
Wenn Ihr Unternehmen noch nicht PCI DSS-konform ist, sollten Sie sich auf Ihrem Weg zu PCI DSS-Compliance auf die Anforderungen der Version 4.0 fokussieren. PCI DSS v4.0 tritt zum 31. März 2025 in Kraft.
Wenn Ihr Unternehmen Konformität nach Version 3.2.1 erreicht hat, ist es jetzt an der Zeit, sich auf die Erfüllung der in Version 4 festgelegten Standards zu konzentrieren.
Der erste Schritt auf dem Weg zu PCI-Compliance sollte damit beginnen, Ihre Händlerstufe zu ermitteln. Wie bereits erwähnt beruht die Händlerstufe auf der Anzahl der Zahlungskartentransaktionen während eines Zeitraums von 12 Monaten – und jede Kreditkartenmarke kann eigene Kriterien für die jeweiligen Stufen und die entsprechenden Anforderungen festlegen.
Was die Validierung Ihrer PCI DSS-Compliance angeht, so könnte Ihr Unternehmen je nach Transaktionsvolumen einen Selbstbewertungsfragebogen (Self-Assessment Questionnaire, SAQ) ausfüllen, einen Bericht der Konformität (Report on Compliance, ROC) erstellen oder zur Zusammenarbeit mit einem unabhängigen qualifizierten Sicherheitsgutachter (QSA) verpflichtet sein. Um eine PCI-Zertifizierung zu erhalten, muss Ihr Unternehmen mit einem QSA zusammenarbeiten. Ein QSA ist vom PCI SSC zugelassen. Er darf zertifizieren, dass Ihr Unternehmen die PCI DSS-Standards erfüllt, und kann Ihnen eine Konformitätsbescheinigung (Attestation of Compliance, AOC) ausstellen, wenn Sie sämtliche Anforderungen im Zuge Ihrer Bewertung erfüllen.
Erkundigen Sie sich bei Ihrer Kreditkartenmarke oder Ihrem Acquirer, ob Sie für eine Selbstbewertung infrage kommen oder mit einem QSA zusammenarbeiten müssen.
Wenn Sie eine Selbstbewertung durchführen können, muss beachtet werden, dass je nach Art der Umgebung unterschiedliche Arten von Selbstbewertungsfragebögen anzuwenden sind. Laut PCI SSC weist jeder Fragebogen einen einleitenden Abschnitt auf („Before You Begin“), in dem die Umgebung behandelt wird, auf den sich der jeweilige Fragebogen bezieht – einschließlich der entsprechenden Qualifikationskriterien.
Nach Auswahl des zutreffenden Fragebogens und Bestätigung Ihrer Umgebungskriterien sollten Sie alle Abschnitte des SAQ vollständig bearbeiten, darunter auch die in jedem SAQ enthaltene AOC. AOCs sind auch als eigenständige Dokumente verfügbar.
Wenn Ihr Unternehmen externe Schwachstellen-Scans durchführen muss, können Sie Ihre Schwachstellen-Management-Verfahren in Zusammenarbeit mit einem ASV bewerten und sicherstellen, dass Ihre Scanning-Prozesse den PCI DSS-Standards entsprechen. Der zugelassene Anbieter kann Ihnen Scan-Berichte zur Verfügung stellen.
Sobald Selbstbewertungsfragebogen (Self-Assessment Questionnaire, SAQ), Konformitätsbescheinigung (Attestation of Compliance, AOC) und Scans fertiggestellt bzw. abgeschlossen sind, ist die gesamte erforderliche Dokumentation Ihrem Zahlungsdienstleister bzw. Acquirer vorzulegen.
Nochmals: Die einzelnen Zahlungsdienstleister bestimmen letztlich, wie ein Unternehmen eingestuft wird bzw. welches Risiko es aufweist. Doch im Allgemeinen gibt es laut PCI SSC sechs wichtige Schritte auf dem Weg zu PCI-Compliance. Im Wesentlichen kann eine PCI DSS-Bewertung Folgendes umfassen:
Anwendungsbereich
Bringen Sie in Erfahrung, welche Systemkomponenten und Netzwerke in den Anwendungsbereich von PCI DSS fallen.
Bewerten
Prüfen Sie die Konformität der Systemkomponenten im Anwendungsbereich, nachdem Sie die Verfahren für jede PCI DSS-Anforderung geprüft haben.
Berichte erstellen
Gutachter und/oder Einrichtung stellen die erforderliche Dokumentation fertig – z. B. Selbstbewertungsfragebogen (SAQ) oder Bericht der Konformität (ROC), einschließlich der Dokumentation für alle kompensierenden Kontrollen.
Bescheinigen
Stellen Sie die entsprechende Konformitätsbescheinigung (AOC) fertig.
Übermitteln
Übermitteln Sie SAQ, ROC, AOC und weitere ergänzende Dokumentation wie z. B. ASV-Scan-Berichte an Acquirer (für Händler) bzw. Zahlungsdienstleister/anfordernde Stellen (für Dienstleister).
Korrigieren
Führen Sie bei Bedarf Korrekturen durch, um nicht erfüllten Anforderungen nachzukommen, und legen Sie dann einen aktualisierten Bericht vor.
Proaktive Überwachung und Aufrechterhaltung Ihrer PCI-Compliance
Mit der breiten Abdeckung und kontinuierlichen Überwachung von Tenable One können Sie all Ihre PCI DSS-Kontrollen effektiv managen – dank umgehend verfügbarer und leicht verständlicher Erkenntnisse zu der Frage, wie gut Sie Ihre PCI-Compliance-Ziele erreichen.
Blog-Artikel zum Thema PCI
![Everybody Does Good VM When S#*t Hits the Fan Everybody Does Good VM When S#*t Hits the Fan](https://www.tenable.com/themes/custom/tenable/img/seo/everybody-does-good-vm-when-sh-hits-the-fan.jpg)
Everybody Does Good VM When S#*t Hits the Fan
Um PCI DSS-Konformität zu erreichen, benötigt Ihr Unternehmen Erkenntnisse zu den derzeit in Ihrer Umgebung vorhandenen kritischen Schwachstellen sowie zu der Frage, was Sie zu deren Behebung unternehmen und wie Sie diesen Schwachstellen künftig Rechnung tragen. In diesem Blog-Beitrag erfahren Sie mehr darüber, wie Sie ein Schwachstellen-Management-Programm aufrechterhalten, um PCI-Standards zu erfüllen.
![Cloud-Sicherheit: 5 wichtige Erkenntnisse zur Cloud-Sicherheit aus der SANS DevSecOps-Umfrage Cloud-Sicherheit: 5 wichtige Erkenntnisse zur Cloud-Sicherheit aus der SANS DevSecOps-Umfrage](https://www.tenable.com/themes/custom/tenable/img/seo/SANS 2022 DevSecOps Survey.jpg)
Cloud-Sicherheit: 5 wichtige Erkenntnisse aus der DevSecOps-Umfrage von SANS
Unabhängig von der Größe Ihres Unternehmens wird es wahrscheinlich bereits mehrere Sicherheits- und Compliance-Frameworks verwalten, wie beispielsweise PCI. Doch wie finden Sie heraus, ob dabei Best Practices zum Einsatz kommen? Dieser Blog-Beitrag wirft einen genaueren Blick auf die Ergebnisse der SANS-Umfrage 2022 zum Thema DevSecOps und zeigt u. a. auf, wie Vertrauen in Ihre Verfahren für PCI-Compliance aufgebaut werden kann.
![Cyber Hygiene: 5 Advanced Tactics to Maximize Your Risk Reduction Cyber Hygiene: 5 Advanced Tactics to Maximize Your Risk Reduction](https://www.tenable.com/themes/custom/tenable/img/seo/Cyber Hygiene.jpg)
Cyber Hygiene: 5 Advanced Tactics to Maximize Your Risk Reduction
Die meisten modernen Unternehmen akzeptieren heutzutage gewisse Formen von Kredit- oder Debitkartenzahlungen. Wenn dies auch für Ihr Unternehmen gilt, führt an PCI DSS-Konformität wahrscheinlich kein Weg vorbei. Bleiben diese Zahlungsdaten ungeschützt, setzen Sie Kunden – und Ihr Unternehmen – Risiken aus. Dieser Blog-Beitrag ist Teil einer Reihe zum Thema Cyberhygiene und bietet einen Überblick über Methoden, mit denen Sie sicherstellen können, dass umfassender Einblick in Ihre Netzwerke besteht.
PCI on Demand
When It Comes to Effective Cloud Security, Sharing is Caring
In zahlreichen Unternehmen kann es sein, dass unterschiedliche Abteilungen, Standorte oder Geschäftsbereiche eine Vielzahl verschiedener cloudbasierter Services und Anwendungen einsetzen. Daher ist es entscheidend, teamübergreifende Zusammenarbeit zu fördern, um sicherzustellen, dass Ihre Cloud-Sicherheitsmaßnahmen effektiv sind, und Cloud-Computing-Anforderungen nach PCI DSS zu erfüllen.
In diesem Webinar erfahren Sie mehr darüber:
- Wie die teamübergreifende Zusammenarbeit durch den Einsatz von Policy as Code verbessert werden kann
- Wie die Cloud-Nutzung mit wichtigen Cloud-Sicherheitsfunktionen skaliert werden kann
- Die Weiterentwicklung von Cloud Security Posture Management (CSPM) um Infrastructure as Code
Effektiver Schutz Ihrer Cloud-Bereitstellungen in Microsoft Azure vom Code bis zur Laufzeit
Fehlkonfigurationen und andere Mängel könnten Ihre PCI-Compliance beeinträchtigen. Aus diesem Grund ist es entscheidend, über umfassenden Einblick in Ihre Cloud-Umgebungen zu verfügen, sodass Sie Ihre Sicherheitsschwachstellen identifizieren, priorisieren, was am dringlichsten ist, und Ihre Cloud-Sicherheitsrisiken effektiv analysieren und beseitigen können.
In diesem Webinar erfahren Sie mehr darüber:
- Wichtige Sicherheitsüberlegungen in Microsoft Azure, z. B. im Hinblick auf Benutzerverwaltung und Cloud-Ressourcen
- Wie Azure-Bereitstellungen effektiv geschützt werden können – von der Laufzeit bis hin zu Richtlinien
- Wie Azure-Angriffspfade in Ihrem Unternehmen identifiziert, bewertet und verteidigt werden können
Sicherstellen, dass Ihre Cloud-Umgebungen PCI DSS-Standards erfüllen
Da immer mehr Unternehmen Systeme und Anwendungen in die Cloud verlagern, hat das PCI Security Standards Council (PCI SSC) Cloud-Computing-Kontrollen und entsprechende Überlegungen in seine PCI DSS-Leitlinien aufgenommen. Unabhängig davon, ob Sie in Private, Community, Public oder Hybrid Cloud-Umgebungen arbeiten: Tenable One kann Ihnen die notwendige umfassende Sichtbarkeit bieten, um sicherzustellen, dass Sie die Zahlungskartendaten Ihrer Kunden schützen und zugleich die Compliance-Standards nach PCI DSS erfüllen.
Anwendungsbereich bewerten
Im Rahmen der PCI DSS-Konformität muss Ihr Unternehmen den jeweiligen Anwendungsbereich von Systemen und Netzwerken nachvollziehen können. Viele Unternehmen tun sich damit schwer, weil sie keinen Einblick in alle ihre Assets haben. Mit Tenable One können Sie sämtliche Assets im Anwendungsbereich erfassen, wie etwa Server, Webanwendungen, Netzwerkgeräte und Datenbanken.
Zuverlässig dokumentieren
Das Fertigstellen und Vorlegen der entsprechenden Dokumentation ist ein Bestandteil von PCI DSS-Konformität. Wenn Sie diese Daten weiterhin manuell in Spreadsheets oder anderen GRC-Tools verfolgen, ist dies zeitaufwendig und wichtige Informationen können übersehen werden. Tenable One vereinfacht die Dokumentation mit einsatzfertigen Vorlagen für Berichte und Scans.
Schwachstellen erkennen und priorisieren
Um die Sicherheit von Zahlungskartendaten zu gewährleisten, müssen Sie nicht nur wissen, wo Schwachstellen vorhanden sind. Sie benötigen außerdem Einblick in die potenziellen Compliance-Auswirkungen, sodass Sie stets wissen, welche Schwachstellen zuerst behoben werden müssen. Tenable One ermöglicht Risikobewertungen, sodass Sie Sicherheitsprobleme erkennen, priorisieren und beseitigen können – On-Prem wie auch in der Cloud.
Erleben Sie Tenable One in Aktion
Bewerten und verwalten Sie kontinuierlich sämtliche Systeme und Anwendungen innerhalb Ihrer Karteninhaberdaten-Umgebung (Cardholder Data Environment, CDE) mit Tenable One.