Unser Oktober-Blog-Eintrag zu PCI DSS v4.0

Nachweise im PCI DSS-Audit

In dieser Folge unsere PCI DSS v4.0‑Blogs erläutern wir, welche Pflichten Auditoren beim Nachweis ihrer Audit-Ergebnisse haben, und wie Sie am besten die Erbringung angemessener Nachweise für PCI DSS v4.0‑Audits vorbereiten.

Auditprozess

Im Laufe eines PCI DSS-Assessments (oder, wie wir im Deutschen häufig sagen, ‑Audits) prüfen Auditoren, inwieweit die PCI DSS-Anforderungen bei einem Unternehmen umgesetzt sind.

Üblicherweise beinhaltet ein Auditprozess die folgenden Prüfschritte:

Review von Dokumenten,
Review von Systemkomponenten/-einstellungen,
Review von Prozessen,
Review von physischen Gegebenheiten,
Review von Protokollen/Ergebnissen, und
Interviews mit Personal.

Dies ändert sich auch nicht mit der Migration auf PCI DSS v4.0.

Nachweispflichten

Welche Notizen eine Auditorin sich macht und welche Nachweise sie wie ablegt, bleibt für die auditierte Firma normalerweise im Verborgenen. Wir geben Ihnen hier einen kleinen Einblick, was sich dort mit PCI DSS v4.0 verändert.

Das PCI SSC hat mit dem neuen Reporting Template für PCI DSS v4.0 sowie mit einem Update des PCI DSS Program Guide für QSAs jetzt klargestellt, dass sie für jeden Prüfschritt fordern, dass der Auditor einen entsprechenden Nachweis abgelegt. Die prüft das PCI SSC auch stichprobenartig bei den Auditfirmen.

Für Dokumente ist dies einfach: der Nachweis ist das jeweilige Dokumente selbst. Ähnlich ist es bei Protokollen/Ergebnissen – hier muss nur darauf geachtet werden, dass klar ist, um welches System oder welchen Prozess es hier geht.

Falls Sie einem Auditor einen Screenshot oder eine Datei als Nachweis schicken, achten Sie daher bitte darauf, die Information mitzuliefern, um welche Systemkomponente und/oder welche Prozess es geht.

Beim Review von Systemkomponenten/-einstellungen ist es notwendig, dass der Auditor sich dedizierte Notizen zu dem jeweiligen System und der jeweiligen Einstellung macht.

Beim Review von Prozessen oder physischen Gegebenheiten muss die jeweilige Gegebenheit detailliert beschrieben werden, und es muss dargestellt werden, welche Schlüsse die Auditorin aus der Beobachtung zieht. In ähnlicher Form wird auch bei einem Interview erwartet, dass die Auditorin grob die Fragen und Antworten mitschreibt.

Geben Sie bitte dem Auditor im Audit genügend Zeit, sich entsprechende Notizen zu machen.

An vielen Stellen kann es die Schreibarbeit verkürzen, wenn der Auditor Kopien oder Screenshots bereitgestellt bekommt oder Fotos machen darf.

Der PCI DSS v4.0 listet etwa 250 Unterpunkte zu den 12 Haupt-Anforderungen auf – entsprechend viele Nachweise benötigt der Auditor.

Aufbewahrungspflichten

Der PCI DSS Program Guide schreibt vor, dass alle oben genannten Nachweise von der Auditfirma für mindestens drei Jahre sicher aufbewahrt werden müssen und auf Anfrage dem PCI SSC und den zugehörigen Gesellschaften verfügbar gemacht werden müssen.

Aus Datenschutz- oder Vertraulichkeitsgründen kommt es vor, dass Unternehmen es für einzelne Nachweise nicht erlauben, dass die Auditorin sie mitnehmen und ablegen darf. In diesem Fall regelt das PCI SSC, dass die Ablage stattdessen bei dem auditierten Unternehmen erfolgen darf. Die Anforderungen an Aufbewahrungsfrist und Verfügbarkeit sind in diesem Fall die gleichen.

Da die Nachweispflichten mit PCI DSS v4.0 größer geworden sind, wird auch dieser Fall in Zukunft häufiger vorkommen.

Wenn Sie erwarten, dass nicht alle Nachweise an den Auditor weitergegeben werden dürfen, bereiten Sie sich als auditiertes Unternehmen am besten vor, indem Sie

eine revisionssichere Aufbewahrung der Nachweise für mindestens drei Jahre vorbereiten,
während des Audits eine Liste der nicht ausgehändigten Dokumente und Nachweise führen,
eine schriftliche Bescheinigung für den Auditor vorbereiten, in der Sie
- den Aufbewahrungsort benennen,
- den Ansprechpartner benennen, an den das PCI SSC sich wenden kann, wenn es Nachweise einsehen möchte, und
- eine revisionssichere Aufbewahrung bis zu einem konkret benannten Datum, welches mindestens drei Jahre in der Zukunft liegt, bestätigen.

Umgang mit Abweichungen

Wie sieht es mit den Nachweisen aus, wenn im Audit nicht sofort die Erfüllung aller Anforderungen nachgewiesen werden konnte, sondern Abweichungen festgestellt wurden?

Geplante Abweichungen

Der einfachste Fall ist es, wenn Sie als auditiertes Unternehmen bereits vorab erkannt haben, dass Sie eine Anforderung nicht erfüllen können oder nicht auf dem vorgegebenen Weg erfüllen möchten. In diesem Fall haben Sie zum Audit bereits eine Dokumentation einer Compensating Control oder eines Customized Approaches vorbereitet. Hierbei kann Ihnen auch ein PCI DSS-Experte helfen – es darf nur nicht der gleiche sein, der die Umsetzung dann auch prüft.

Zum Customized Approach werden wir in einer späteren Folge unseres PCI DSS v4.0‑Blogs noch ausführlich Stellung nehmen.

In beiden Fällen wird die Auditorin die Nachweise der Compensating Control oder des Customized Approaches Ihres Unternehmens prüfen, ggf. Rückfragen stellen, und dann geeignete Prüfmethoden ableiten und durchführen. Die Pflichten zum Erheben von Nachweisen ergeben sich dabei aus der jeweiligen Prüfmethode.

Ungeplante Abweichungen – „INFI“

Treten während eines Auditzeitraums ungeplante Abweichungen von den PCI DSS-Anforderungen auf, müssen diese behoben werden und die Behebung durch den Auditor verifiziert werden. Dies war bereits unter PCI DSS v3.2.1 so.

Der PCI DSS v4.0 verlangt zusätzlich explizit, dass der Grund für das Auftreten der Abweichung identifiziert wird, und dass Prozesse implementiert sind, die ein erneutes Auftreten solch einer Abweichung verhindern. Nur in dem Fall kann der Auditor die Anforderung noch als erfüllt ansehen.

Im neuen „Items Noted For Improvement” (INFI)-Dokument müssen bei jedem PCI DSS v4.0‑Audit alle Abweichungen, ihre Gründe, die korrektiven und präventiven Maßnahmen dokumentiert werden.

Die Auditorin stellt dem auditierten Unternehmen zum Abschluss des Audits das INFI-Dokument zur Verfügung, und beide Parteien unterschreiben es. Das INFI-Dokument belegt, dass das auditierte Unternehmen die Abweichungen erfolgreich bewältigt hat. Das Dokument kann im auditierten Unternehmen intern verwendet werden – bspw. in Compliance- und Risiko-Abteilungen – und auf dessen Wunsch auch mit Dritten geteilt werden. Eine Verpflichtung zur Vorlage des INFI-Dokuments gibt es nicht, und es wird auch nicht in der Attestation of Compliance (AoC) referenziert.

Gerade bei regelmäßig zu wiederholenden Prozessen kommt es immer mal wieder dazu, dass sich eine Durchführung verspätet, z.B. bei der Durchführung von

Security-Awareness-Trainings,
der Inspektion von Zahlgeräten,
Schwachstellenscans, oder
dem Einspielen von Patches.

Überlegen Sie sich am besten bereits im Vorfeld, wie Sie Ihre Prozesse so gestalten, dass Sie die vorgeschriebenen Zeiträume einhalten und Verspätungen sofort bemerken.

Bei Fragen unterstützen wir Sie gerne, melden Sie sich per E‑Mail bei Frau Jana Ehlers.

Unser September-Blog-Eintrag zu PCI DSS v4.0

Timeline für die PCI DSS v4.0‑Migration – Was sind die nächsten Schritte?

Mit dem 31.03.2024 rückt das Ende von PCI DSS v3.2.1 näher. Alle Händler, die Zahlungen mit Karten der internationalen Zahlungsmarken Visa, Mastercard, American Express, Discover, JCB oder UnionPay akzeptieren, und alle Dienstleister, die sie dabei unterstützen, sollten auf PCI DSS v4.0 vorbereitet sein.

Aber was sollte man konkret wann tun?

Gap-Analyse

Am Anfang sollte eine Gap-Analyse stehen. Wer bisher noch nicht überprüft hat, welche neuen Anforderungen mit PCI DSS v4.0 auf ihn zukommen, sollte dies so schnell wie möglich nachholen! Die Gründe liegen auf der Hand:

Die Umsetzung neuer Anforderungen wird Zeit und Ressourcen benötigen.
PCI DSS-Fachleute, die bei der Umsetzung beraten können, sind bereits gut gebucht.

Bei der Gap-Analyse müssen die neuen Anforderungen gelesen und verstanden werden und mit der bestehenden Maßnahmen-Landschaft abgeglichen werden. Für das Verständnis der Anforderungen ist es extrem hilfreich, nicht nur die Anforderung an sich zu lesen, sondern auch die umfangreichen Hilfestellungen, die das PCI SSC jeder Anforderung im Standard zur Seite gestellt hat:

Die „Guidance“-Spalte (rechts von der Anforderung),
die mit der Anforderung verfolgte Zielsetzung (unterhalb der Anforderung),
und, sofern vorhanden, die Hinweise zur Anwendbarkeit (unterhalb der Anforderung).

Auch die einleitenden Kapitel des PCI DSS v4.0 und das Glossar im Anhang G können bei Fragen zu Begrifflichkeiten und Anwendbarkeit unterstützen.

Wenn Sie bereits mit einem PCI DSS-Experten zusammenarbeiten, greifen Sie gerne schon in diesem Schritt auf dessen Expertise und Erfahrung zurück.

Priorisierung

Wenn alle offenen Punkte identifiziert wurden, sollten ihnen Zeiträume und Verantwortlichkeiten zugewiesen werden.
Bei der Zuweisung der Zeiträume sollte das Folgende beachtet werden:

Wie lange wird die Umsetzung voraussichtlich dauern?
Die Implementierung neuer technischer Lösungen dauert aufgrund interner Abhängigkeiten häufig lang. Oft kommt dies zusammen mit geringen Personalressourcen. Themen, bei denen absehbar ist, dass ihre Umsetzung lange dauern wird, müssen früher angegangen werden als welche, die voraussichtlich schnell erledigt sind.
Werden gezielte Risikoanalysen verlangt?
In v4.0 ist die Häufigkeit der Durchführung für viele regelmäßige Aufgaben nicht mehr fest vorgeschrieben, sondern soll durch eine gezielte Risikoanalyse bestimmt werden. Die Durchführung solcher gezielten Risikoanalysen muss intern abgestimmt werden und erfordert entsprechend Zeit.
Gibt es Zeiträume, die sich besonders gut oder schlecht für die Umsetzung eignen?
Für die Änderung von Richtlinien kann es z.B. sinnvoll sein, Dokumenten-Review-Zyklen zu berücksichtigen. Bei technischen Änderungen ergibt es Sinn, eventuelle Freeze-Perioden oder bereits geplante Release-Zeiträume zu berücksichtigen.
Ist die PCI DSS v4.0‑Deadline für diese Anforderung 2024 oder 2025?
Bei vielen grundlegend neuen Anforderungen im PCI DSS v4.0 ist in den Hinweisen zur Anwendbarkeit vermerkt, dass die Anforderung bis zum 31.03.2025 als Best Practice angesehen wird und erst danach verpflichtend ist.
Anforderungen ohne diesen Hinweis müssen bis zum 31.03.2024 umgesetzt sein und sollten daher ggf. höher priorisiert werden.

Entscheidungen

Für manche neuen Anforderungen gibt es verschiedene Möglichkeiten, sie umzusetzen.
Beispiele dafür sind:

Anforderung 3.4.2 fordert die Verhinderung von Kopieren/Verschieben von PAN bei remote-Zugriffen (außer für Personal mit entsprechendem Business Need). Auch hierfür kann es mehrere Wege geben – z.B. über eine Einstellung in RDP bei Nutzung der Remote-Verbindung, oder indem man bei PAN-Anzeigen auf entsprechenden Webseiten Markieren/Kopieren/Maus-Rechtsklicks verhindert.
Anforderung 8.4.2 fordert die Erzwingung von Multi-Faktor-Authentifizierung (MFA) bei Zugriffen in die Cardholder Data Environment (CDE). Je nachdem, wie die Zugriffe in Richtung CDE stattfinden, kann es sinnvoll sein, die MFA auf Netzwerkebene zu erzwingen, oder auf Systemebene, oder auf Anwendungsebene. Diese Entscheidung muss unter Einbeziehung der verschiedenen Verantwortlichen gut abgewogen werden. Gegebenenfalls müssen hier sogar mehrere Parteien zusammenarbeiten.

Wägen Sie frühzeitig ab, welche Auswirkungen welcher Weg für Sie hat!

Nachverfolgung und Bewertung

Wenn Sie Ihre Aufgaben zeitlich priorisiert haben und sich für Umsetzungswege entschieden haben: lehnen Sie sich bitte nicht zurück! Die Person oder das Team, welches für die Aufrechterhaltung der PCI DSS-Konformität verantwortlich ist, sollte mit den Teams, die für die Umsetzung verantwortlich sind, in Kontakt bleiben.

Gibt es Rückfragen/Verständnisfragen?
Gibt es Probleme bei der Umsetzung?
Ist die Einhaltung des vereinbarten Zieltermins gefährdet?

Technische Sicherheitseinrichtungen Sobald eine Aufgabe umgesetzt ist, sollte geprüft werden, ob die Lösung der entsprechenden PCI DSS-Anforderung standhält. Wenn gewünscht, können auch für solche kleinen Zwischen-Assessments externe PCI DSS-Experten hinzugezogen werden, um auf der sicheren Seite für das nächste offizielle Assessment zu sein.

Kontinuierlicher Prozess

Wenn eine Anforderung einmal erfüllt ist, ist nicht gewährleistet, dass dies so bleibt. Kartendatennutzung, Technologien und Angriffsvektoren ändern sich. Bereits heute beinhaltet der PCI DSS v3.2.1 regelmäßige Aufgaben zur Aufrechterhaltung der PCI DSS-Konformität. Mit dem PCI DSS v4.0 entwickelt sich dies immer mehr zu einem kontinuierlichen Prozess.

Gewöhnen Sie sich daher bereits jetzt daran, Ihre Maßnahmen immer wieder auf den Prüfstand zu stellen, und die (in Kapitel 7 des PCI DSS jetzt genau definierten) Zeiträume für wiederkehrende Tätigkeiten einzuhalten. So wird Ihnen auch die Einhaltung neuer entsprechender Anforderungen leichter gelingen, wie bspw.

2.4 / 7.2.5.1 Review von Benutzerkonten und zugeordneten Zugriffsrechten,
3 Review von Risikoeinschätzungen und Review der Angemessenheit und Sicherheit von verwendeten kryptografischen Algorithmen, Hardware- und Software-Technologien,
5 Validierung des PCI DSS-Anwendungsbereichs und
6.2 Review des Security Awareness-Programms.

Aber vor allem: Anfangen!

Dies ist der wichtigste Schritt. Wenn Sie noch nicht angefangen haben, ist heute der beste Tag, dies zu tun.
Stellen Sie ein Team zusammen und planen Sie Zeit ein.

Bei Fragen unterstützen wir Sie gerne, melden Sie sich per E‑Mail bei Frau Jana Ehlers.

PCI DSS v4.0 rückt näher – wir unterstützen Sie bei der Vorbereitung

Der PCI DSS ist ein ausgereifter Standard, der Anforderungen an die sichere Verarbeitung von Kartendaten der internationalen Zahlungssysteme definiert.

Die Version 3 des PCI DSS, die – mit verschiedenen Updates – seit 2014 gültig ist, läuft Ende März 2024 endgültig aus und wird durch die neue Version 4.0 ersetzt.

Wir gehen mit Ihnen die letzten Schritte zur Migration auf PCI DSS v4.0.

Nutzen Sie gerne unsere Angebote:

1. Monatliche Blog-Artikel, in denen jeweils ein Thema des PCI DSS v4.0 genauer beleuchtet wird.

September 2023: Timeline für die PCI DSS v4.0‑Migration – Was sind meine nächsten Schritte?
Oktober 2023: Nachweispflicht bei PCI DSS Audits
weitere finden Sie aktualisiert an dieser Stelle

2. Kostenlose Webinare, welche die Änderungen von PCI DSS v3.2.1 auf v4.0 noch einmal für Sie zusammenfassen.

Sobald die genauen Termine feststehen und die Anmeldung freigeschaltet ist, finden Sie die entsprechenden Links hier:

Webinar zum vollen PCI DSS-Anwendungsbereich (Januar 2023)
Webinar für Card-Present-Händler mit Anwendungsbereich SAQ B‑IP oder P2PE (Januar 2023)
Webinar für E‑Commerce-Händler mit Anwendungsbereich SAQ A (Januar 2023)

3. Auf Sie zugeschnittene PCI DSS v4.0‑Workshops, in dem wir die für Sie relevanten Anforderungen gezielt vorstellen und diskutieren.

4. Eine Gap-Analyse für Ihre Umgebungen und Prozesse. Sie erhalten eine Liste aller in Ihrem Unternehmen noch offenen Punkte für die PCI DSS v4.0‑Konformität.

5. Beratungspakete nach Wahl, von denen Sie jederzeit Kontingente abrufen können, wenn Sie konkrete Rückfragen haben – per Telefon, E‑Mail, Webkonferenz, oder in Meetings vor Ort.

Kontakt: Frau Jana Ehlers per E‑Mail

SRC wird Teil des GEAR (Global Executive Assessor Roundtable)!

PCI SSC und SRC

Das Payment Card Industry Security Standards Council (PCI SSC) ist ein globales Forum, welches Informationssicherheitsstandards für sichere Zahlungen entwickelt und deren Anwendung vorantreibt. Es ist verantwortlich für 15 weltweit anerkannte und verbreitete Standards zur Absicherung von elektronischen Zahlverfahren – von der Zahlkartenproduktion und ‑herausgabe über die Zahlung am Point of Interest oder in Web & App bis hin zur Abwicklung der Zahlungen im Hintergrund. SRC prüft die Nutzung der Informationssicherheitsstandards seit Gründung des PCI SSC im Rahmen entsprechender Audits und Produktprüfungen.

Das PCI SSC legt Wert auf den Austausch zwischen verschiedenen Stakeholdern und nutzt dafür verschiedene Gremien und Aktivitäten. SRC hat sich bisher im Rahmen von Special Interest Groups und Task Forces sowie durch die Teilnahme an Community Meetings und Request for Comment-Phasen beteiligt.

Global Executive Assessor Roundtable

Das PCI SSC gibt seit 2018 im Global Executive Assessor Roundtable (GEAR) erfahrenen Audit-Unternehmen die Möglichkeit, seine obere Führungsebene zu beraten.

Wir freuen uns, dass unser Unternehmen dieses Jahr mit ausgewählt wurde, im Rahmen dieser verantwortungsvollen Mitgliedschaft eine der Schnittstellen zwischen der Führung des PCI SSC selbst und der Führung der Auditierungsgesellschaften zu bekleiden. Hierdurch können wir unsere jahrelange Erfahrung zukünftig auf direktem Wege einbringen.

Die Ernennung gilt für die kommenden zwei Jahre und gibt uns die Möglichkeit, an der Weiterentwicklung von Vorgaben für Audit-Verfahren, neue Schulungsprogramme und Qualifikationsanforderungen zukünftiger Auditierender einflussgebend mitzuwirken. Weitere Aufgabenbereiche der GEAR sind unter anderem, Möglichkeiten zu finden, das Engagement von Auditierenden in aufstrebenden und neuen Märkten zu fördern, und die Fähigkeiten und Fertigkeiten von Auditierenden im Sinne eines Mehrwerts für Zahlungsverkehrs-Unternehmen zu optimieren.

Wir sind stolz, in diesen Kreis aufgenommen worden zu sein, und sehen darin eine Anerkennung unserer bisherigen Leistung und Relevanz auf dem Markt der Zahlungsverkehrssicherheit. Zugleich sind wir uns unserer Verantwortung bewusst, die Stellvertretung für eine große Gemeinschaft an Auditierungsgesellschaften wahrzunehmen, und nehmen dies als zusätzlichen Ansporn für die Zukunft.

Link zum GEAR: https://www.pcisecuritystandards.org/about_us/global_executive_assessor_roundtable/

8‑stellige BINs und PCI DSS

Am 1. April 2022 werden die Kartenorganisationen Visa und Mastercard die BIN (Bank Identification Number) ihrer Karten weltweit von 6 auf 8 Stellen ausdehnen. Von einer 16-stelligen Kreditkartennummer (Primary Account Number, PAN) dienen dann in Zukunft die ersten 8 Stellen zur Identifikation des Kartenherausgebers. Die BIN wird an vielen Stellen genutzt, wo die Verwendung der vollständigen PAN nicht nötig ist – z.B. für das Routing von Transaktionen oder für Reportings.

BINs und PCI DSS

Überall dort, wo eine vollständige PAN genutzt wird, müssen die Systeme, Umgebungen, Prozesse und Personen die Anforderungen des Datensicherheitsstandards PCI DSS (Payment Card Industry Data Security Standard) erfüllen. So sinnvoll der Schutz der PAN durch den PCI DSS ist – für die BIN ist er nicht notwendig.

Im PCI DSS ist daher beschrieben, unter welchen Bedingungen für Teile der PAN nicht der gleiche Schutz wie für die volle PAN notwendig ist. Wird nicht die volle PAN gespeichert, verarbeitet oder übertragen, sondern nur einige Stellen davon, spricht man im PCI DSS von „Trunkierung“. Ist zwar die volle PAN im Hintergrund gespeichert, aber in einer Applikation werden nicht alle Stellen angezeigt, spricht man im PCI DSS bei der Anzeige von „Maskierung“. Im Alltag wird für beide unterschiedlichen Maßnahmen auch der Begriff „ausgeixt“ verwendet; aus Sicht des PCI DSS muss man diese aber unterscheiden.

Für Trunkierung und Maskierung galten bisher folgende Regeln:

Maskierung: PCI DSS-Anforderung 3.3 besagt, dass maximal die ersten sechs und letzten vier Stellen („first 6, last 4“) der PAN angezeigt werden dürfen, solange es keinen Business Need für die Einsicht in die volle PAN gibt.
Trunkierung: In PCI DSS-Anforderung 3.4 wird Trunkierung als Beispiel für die Unkenntlichmachung von PANs benannt, aber nicht genauer definiert. Die erlaubten Formate werden jeweils von den internationalen Zahlkarten-Organisationen festgelegt und vom PCI SSC im FAQ-Eintrag #1091 zusammengefasst. Die meisten Zahlkarten-Organisationen hatten sich dabei auf die Regel „first 6, any other 4“ geeinigt, die viele Jahre Bestand hatte.

Änderung der Regeln für Trunkierung und Maskierung

Aufgrund der Umstellung auf 8‑stellige BINs und der Notwendigkeit vieler Unternehmen, diese zu verarbeiten, haben die Zahlkarten-Organisationen ihre Vorgaben nun aber geändert. In der aktuellen Zusammenfassung im FAQ-Eintrag des PCI SSC ist nun definiert, dass für 16-stellige PANs bei der Trunkierung „first 8, any other 4“ zulässig ist.
Die (Test)Kartennummer 4012888888881881 dürfte dann in Zukunft z.B. in der Form 40128888xxxx1881 gespeichert und verarbeitet werden – es reicht aus, wenn beliebige vier Stellen hinter der BIN ausgeixt sind.
Lediglich für kürzere PANs bleibt es bei den bestehenden Regeln „first 6, any other 4“ (Discover) bzw. „first 6, last 4“ (American Express). Bei der Maskierung wird eine entsprechende Anpassung der PCI DSS-Anforderung mit der Umstellung auf PCI DSS v4.0 erwartet.

Aus Sicherheitssicht ist das Ausixen so weniger Stellen keine Verbesserung – aus der Business-Perspektive ist die Änderung aber wohl notwendig. Es bleibt zu hoffen, dass dies in der Gesamtsicht durch andere Sicherheitsmaßnahmen ausgeglichen wird.
Auf jeden Fall stehen in Zukunft die Anforderungen des PCI DSS der Verwendung einer 8‑stelligen BIN nicht im Wege.

Vorsicht bei der Kombination verschiedener Formate

Händler und Dienstleister, die mit trunkierten Kartendaten arbeiten, sollten – unabhängig von der Länge der BIN – darauf achten, den Schutz der Kartendaten nicht durch die Vermischung verschiedener Formate zu schwächen.

Es muss darauf geachtet werden, dass die erweiterten Trunkierungsformate nur für 16-stellige PANs gelten. Die Länge der PAN muss also für die Trunkierung bei der Speicherung berücksichtigt werden.
Trunkierungsformate wie „first 6, any other 4“ erlauben theoretisch das Vorliegen unterschiedlicher trunkierter Versionen der gleichen PAN. Die oben angeführte Kartennummer könnte in einem System als 40128888xxxx1881 gespeichert sein, in einem anderen als 401288888888xxxx. Das ist nicht verboten – es muss jedoch darauf geachtet werden, dass keiner ohne entsprechenden Business Need die beiden Versionen zusammenführen kann und somit weitere Stellen der PAN – bis hin zur vollständigen Kartennummer – rekonstruieren kann.
Dies gilt genauso, wenn für Maskierung und Trunkierung unterschiedliche Formate verwendet werden.
Werden in einer Umgebung sowohl trunkierte PANs als auch die Hash-Werte von PANs gespeichert, so sind die beiden Werte an sich erst einmal unkritisch. Lassen sich die trunkierten PANs und ihre Hash-Werte jedoch in Verbindung bringen, lässt sich über Rainbow Tables leicht die ursprüngliche volle PAN rekonstruieren. Auch in diesem Fall muss also über zusätzliche Maßnahmen die Möglichkeit der Zusammenführung der beiden Versionen verhindert werden.

PCI DSS v4.0 kommt – Ein Überblick

Der PCI DSS (Payment Card Industry Data Security Standard) ist als umfassender Datensicherheitsstandard für Zahlkartendaten der internationalen Zahlsysteme bekannt. Das Payment Card Industry Security Standards Council (PCI SSC) entwickelt den Standard im Laufe der Zeit weiter, damit er mit fortschreitenden Risiken und Bedrohungen, der sich ständig verändernden IT- und Zahlungsverkehrslandschaft und geänderten Sicherheitsanforderungen Schritt hält.

Das PCI SSC arbeitet seit langem an der neuen, grundlegend überarbeiteten Version 4.0 des Standards. Nach drei RFC-Phasen in den zurückliegenden Jahren wird die neue Version nun im März 2022 offiziell auf der PCI SSC-Website veröffentlicht.
Einige Änderungen wurden bereits angekündigt und werden im Folgenden vorgestellt.

Neue Validierungsoptionen

Das PCI SSC plant, den Standard flexibler zu gestalten. Traditionell besteht der vorgesehene Weg zur Erfüllung einer PCI DSS-Anforderung darin, ihr Wort für Wort zu folgen. Jetzt plant das PCI SSC, eine Wahlmöglichkeit anzubieten: Für fast jede Anforderung kann ein Unternehmen entweder die traditionelle Variante wählen, sie Wort für Wort zu erfüllen, oder sie kann eine individuelle, „customized“ Validierung nutzen.

Zu jeder Anforderung im Standard wird das Ziel angegeben, das mit der Anforderung erreicht werden soll. Wenn ein Unternehmen der Meinung ist, dass sie dieses Ziel auf andere Weise erreichen möchte, als durch wortwörtliche Befolgung der Anforderung, kann sie ihren Weg dahin dokumentieren. Hierzu gehört auch eine Risikobewertung, um die Angemessenheit des gewählten „customized“ Weges zu überprüfen. Diese Dokumentation, inklusive der Risikobewertung, wird dann dem Assessor zur Verfügung gestellt. Der Assessor identifiziert auf dieser Grundlage geeignete Testverfahren zur Überprüfung der Umsetzung der „customized“ Maßnahmen.

Änderungen an Anforderungen

Um sicherzustellen, dass die PCI DSS-Konformität das ganze Jahr über aufrechterhalten wird, wurden zusätzliche Anforderungen vom PCI SSC angekündigt, z.B. die Notwendigkeit für

Die Definition von Rollen und Verantwortlichkeiten für alle PCI-DSS-relevanten Themen, und für
Regelmäßige Überprüfungen des PCI-DSS-Anwendungsbereichs (Scope).

Darüber hinaus werden bestehende Anforderungen an veränderte Bedrohungslagen und Sicherheitsanforderungen angepasst. Unter anderem zu den folgenden Themen wurden Änderungen angekündigt:

Anforderungen an die Authentifizierung,
Erkennungsmechanismen und Sensibilisierungsmaßnahmen für aktuelle Bedrohungen, sowie
Risikobewertungen.

Auch die Verwendung von 8‑stelligen BINs wird berücksichtigt werden müssen (vgl. unseren Blog-Eintrag).
Die genauen Details zu Änderungen stehen natürlich erst nach der endgültigen Veröffentlichung fest.

Übergangsprozess

Das PCI SSC hat eine Übergangsfrist von zwei Jahren angekündigt, plus eine zusätzliche Übergangszeit für grundlegend neue Anforderungen. Nehmen Sie sich also nach der Veröffentlichung im März 2022 die Zeit, die neue PCI-DSS-Version zu lesen, die Änderungen zu identifizieren und die Auswirkungen auf Ihre Umgebung zu verstehen. Nutzen Sie dieses Jahr, um die Umstellung auf PCI DSS v4.0 zu planen und zu entscheiden, wann der richtige Zeitpunkt für Ihr Unternehmen ist, von Version 3.2.1 auf 4.0 umzusteigen.

Ihr PCI DSS-Berater oder ‑Auditor kann Ihnen helfen, die Intention hinter den Änderungen, Ihren Anpassungsbedarf und die Validierungsanforderungen zu verstehen. Bitte zögern Sie nicht, sie zu kontaktieren. Wenn Sie noch keinen Ansprechpartner zu PCI DSS haben, wenden Sie sich gerne an SRCs Themenverantwortliche.

Um sich einen ersten Überblick über die Änderungen des Standards zu verschaffen, können Sie auch an unserem kostenlosen PCI DSS v4.0‑Webinar am 21./22. April teilnehmen: Hier gehts zur Anmeldung.

PCI DSS v4.0‑Veröffentlichung verzögert sich

Seit 2019 ist die Veröffentlichung einer neuen, grundlegend überarbeiteten Version des Zahlungsverkehrsstandards PCI DSS angekündigt. Wir warten gespannt auf die Änderungen, die die neue Version mit sich bringen wird.

Nachdem der PCI DSS v4.0 in 2019 und 2020 bereits zwei RFC-Phasen durchlaufen hat, hat sich das PCI Security Standards Council nun entschieden, auch die mitgeltenden Dokumente, insbesondere

die Vorlage für den Report on Compliance (ROC)
die Vorlage für die Attestation of Compliance (AOC), und
die Self-Assessment Questionnaires (SAQs)

im Juni 2021 einer RFC-Phase zu unterziehen. Damit wird sich aber auch die Veröffentlichung des PCI DSS v4.0 weiter verzögern.

Statt des angekündigten Veröffentlichungs-Zeitraums Q2 2021 wird nun angestrebt, die Version in Q4 2021 fertig zu stellen. Wann sie endgültig veröffentlicht wird, ist noch nicht genauer festgelegt.

Wir müssen uns daher noch etwas gedulden, bis wir die Migration angehen können. Mit der Verzögerung der Veröffentlichung verschieben sich ebenso die geplanten Übergangsfristen von PCI DSS v3.2.1 auf v4.0. Auch unsere PCI DSS v4.0‑Webinare verschieben wir daher auf 2022.

SRC-Expertin Ehlers: Standards der Payment Card Industry (PCI)

„PCI-Konformität erfordert Know-How und Ressourcen.“ SRC-Expertin Jana Ehlers erläutert im gerade auf der Fach-Plattform „All About Security“ erschienenen Artikel die verschiedenen PCI-Sicherheitsstandards.

Angesichts der in Pandemie-Zeiten steigenden Anzahl an Kartenzahlungen ist der Schutz von Zahlkartendaten ein sehr aktuelles Thema.

Alle PCI Standards zielen auf den Schutz von Zahlkartendaten der internationalen Zahlungssysteme ab. Allein beim bekanntesten Standard, dem PCI DSS, gibt es rund 250 Einzelanforderungen. Werden diese bereits beim Aufbau von Netzwerken und Strukturen berücksichtigt, spart man sich häufig aufwändige und teure Nachrüstungen. Aber auch die dauerhafte Aufrechterhaltung der PCI DSS-Konformität stellt Firmen vor Herausforderungen.

SRC prüft und berät zu PCI-Standards seit deren Entstehung im Jahr 2006. Diese Erfahrung kann genutzt werden, um die Intentionen der PCI-Standards richtig zu verstehen und zu berücksichtigen. SRC begleitet durch den gesamten Prozess. Damit ist nicht nur PCI-Konformität auf verständlichem Weg erreichbar, sondern auch ein großes Stück mehr Sicherheit für die schützenswerten Zahlkartendaten der Kunden.

SRC durch das PCI SSC als SPoC/CPoC Lab anerkannt

SRC durch das PCI SSC als SPoC und CPoC Security Lab anerkannt

Das weltweit agierende PCI Security Standards Council hat SRC heute als viertes Labor für die Durchführung von Sicherheitsuntersuchungen von SPoC und CPoC Lösungen anerkannt.

Mit SPoC Lösungen (Secure PIN Entry on Commercial-off-the-Shelf devices) kann ein Händler Zahlungen mit handelsüblichen mobilen Endgeräten entgegen nehmen.

Während das SPoC Programm Lösungen mit PIN-Eingabe beschreibt, zielt das CPoC Programm auf ausschließlich kontaktlose Lösungen, die keine PIN-Eingabe erfordern.

Eine SPoC Lösung besteht aus vier Kern-Komponenten:

einem Secure Card Reader for PIN (SCRP), einem externen und PCI PTS zugelassenen Kartenleser,
einer geprüften PIN CVM App für die sichere PIN-Eingabe auf dem handelsüblichen mobilen Endgerät des Händlers,
dem mobilen Endgerät des Händlers (COTS device) wie z.B. einem Smartphone oder einem Tablet, sowie
einem Hintergrundsystem, das maßgeblich mittels Attestierung, Monitoring und Processing zur Sicherheit des Gesamtsystems beiträgt.

Mit CPoC hat das PCI SSC Anforderungen an Lösungen für die Verarbeitung von kontaktlosen Zahlungen ohne PIN-Eingabe („Tap and Go“) auf handelsüblichen mobilen Endgeräten (commercial off-the-shelf, COTS), wie z.B. Smartphones oder anderen mobilen commercial off-the-shelf (COTS) Geräten mit NFC-Schnittstelle entwickelt.

Mit den Programmen SPoC und CPoC bedient das PCI SSC die zunehmende Nachfrage nach neuen und sicheren Akzeptanzlösungen und sorgt für die Sicherheit bei der Akzeptanz von Zahlungen mittels Mobiltelefonen und Tablets. Die dazugehörigen Prüfungen werden nun auch von SRC durchgeführt.

Die Anerkennung von SRC als Lab für die Programme SPoC und CPoC ist ein wichtiges Signal an den Markt. Auch Kunden aus diesem innovativen Umfeld können jetzt die Expertise von SRC für die Entwicklung von sicheren Bezahllösungen in Anspruch nehmen.

PCI DSS-Orientierungshilfe für große Organisationen veröffentlicht

SRC Security Research & Consulting GmbH hat an der aktuellen Special Interest Group (SIG) des PCI (Payment Card Industry) Security Standards Council mitgewirkt. Die aus der SIG entstandene PCI DSS-Orientierungshilfe für große Organisationen wurde jetzt veröffentlicht.

Komplexe Organisationen, Konzerne und Unternehmen stehen oft vor spezifischen Herausforderungen bei der Umsetzung von Anforderungen des PCI DSS (Payment Card Industry Data Security Standards): der Heterogenität ihrer Infrastrukturen und Prozesse, der ständigen Veränderung von Unternehmensstrukturen, dem Umgang mit vielfältigen Anforderungen, Verantwortlichkeiten und Verwaltungsaufgaben.
In der neuen Orientierungshilfe wird erläutert, wie große und/oder komplexe Unternehmen ihre PCI-DSS-Aktivitäten unternehmensweit koordinieren und verwalten können.

PCI DSS-Orientierungshilfe für große Organisationen // zum Dokument.

Unser Oktober-Blog-Eintrag zu PCI DSS v4.0

Nachweise im PCI DSS-Audit

Unser September-Blog-Eintrag zu PCI DSS v4.0