Zur PCI-DSS-Compliance
mit DataSecurity Plus

Der Payment Card Industry Data Security Standard (PCI DSS) gilt für alle Entitäten, die Kartenzahlungen verarbeiten, darunter Händler, Zahlungsverarbeiter, Acquirer, Kartenaussteller und Dienstleister. Der Standard gilt weiterhin für andere Entitäten, die Informationen zu Kartenzahlungen, den Karteninhabern und vertrauliche Authentifizierungsdaten empfangen, speichern und übermitteln.

ManageEngine DataSecurity Plus – unsere Software für die PCI-Compliance – hilft Ihnen wie folgt, die Anforderungen gemäß PCI DSS einzuhalten:

Erkennung und Berichte zu Kartenzahlungsinformationen in Speicherumgebungen.
Audits dazu, wie vertrauliche Dateien gesichert, verarbeitet und übermittelt werden.
Überwachung der Datei-Integrität in der Kartendaten-Umgebung.
Bereitstellung erweiterter Einblicke in Sicherheitsberechtigungen und Dateispeicher.
Schutz sensibler Dateien vor unbeabsichtigten und böswilligen Datenlecks.

Und vieles mehr.

Wie unsere Software für die PCI-DSS-Compliance Ihnen hilft, die Anforderungen gemäß PCI zu erfüllen

Diese Tabelle zeigt die verschiedenen Anforderungen nach PCI DSS auf, bei denen Ihnen DataSecurity Plus unter die Arme greift.

Welche PCI-Anforderungen bestehen	Was Sie tun müssen	Wie DataSecurity Plus Sie dabei unterstützt
Vorgabe 2.2.5 Entfernen Sie alle unnötigen Funktionen, darunter Skripte, Treiber, Features, Subsysteme, Dateisysteme und überflüssige Webserver.	Identifizieren Sie alle Systemkomponenten (einschließlich Skripten und Dateisystemen), und entfernen Sie die nicht verwendeten.	Suche nach nicht verwendeten Dateien: Empfangen Sie Berichte zu Dateien, Skripten, Batch-Dateien und mehr, die für einen längeren Zeitraum nicht abgerufen/geändert wurden. Diese Berichte vereinfachen die Verwaltung redundanter, veralteter oder trivialer Dateien (ROT, von Redundant, Outdated, Trivial), und reduzieren die Anzahl anfälliger Dateien mit veralteten Berechtigungen oder Daten.
Vorgabe 3.1 Verwahren Sie nur minimale Daten zum Karteninhaber, indem Sie Richtlinien, Verfahren und Prozesse für Datenaufbewahrung und -löschung implementieren. Diese müssen zumindest das Folgende für alle Karteninhaberdaten umfassen: Begrenzung der Menge und Aufbewahrungszeit gespeicherter Daten auf das absolut notwendige, um Gesetze, Vorgaben und/oder Geschäftsanforderungen zu erfüllen Spezifische Aufbewahrungsanforderungen für Karteninhaberdaten Verfahren zur sicheren Löschung nicht mehr benötigter Daten Ein quartalsweises Verfahren, bei dem gespeicherte Karteninhaberdaten erkannt und sicher gelöscht werden, die den festgelegten Aufbewahrungszeitraum überschritten haben	Regelmäßige Scans nach regulierten Daten in Ihrer Kartendatenumgebung (CDE, von Card Data Environment). Richten Sie Datenaufbewahrungsrichtlinien ein – die gesammelten Daten müssen gelöscht werden, wenn Sie diese nicht mehr benötigen. Suchen und entfernen Sie Karteninhaberdaten, die über ihre zulässige Lebensdauer hinaus gespeichert werden.	Erkennung von PCI- und Karteninhaberdaten Verwenden Sie fest integrierte Erkennungsregeln, um die von Ihrer Organisation gespeicherten PCI- und Karteninhaberdaten ausfindig zu machen. Erstellen Sie ein Inventar dazu, welche Daten wo, von wem und wie lange gespeichert werden. Damit können Administratoren sicherstellen, dass sich nur benötigte Daten im Speicher befinden. ROT-Datenanalyse Identifizieren Sie alte, überholte oder nicht geänderte Dateien, damit keine Karteninhaberdaten über den beabsichtigten Aufbewahrungszeitraum hinaus gespeichert werden. Geplante Scans zur Datenrisikobewertung Scannen Sie regelmäßig nach Karteninhaberdaten, ermöglichen Sie inkrementelle Scans neuer und kürzlich geänderter Dateien und sorgen Sie dafür, dass jede Instanz der regulierten Daten erkannt und katalogisiert wird. Sie können auch Skripte einsetzen, um Dateien in Quarantäne zu verschieben oder zu löschen, die gegen Richtlinien zur Aufbewahrung vertraulicher Daten verstoßen.
Vorgabe 3.2 Speichern Sie keine vertraulichen Authentifizierungsdaten nach der Autorisierung. Vertrauliche Authentifizierungsdaten umfassen den Namen des Karteninhabers, die primäre Kontonummer (PAN, von Primary Account Number), den Kartenbestätigungscode, die persönliche Identifikationsnummer (PIN) und mehr. Kartenaussteller und Unternehmen, die Ausstellungsservices unterstützen, dürfen vertrauliche Authentifizierungsdaten speichern, wenn: Es eine geschäftliche Begründung gibt Und die Daten sicher gespeichert werden	Prüfen Sie Datenquellen und sorgen Sie dafür, dass vertrauliche Authentifizierungsdaten nicht nach der Autorisierung gespeichert werden.	PCI-Datenerkennung Implementieren Sie eine effektive Datenerkennung (sog. Discovery) mit einer Kombination aus Schlüsselwort- und Musterabgleich. Zusammengenommen helfen diese Ihnen dabei, nach Kartenverifizierungswerten (CVV, von Card Verification Values), PINs, PANs und anderen Authentifizierungsdaten zu suchen. Vertrauensbewertung Bestätigen Sie den Kontext möglicher Übereinstimmungen, um zu bestimmen, mit welcher Wahrscheinlichkeit es sich um einen wahr-positiven und nicht um einen falsch-positiven Treffer handelt. Reaktionsautomatisierung Automatisieren Sie Löschung und Quarantäne erkannter Kartendaten, oder begrenzen Sie deren Nutzung durch spezifische, mit Skripten ausgelöste Aktionen.
Vorgabe 3.5.2 Schränken Sie den Zugriff auf Kryptografie-Schlüssel auf die geringste Anzahl der notwendigen Verwahrer ein.	Prüfen Sie die mit den Schlüsseldateien verknüpften Berechtigungen, um sicherzustellen, dass der Zugriff sich nur auf die geringste Zahl notwendiger Verwahrer beschränkt.	Berichte zu NTFS- und Freigabeberechtigungen Mit detaillierten Berichten zu den NTFS- und Freigabeberechtigungen von Dateien und Ordnern wissen SIe immer stets, welche Nutzer dafür Berechtigungen haben.
Vorgabe 7.1 Beschränken Sie den Zugriff auf Systemkomponenten und Karteninhaberdaten nur auf jene Personen, die für ihre Arbeit darauf zugreifen müssen. 7.1.1 Definieren des nötigen Zugriffs für jede Rolle 7.1.2 Beschränken des Zugriffs auf berechtigte Nutzer-IDs 7.1.3 Zuweisen des Zugriffs abhängig von Job-Klassifizierung und Funktion der einzelnen Mitarbeiter. Hinweis: Systemkomponenten umfassen Netzwerkgeräte, Server, Rechner und Anwendungen.	Für Berechtigungen, die berechtigten und nicht berechtigten Nutzern zugewiesen werden, muss Folgendes gelten: Sie müssen für die Funktion der einzelnen Person notwendig sein Sie müssen sich auf die geringste Zahl der Berechtigungen beschränken, die zur Erfüllung ihrer Verantwortlichkeiten erforderlich sind.	Berichte zu NTFS-Berechtigungen Listen Sie Nutzer auf, die auf Dateien mit Karteninhaberdaten zugreifen können – zusammen mit Details dazu, welche Aktionen jeder Nutzer an diesen durchführen kann. Effektive Berechtigungsanalyse Sorgen Sie für die Vertraulichkeit der Karteninhaberdaten, indem Sie Analysen und Berichte zu den effektiven Berechtigungen verwenden. Bestätigen Sie, dass Nutzer keine zusätzlichen Berechtigungen haben, als für ihre jeweilige Rolle erforderlich ist. Erkennung von Dateien mit übermäßigen Zugriffsrechten Suchen Sie nach Dateien, auf die jeder Mitarbeiter zugreifen kann, oder die beim Zugriff den Nutzern die vollständige Kontrolle erlauben.
Vorgabe 8.1.3 Entziehen Sie allen gekündigten Nutzern sofort ihren Zugang.	Versichern Sie sich, dass aus Ihrer Organisation ausgeschiedene Nutzer sofort aus Dateizugriffslisten entfernt werden.	Analyse des Dateibesitzes Erkennen Sie Dateien, die verwaist sind oder sich im Besitz überholter, deaktivierter oder inaktiver Nutzer befinden. So lassen sich böswillige Dateiänderungen durch gekündigte Mitarbeiter verhindern.
Vorgabe 10.1 Implementieren Sie Auditverläufe, um alle Zugriffe auf Systemkomponenten den einzelnen Nutzern zuzuordnen.	Indem Sie Auditprotokolle erstellen, können Sie verdächtige Aktivitäten auf bestimmte Nutzer zurückverfolgen.	Detaillierter Auditverlauf Mit einem zentralisierten Audit-Zugriffsprotokoll verfolgen Sie kritische Dateizugriffe sowie die Nutzung von Web-Apps, USB-Speichermedien, Druckern und mehr. Ursachenanalyse Nutzen Sie feinkörnige Optionen, um Berichte zu filtern. Dadurch wird die Ursachenanalyse beschleunigt und Sie können den Umfang eines Datenlecks erkennen.
Vorgabe 10.2 Implementieren Sie automatisierte Auditverläufe für alle Systemkomponenten, um die folgenden Ereignisse wiederherstellen zu können: 10.2.1 Sämtliche Einzelzugriffe von Nutzern auf Karteninhaberdaten 10.2.2 Sämtliche Aktionen von Personen mit Root- oder Administratorberechtigungen	Auditieren Sie Nutzeraktivitäten in Ihrem CDE in Echtzeit. Verfolgen Sie Änderungen nach, die von Nutzern mit Administratorberechtigungen durchgeführt werden.	Dateiaktivitätsüberwachung Verfolgen Sie alle Ereignisse rund um Dateien und Ordner – wie „lesen“, „erstellen“, „ändern“, „überschreiben“, „verschieben“, „umbenennen“ und „löschen“ sowie Berechtigungsänderungen – die in Ihrer PCI- und Karteninhaberdaten-Speicherumgebung geschehen. Überwachung berechtigter Nutzer Listen Sie Nutzer mit berechtigtem Zugriff auf vertrauliche Dateien auf, und passen Sie Berichte an, um alle daran vorgenommen Dateiänderungen zu überwachen.
Vorgabe 10.3 Verzeichnen Sie mindestens die folgenden Audit-Verlaufseinträge zu jedem Ereignis: 10.3.1 Nutzeridentifizierung 10.3.2 Typ des Ereignisses 10.3.3 Datum und Uhrzeit 10.3.4 Erfolg oder Fehlschlag 10.3.5 Ursprung des Ereignisses 10.3.6 Identität oder Name der betroffenen Daten	Sammeln SIe detaillierte Protokolle zu Nutzeraktivitäten in Ihrer CDE.	Änderungsauditing in Echtzeit Rufen Sie detaillierte Informationen zu jedem einzelnen Dateizugriff ab, mit Details wer die Änderung versucht hat, in welcher Datei, wo, von wann aus, und ob die Änderung erfolgreich war.
Vorgabe 10.5 Sichern Sie Auditverläufe, damit sie nicht geändert werden können. 10.5.5 Mit Software zur Überwachung der Datei-Integrität und Änderungserkennung in Protokollen stellen Sie sicher, dass bestehende Protokolldaten nicht geändert werden können, ohne eine Alarmierung auszulösen. (Wenn neue Daten hinzugefügt werden, sollte dies keine Alarmierung nach sich ziehen.)	Implementieren Sie Systeme zur Überwachung der Datei-Integrität und zur Erkennung von Änderungen, um nach modifizierten kritischen Dateien Ausschau zu halten. Bei solchen Änderungen lassen Sie dann Benachrichtigungen versenden.	Überwachung der PCI-Datei-Integrität Auditieren Sie alle erfolgreichen und fehlgeschlagenen Zugriffsversuche auf Dateien in Echtzeit. Pflegen Sie einen detaillierten Auditverlauf für die spätere Analyse. Echtzeitalarmierungen Lösen Sie sofortige Alarmierungen aus, um Stakeholder über erkannte verdächtige Dateiänderungen zu benachrichtigen. Automatisierte Reaktion auf Sicherheitsvorfälle Führen Sie automatisierte Reaktionen aus, um den möglichen Schaden bei einem Sicherheitsvorfall zu minimieren.
Vorgabe 10.6 Prüfen Sie Protokolle und Sicherheitsereignisse für alle Systemkomponenten, um Anomalien und verdächtige Aktivitäten zu erkennen.	Durch regelmäßige Überprüfung der Protokolle lassen sich unbefugte Zugriffe in der Karteninhaberdaten-Umgebung identifizieren und proaktiv bekämpfen. Außerdem können Sie potenzielle Datenlecks so schneller erkennen.	Geplante Zustellung von PCI-Compliance-Berichten Stellen Sie diese Berichte in den Formaten PDF; HTML, CSV oder XLSX an die Postfächer der Stakeholder zu.
Vorgabe 10.7 Bewahren Sie den Auditverlauf mindestens ein Jahr lang auf, und sorgen Sie dafür, dass mindestens drei Monate des Verlaufs sofort zur Analyse zur Verfügung stehen (beispielsweise online, archiviert oder aus Sicherungen wiederherstellbar).	Häufig dauert es etwas, bis eine Kompromittierung festgestellt wird. Wenn Sie Protokolle mindestens ein Jahr aufbewahren, stehen bei Untersuchungen genügend Protokolle im Verlauf bereit, um Dauer und Auswirkungen potenzieller Datenlecks bestimmen zu können.	Langzeit-Aufbewahrung von Auditprotokollen Bewahren Sie Auditdaten für einen langen Zeitraum auf. Außerdem können Sie ältere Protokolle archivieren und zu einem späteren Zeitpunkt hochladen, um den Dateizugriff zu analysieren.
Vorgabe 11.5 Setzen Sie einen Mechanismus zur Änderungserkennung ein (z. B. Tools zur Überwachung der Datei-Integrität), um Mitarbeiter über nicht autorisierte Modifizierungen (also Änderungen, Hinzufügungen und Löschungen) kritischer Systemdateien, Konfigurationsdateien oder Inhaltsdateien zu informieren. Konfigurieren Sie die Software so, dass Vergleiche kritischer Dateien mindestens einmal wöchentlich durchgeführt werden.	Überwachen Sie Änderungen an ausführbaren Dateien von Systemen und Anwendungen, Konfigurations- und Parameterdateien und mehr. Lösen Sie Alarmierungen aus, um sich bei unerwarteten Änderungen benachrichtigen zu lassen.	FIM Auditieren Sie Änderungen an kritischen Binärdateien von Anwendungen und Betriebssystemen, Konfigurationsdateien, Anwendungsdateien, Protokolldateien und mehr. Sofortalarmierungen Benachrichtigen SIe Administratoren sofort, wenn ungewöhnliche Dateiänderungen erkannt werden. Spezifische Vorfallsreaktionen Automatisieren Sie Batch-Dateien, um Rechner herunterzufahren, Sitzungen von Endnutzern zu beenden und mehr.
Vorgabe 12.3.10 Wenn Mitarbeiter per Remote-Zugriff auf Karteninhaberdaten zugreifen, verbieten Sie das Kopieren, Verschieben und Speichern dieser Daten auf lokalen Festplatten und elektronischen Wechseldatenträgern – sofern dies nicht explizit für eine festgelegte Geschäftsanforderung genehmigt wurde.	Verhindern Sie, dass Nutzer die Karteninhaberdaten auf ihre persönlichen Rechner oder andere Medien speichern oder kopieren, ohne ausdrücklich dazu berechtigt worden zu sein.	Datei-Kopierschutz Überwachen Sie Dateikopieraktionen in Echtzeit, um unerwünschte Übertragungen kritischer Daten über lokale Freigaben und Netzwerkfreigaben zu verhindern. USB-Schreibschutz Fügen Sie verdächtige USB-Geräte zu einer Sperrliste hinzu und verhindern Sie, dass Nutzer vertrauliche Daten aus dem Unternehmen nach draußen schleusen.
Vorgabe A3.2.5 Implementieren Sie eine Methode zur Datenerkennung, um den Umfang von PCI-DSS zu bestätigen. So können Sie alle Quellen und Speicherorte von Klartext-PAN mindestens einmal im Jahr überprüfen, und bei bedeutsamen Änderungen an Karteninhaber-Umgebung und den zugehörigen Prozessen. A3.2.5.1 Methoden zur Daten-Discovery müssen Klartext-PAN aller Typen von Systemkomponenten und gebräuchlichen Dateiformate erkennen können. A3.2.5.2 Implementieren Sie Verfahren zur Reaktion, die bei Erkennung von Klartext-PAN außerhalb von CDE initiiert werden und folgendes umfassen sollen: Verfahren, die bestimmen, was mit Klartext-PAN geschehen soll, die außerhalb der CDE erkannt werden – darunter Abruf, sichere Löschung und/oder Migration in die aktuell definierte CDE Verfahren, die bestimmen, wie die Daten aus der CDE gelangt sind Verfahren zum Identifizieren der Datenquellen	Erstellen Sie regelmäßige Berichte zum Speicherort der Karteninhaberdaten in der Dateispeicherumgebung. Identifizieren Sie vertrauliche Daten, die sich außerhalb der definierten CDE befinden. Führen Sie Gegenmaßnahmen durch, wenn vertrauliche Daten außerhalb der CDE erkannt werden.	Planungsbasierte Erkennung von PCI-Daten Identifizieren und dokumentieren Sie PCI-Daten (einschließlich Klartext-PAN) im gesamten Speicher des Unternehmens. Multiplattform-Einblicke Erkennen Sie vertraulich Karteninhaber- und PCI-Daten in Windows-Dateiservern, Failover-Clustern und MSSQL-Datenbanken. Automatisierte Gegenmaßnahmen Wenn vertrauliche Daten außerhalb des CDE erkannt werden, können Sie diese mit DataSecurity Plus automatisch löschen, verschieben oder sonstwie verwalten. Besitz- und Zugriffsanalyse Wissen Sie stets, wem vertrauliche Daten gehören, und verfolgen Sie alle Nutzeraktionen im zu analysierenden Zeitrahmen nach. So lässt sich nachvollziehen, wie die Daten nach außerhalb der CDE gelangt sind.
Vorgabe A3.2.6 Implementieren Sie Mechanismen, um zu erkennen und zu verhindern, dass PAN die CDE über unbefugte Kanäle, Methoden oder Verfahren verlassen. Dazu gehört die Erstellung von Auditprotokollen und Alarmierungen. A3.2.6.1 Implementieren Sie Verfahren als Reaktion darauf, wenn Versuche erkannt werden, Klartext-PAN über unbefugte Kanäle, Methoden oder Verfahren aus der CDA zu entfernen.	Außerdem sollten Sie DLP-Lösungen (zur Verhinderung von Datenverlust) implementieren, um Datenlecks anhand von E-Mails, Wechseldatenträgern und Druckern zu verhindern.	Vereinigte Plattform zur Datenverlustprävention Klassifizieren Sie vertrauliche Daten und verhindern Sie Datenlecks anhand externer Speichergeräte, Outlook und Drucker. Kontrolle der Nutzung von Peripheriegeräten Beschränken Sie die Nutzung von USB-Geräten, WLAN-Zugriffspunkten und CD-/DVD-Laufwerken mit zentralen Richtlinien zur Gerätesteuerung, um sich vor dem Entwenden von Daten zu schützen. Verhindern von Leaks anhand von USB-Geräten Blockieren Sie USB-Geräte als Reaktion auf ungewöhnliche Datenübertragungen und Versuche, vertrauliche Daten herauszuschleusen.
Vorgabe A3.4.1 Prüfen Sie Nutzerkonten und Zugriffsberechtigungen für Systemkomponenten im Geltungsbereich mindestens einmal alle 6 Monate. So versichern Sie sich, dass Nutzerkonten und Zugriff stets den jeweiligen Jobfunktionen angemessen sind. PCI DSS-Referenz: Vorgabe 7	Prüfen Sie Nutzer-Zugriffsberechtigungen mindestens alle sechs Monate, um zu bestätigen, dass sie den Jobfunktionen angemessen sind.	Analyse von Sicherheitsberechtigungen: Verfolgen Sie Berechtigungsänderungen nach, listen Sie geltende Berechtigungen auf, identifizieren Sie Dateien, auf die alle Mitarbeiter zugreifen können, suchen Sie nach Nutzern mit vollständiger Kontrolle, und vieles mehr. So sorgen Sie für die Einhaltung des Prinzips der geringsten Berechtigungen (PoLP). Diese Berichte lassen sich dann nach festgelegtem Zeitplan per E-Mail an verschiedene Stakeholder senden.
Vorgabe A3.5.1 Implementieren Sie eine Methode, um Angriffsmuster und unerwünschtes Verhalten über mehrere Systeme hinweg rechtzeitig zu erkennen. Beispielsweise können Sie koordinierte manuelle Prüfungen und/oder zentral verwaltete bzw. automatisierte Tools zur Protokoll-Korrelation einsetzen, wobei mindestens das Folgendes abgedeckt sein sollte: Identifizieren von Anomalien und verdächtigen Aktivitäten, sobald diese auftreten Ausgabe rechtzeitiger Alarmierungen, um die verantwortlichen Mitarbeiter über erkannte verdächtige Aktivitäten und Anomalien zu benachrichtigen Reaktion auf Alarmierungen gemäß der dokumentierten Verfahren PCI DSS-Referenz: Vorgaben 10 und 12	Richten Sie eine Lösung ein, die unerwünschte Ereignisse (wie Eindringlinge oder Änderungen an kritischen Dateien) erkennen und die Administratoren sofort benachrichtigen kann.	Anomalieerkennung Identifizieren Sie ungewöhnliche Aktivitäten, wie Dateizugriffe außerhalb der Geschäftszeiten, eine übermäßige Anzahl fehlgeschlagener Zugriffsversuche und mehr. Schnelle Alarmierungen Richten Sie Alarmierungen für unerwünschte Änderungen kritischer Dateien, erkannte vertrauliche Daten außerhalb der CDE und mehr ein. Bedrohungserkennung und -reaktion Erkennen Sie eindringende Ransomware und führen Sie Skripte aus, um infizierte Geräte in Quarantäne zu versetzen und so die Ausbreitung der Malware zu verhindern.

Welche PCI-Anforderungen bestehen

Was Sie tun müssen

Wie DataSecurity Plus Sie dabei unterstützt

Vorgabe 2.2.5

Entfernen Sie alle unnötigen Funktionen, darunter Skripte, Treiber, Features, Subsysteme, Dateisysteme und überflüssige Webserver.

Identifizieren Sie alle Systemkomponenten (einschließlich Skripten und Dateisystemen), und entfernen Sie die nicht verwendeten.

Suche nach nicht verwendeten Dateien:

Empfangen Sie Berichte zu Dateien, Skripten, Batch-Dateien und mehr, die für einen längeren Zeitraum nicht abgerufen/geändert wurden. Diese Berichte vereinfachen die Verwaltung redundanter, veralteter oder trivialer Dateien (ROT, von Redundant, Outdated, Trivial), und reduzieren die Anzahl anfälliger Dateien mit veralteten Berechtigungen oder Daten.

Vorgabe 3.1

Verwahren Sie nur minimale Daten zum Karteninhaber, indem Sie Richtlinien, Verfahren und Prozesse für Datenaufbewahrung und -löschung implementieren. Diese müssen zumindest das Folgende für alle Karteninhaberdaten umfassen:

Begrenzung der Menge und Aufbewahrungszeit gespeicherter Daten auf das absolut notwendige, um Gesetze, Vorgaben und/oder Geschäftsanforderungen zu erfüllen
Spezifische Aufbewahrungsanforderungen für Karteninhaberdaten
Verfahren zur sicheren Löschung nicht mehr benötigter Daten
Ein quartalsweises Verfahren, bei dem gespeicherte Karteninhaberdaten erkannt und sicher gelöscht werden, die den festgelegten Aufbewahrungszeitraum überschritten haben

Regelmäßige Scans nach regulierten Daten in Ihrer Kartendatenumgebung (CDE, von Card Data Environment).
Richten Sie Datenaufbewahrungsrichtlinien ein – die gesammelten Daten müssen gelöscht werden, wenn Sie diese nicht mehr benötigen.
Suchen und entfernen Sie Karteninhaberdaten, die über ihre zulässige Lebensdauer hinaus gespeichert werden.

Erkennung von PCI- und Karteninhaberdaten

Verwenden Sie fest integrierte Erkennungsregeln, um die von Ihrer Organisation gespeicherten PCI- und Karteninhaberdaten ausfindig zu machen. Erstellen Sie ein Inventar dazu, welche Daten wo, von wem und wie lange gespeichert werden. Damit können Administratoren sicherstellen, dass sich nur benötigte Daten im Speicher befinden.

ROT-Datenanalyse

Identifizieren Sie alte, überholte oder nicht geänderte Dateien, damit keine Karteninhaberdaten über den beabsichtigten Aufbewahrungszeitraum hinaus gespeichert werden.

Geplante Scans zur Datenrisikobewertung

Scannen Sie regelmäßig nach Karteninhaberdaten, ermöglichen Sie inkrementelle Scans neuer und kürzlich geänderter Dateien und sorgen Sie dafür, dass jede Instanz der regulierten Daten erkannt und katalogisiert wird. Sie können auch Skripte einsetzen, um Dateien in Quarantäne zu verschieben oder zu löschen, die gegen Richtlinien zur Aufbewahrung vertraulicher Daten verstoßen.

Vorgabe 3.2

Speichern Sie keine vertraulichen Authentifizierungsdaten nach der Autorisierung.

Vertrauliche Authentifizierungsdaten umfassen den Namen des Karteninhabers, die primäre Kontonummer (PAN, von Primary Account Number), den Kartenbestätigungscode, die persönliche Identifikationsnummer (PIN) und mehr.

Kartenaussteller und Unternehmen, die Ausstellungsservices unterstützen, dürfen vertrauliche Authentifizierungsdaten speichern, wenn:

Es eine geschäftliche Begründung gibt
Und die Daten sicher gespeichert werden

Prüfen Sie Datenquellen und sorgen Sie dafür, dass vertrauliche Authentifizierungsdaten nicht nach der Autorisierung gespeichert werden.

PCI-Datenerkennung

Implementieren Sie eine effektive Datenerkennung (sog. Discovery) mit einer Kombination aus Schlüsselwort- und Musterabgleich. Zusammengenommen helfen diese Ihnen dabei, nach Kartenverifizierungswerten (CVV, von Card Verification Values), PINs, PANs und anderen Authentifizierungsdaten zu suchen.

Vertrauensbewertung

Bestätigen Sie den Kontext möglicher Übereinstimmungen, um zu bestimmen, mit welcher Wahrscheinlichkeit es sich um einen wahr-positiven und nicht um einen falsch-positiven Treffer handelt.

Reaktionsautomatisierung

Automatisieren Sie Löschung und Quarantäne erkannter Kartendaten, oder begrenzen Sie deren Nutzung durch spezifische, mit Skripten ausgelöste Aktionen.

Vorgabe 3.5.2

Schränken Sie den Zugriff auf Kryptografie-Schlüssel auf die geringste Anzahl der notwendigen Verwahrer ein.

Prüfen Sie die mit den Schlüsseldateien verknüpften Berechtigungen, um sicherzustellen, dass der Zugriff sich nur auf die geringste Zahl notwendiger Verwahrer beschränkt.

Berichte zu NTFS- und Freigabeberechtigungen

Mit detaillierten Berichten zu den NTFS- und Freigabeberechtigungen von Dateien und Ordnern wissen SIe immer stets, welche Nutzer dafür Berechtigungen haben.

Vorgabe 7.1

Beschränken Sie den Zugriff auf Systemkomponenten und Karteninhaberdaten nur auf jene Personen, die für ihre Arbeit darauf zugreifen müssen.

7.1.1 Definieren des nötigen Zugriffs für jede Rolle

7.1.2 Beschränken des Zugriffs auf berechtigte Nutzer-IDs

7.1.3 Zuweisen des Zugriffs abhängig von Job-Klassifizierung und Funktion der einzelnen Mitarbeiter.

Hinweis: Systemkomponenten umfassen Netzwerkgeräte, Server, Rechner und Anwendungen.

Für Berechtigungen, die berechtigten und nicht berechtigten Nutzern zugewiesen werden, muss Folgendes gelten:

Sie müssen für die Funktion der einzelnen Person notwendig sein
Sie müssen sich auf die geringste Zahl der Berechtigungen beschränken, die zur Erfüllung ihrer Verantwortlichkeiten erforderlich sind.

Berichte zu NTFS-Berechtigungen

Listen Sie Nutzer auf, die auf Dateien mit Karteninhaberdaten zugreifen können – zusammen mit Details dazu, welche Aktionen jeder Nutzer an diesen durchführen kann.

Effektive Berechtigungsanalyse

Sorgen Sie für die Vertraulichkeit der Karteninhaberdaten, indem Sie Analysen und Berichte zu den effektiven Berechtigungen verwenden. Bestätigen Sie, dass Nutzer keine zusätzlichen Berechtigungen haben, als für ihre jeweilige Rolle erforderlich ist.

Erkennung von Dateien mit übermäßigen Zugriffsrechten

Suchen Sie nach Dateien, auf die jeder Mitarbeiter zugreifen kann, oder die beim Zugriff den Nutzern die vollständige Kontrolle erlauben.

Vorgabe 8.1.3

Entziehen Sie allen gekündigten Nutzern sofort ihren Zugang.

Versichern Sie sich, dass aus Ihrer Organisation ausgeschiedene Nutzer sofort aus Dateizugriffslisten entfernt werden.

Analyse des Dateibesitzes

Erkennen Sie Dateien, die verwaist sind oder sich im Besitz überholter, deaktivierter oder inaktiver Nutzer befinden. So lassen sich böswillige Dateiänderungen durch gekündigte Mitarbeiter verhindern.

Vorgabe 10.1

Implementieren Sie Auditverläufe, um alle Zugriffe auf Systemkomponenten den einzelnen Nutzern zuzuordnen.

Indem Sie Auditprotokolle erstellen, können Sie verdächtige Aktivitäten auf bestimmte Nutzer zurückverfolgen.

Detaillierter Auditverlauf

Mit einem zentralisierten Audit-Zugriffsprotokoll verfolgen Sie kritische Dateizugriffe sowie die Nutzung von Web-Apps, USB-Speichermedien, Druckern und mehr.

Ursachenanalyse

Nutzen Sie feinkörnige Optionen, um Berichte zu filtern. Dadurch wird die Ursachenanalyse beschleunigt und Sie können den Umfang eines Datenlecks erkennen.

Vorgabe 10.2

Implementieren Sie automatisierte Auditverläufe für alle Systemkomponenten, um die folgenden Ereignisse wiederherstellen zu können:

10.2.1 Sämtliche Einzelzugriffe von Nutzern auf Karteninhaberdaten

10.2.2 Sämtliche Aktionen von Personen mit Root- oder Administratorberechtigungen

Auditieren Sie Nutzeraktivitäten in Ihrem CDE in Echtzeit.
Verfolgen Sie Änderungen nach, die von Nutzern mit Administratorberechtigungen durchgeführt werden.

Dateiaktivitätsüberwachung

Verfolgen Sie alle Ereignisse rund um Dateien und Ordner – wie „lesen“, „erstellen“, „ändern“, „überschreiben“, „verschieben“, „umbenennen“ und „löschen“ sowie Berechtigungsänderungen – die in Ihrer PCI- und Karteninhaberdaten-Speicherumgebung geschehen.

Überwachung berechtigter Nutzer

Listen Sie Nutzer mit berechtigtem Zugriff auf vertrauliche Dateien auf, und passen Sie Berichte an, um alle daran vorgenommen Dateiänderungen zu überwachen.

Vorgabe 10.3

Verzeichnen Sie mindestens die folgenden Audit-Verlaufseinträge zu jedem Ereignis:

10.3.1 Nutzeridentifizierung

10.3.2 Typ des Ereignisses

10.3.3 Datum und Uhrzeit

10.3.4 Erfolg oder Fehlschlag

10.3.5 Ursprung des Ereignisses

10.3.6 Identität oder Name der betroffenen Daten

Sammeln SIe detaillierte Protokolle zu Nutzeraktivitäten in Ihrer CDE.

Änderungsauditing in Echtzeit

Rufen Sie detaillierte Informationen zu jedem einzelnen Dateizugriff ab, mit Details wer die Änderung versucht hat, in welcher Datei, wo, von wann aus, und ob die Änderung erfolgreich war.

Vorgabe 10.5

Sichern Sie Auditverläufe, damit sie nicht geändert werden können.

10.5.5 Mit Software zur Überwachung der Datei-Integrität und Änderungserkennung in Protokollen stellen Sie sicher, dass bestehende Protokolldaten nicht geändert werden können, ohne eine Alarmierung auszulösen. (Wenn neue Daten hinzugefügt werden, sollte dies keine Alarmierung nach sich ziehen.)

Implementieren Sie Systeme zur Überwachung der Datei-Integrität und zur Erkennung von Änderungen, um nach modifizierten kritischen Dateien Ausschau zu halten. Bei solchen Änderungen lassen Sie dann Benachrichtigungen versenden.

Überwachung der PCI-Datei-Integrität

Auditieren Sie alle erfolgreichen und fehlgeschlagenen Zugriffsversuche auf Dateien in Echtzeit. Pflegen Sie einen detaillierten Auditverlauf für die spätere Analyse.

Echtzeitalarmierungen

Lösen Sie sofortige Alarmierungen aus, um Stakeholder über erkannte verdächtige Dateiänderungen zu benachrichtigen.

Automatisierte Reaktion auf Sicherheitsvorfälle

Führen Sie automatisierte Reaktionen aus, um den möglichen Schaden bei einem Sicherheitsvorfall zu minimieren.

Vorgabe 10.6

Prüfen Sie Protokolle und Sicherheitsereignisse für alle Systemkomponenten, um Anomalien und verdächtige Aktivitäten zu erkennen.

Durch regelmäßige Überprüfung der Protokolle lassen sich unbefugte Zugriffe in der Karteninhaberdaten-Umgebung identifizieren und proaktiv bekämpfen. Außerdem können Sie potenzielle Datenlecks so schneller erkennen.

Geplante Zustellung von PCI-Compliance-Berichten

Stellen Sie diese Berichte in den Formaten PDF; HTML, CSV oder XLSX an die Postfächer der Stakeholder zu.

Vorgabe 10.7

Bewahren Sie den Auditverlauf mindestens ein Jahr lang auf, und sorgen Sie dafür, dass mindestens drei Monate des Verlaufs sofort zur Analyse zur Verfügung stehen (beispielsweise online, archiviert oder aus Sicherungen wiederherstellbar).

Häufig dauert es etwas, bis eine Kompromittierung festgestellt wird. Wenn Sie Protokolle mindestens ein Jahr aufbewahren, stehen bei Untersuchungen genügend Protokolle im Verlauf bereit, um Dauer und Auswirkungen potenzieller Datenlecks bestimmen zu können.

Langzeit-Aufbewahrung von Auditprotokollen

Bewahren Sie Auditdaten für einen langen Zeitraum auf. Außerdem können Sie ältere Protokolle archivieren und zu einem späteren Zeitpunkt hochladen, um den Dateizugriff zu analysieren.

Vorgabe 11.5

Setzen Sie einen Mechanismus zur Änderungserkennung ein (z. B. Tools zur Überwachung der Datei-Integrität), um Mitarbeiter über nicht autorisierte Modifizierungen (also Änderungen, Hinzufügungen und Löschungen) kritischer Systemdateien, Konfigurationsdateien oder Inhaltsdateien zu informieren. Konfigurieren Sie die Software so, dass Vergleiche kritischer Dateien mindestens einmal wöchentlich durchgeführt werden.

Überwachen Sie Änderungen an ausführbaren Dateien von Systemen und Anwendungen, Konfigurations- und Parameterdateien und mehr.
Lösen Sie Alarmierungen aus, um sich bei unerwarteten Änderungen benachrichtigen zu lassen.

FIM

Auditieren Sie Änderungen an kritischen Binärdateien von Anwendungen und Betriebssystemen, Konfigurationsdateien, Anwendungsdateien, Protokolldateien und mehr.

Sofortalarmierungen

Benachrichtigen SIe Administratoren sofort, wenn ungewöhnliche Dateiänderungen erkannt werden.

Spezifische Vorfallsreaktionen

Automatisieren Sie Batch-Dateien, um Rechner herunterzufahren, Sitzungen von Endnutzern zu beenden und mehr.

Vorgabe 12.3.10

Wenn Mitarbeiter per Remote-Zugriff auf Karteninhaberdaten zugreifen, verbieten Sie das Kopieren, Verschieben und Speichern dieser Daten auf lokalen Festplatten und elektronischen Wechseldatenträgern – sofern dies nicht explizit für eine festgelegte Geschäftsanforderung genehmigt wurde.

Verhindern Sie, dass Nutzer die Karteninhaberdaten auf ihre persönlichen Rechner oder andere Medien speichern oder kopieren, ohne ausdrücklich dazu berechtigt worden zu sein.

Datei-Kopierschutz

Überwachen Sie Dateikopieraktionen in Echtzeit, um unerwünschte Übertragungen kritischer Daten über lokale Freigaben und Netzwerkfreigaben zu verhindern.

USB-Schreibschutz

Fügen Sie verdächtige USB-Geräte zu einer Sperrliste hinzu und verhindern Sie, dass Nutzer vertrauliche Daten aus dem Unternehmen nach draußen schleusen.

Vorgabe A3.2.5

Implementieren Sie eine Methode zur Datenerkennung, um den Umfang von PCI-DSS zu bestätigen. So können Sie alle Quellen und Speicherorte von Klartext-PAN mindestens einmal im Jahr überprüfen, und bei bedeutsamen Änderungen an Karteninhaber-Umgebung und den zugehörigen Prozessen.

A3.2.5.1

Methoden zur Daten-Discovery müssen Klartext-PAN aller Typen von Systemkomponenten und gebräuchlichen Dateiformate erkennen können.

A3.2.5.2

Implementieren Sie Verfahren zur Reaktion, die bei Erkennung von Klartext-PAN außerhalb von CDE initiiert werden und folgendes umfassen sollen:

Verfahren, die bestimmen, was mit Klartext-PAN geschehen soll, die außerhalb der CDE erkannt werden – darunter Abruf, sichere Löschung und/oder Migration in die aktuell definierte CDE
Verfahren, die bestimmen, wie die Daten aus der CDE gelangt sind
Verfahren zum Identifizieren der Datenquellen

Erstellen Sie regelmäßige Berichte zum Speicherort der Karteninhaberdaten in der Dateispeicherumgebung.
Identifizieren Sie vertrauliche Daten, die sich außerhalb der definierten CDE befinden.
Führen Sie Gegenmaßnahmen durch, wenn vertrauliche Daten außerhalb der CDE erkannt werden.

Planungsbasierte Erkennung von PCI-Daten

Identifizieren und dokumentieren Sie PCI-Daten (einschließlich Klartext-PAN) im gesamten Speicher des Unternehmens.

Multiplattform-Einblicke

Erkennen Sie vertraulich Karteninhaber- und PCI-Daten in Windows-Dateiservern, Failover-Clustern und MSSQL-Datenbanken.

Automatisierte Gegenmaßnahmen

Wenn vertrauliche Daten außerhalb des CDE erkannt werden, können Sie diese mit DataSecurity Plus automatisch löschen, verschieben oder sonstwie verwalten.

Besitz- und Zugriffsanalyse

Wissen Sie stets, wem vertrauliche Daten gehören, und verfolgen Sie alle Nutzeraktionen im zu analysierenden Zeitrahmen nach. So lässt sich nachvollziehen, wie die Daten nach außerhalb der CDE gelangt sind.

Vorgabe A3.2.6

Implementieren Sie Mechanismen, um zu erkennen und zu verhindern, dass PAN die CDE über unbefugte Kanäle, Methoden oder Verfahren verlassen. Dazu gehört die Erstellung von Auditprotokollen und Alarmierungen.

A3.2.6.1

Implementieren Sie Verfahren als Reaktion darauf, wenn Versuche erkannt werden, Klartext-PAN über unbefugte Kanäle, Methoden oder Verfahren aus der CDA zu entfernen.

Außerdem sollten Sie DLP-Lösungen (zur Verhinderung von Datenverlust) implementieren, um Datenlecks anhand von E-Mails, Wechseldatenträgern und Druckern zu verhindern.

Vereinigte Plattform zur Datenverlustprävention

Klassifizieren Sie vertrauliche Daten und verhindern Sie Datenlecks anhand externer Speichergeräte, Outlook und Drucker.

Kontrolle der Nutzung von Peripheriegeräten

Beschränken Sie die Nutzung von USB-Geräten, WLAN-Zugriffspunkten und CD-/DVD-Laufwerken mit zentralen Richtlinien zur Gerätesteuerung, um sich vor dem Entwenden von Daten zu schützen.

Verhindern von Leaks anhand von USB-Geräten

Blockieren Sie USB-Geräte als Reaktion auf ungewöhnliche Datenübertragungen und Versuche, vertrauliche Daten herauszuschleusen.

Vorgabe A3.4.1

Prüfen Sie Nutzerkonten und Zugriffsberechtigungen für Systemkomponenten im Geltungsbereich mindestens einmal alle 6 Monate. So versichern Sie sich, dass Nutzerkonten und Zugriff stets den jeweiligen Jobfunktionen angemessen sind.

PCI DSS-Referenz: Vorgabe 7

Prüfen Sie Nutzer-Zugriffsberechtigungen mindestens alle sechs Monate, um zu bestätigen, dass sie den Jobfunktionen angemessen sind.

Analyse von Sicherheitsberechtigungen:

Verfolgen Sie Berechtigungsänderungen nach, listen Sie geltende Berechtigungen auf, identifizieren Sie Dateien, auf die alle Mitarbeiter zugreifen können, suchen Sie nach Nutzern mit vollständiger Kontrolle, und vieles mehr. So sorgen Sie für die Einhaltung des Prinzips der geringsten Berechtigungen (PoLP).

Diese Berichte lassen sich dann nach festgelegtem Zeitplan per E-Mail an verschiedene Stakeholder senden.

Vorgabe A3.5.1

Implementieren Sie eine Methode, um Angriffsmuster und unerwünschtes Verhalten über mehrere Systeme hinweg rechtzeitig zu erkennen. Beispielsweise können Sie koordinierte manuelle Prüfungen und/oder zentral verwaltete bzw. automatisierte Tools zur Protokoll-Korrelation einsetzen, wobei mindestens das Folgendes abgedeckt sein sollte:

Identifizieren von Anomalien und verdächtigen Aktivitäten, sobald diese auftreten
Ausgabe rechtzeitiger Alarmierungen, um die verantwortlichen Mitarbeiter über erkannte verdächtige Aktivitäten und Anomalien zu benachrichtigen
Reaktion auf Alarmierungen gemäß der dokumentierten Verfahren

PCI DSS-Referenz: Vorgaben 10 und 12

Richten Sie eine Lösung ein, die unerwünschte Ereignisse (wie Eindringlinge oder Änderungen an kritischen Dateien) erkennen und die Administratoren sofort benachrichtigen kann.

Anomalieerkennung

Identifizieren Sie ungewöhnliche Aktivitäten, wie Dateizugriffe außerhalb der Geschäftszeiten, eine übermäßige Anzahl fehlgeschlagener Zugriffsversuche und mehr.

Schnelle Alarmierungen

Richten Sie Alarmierungen für unerwünschte Änderungen kritischer Dateien, erkannte vertrauliche Daten außerhalb der CDE und mehr ein.

Bedrohungserkennung und -reaktion

Erkennen Sie eindringende Ransomware und führen Sie Skripte aus, um infizierte Geräte in Quarantäne zu versetzen und so die Ausbreitung der Malware zu verhindern.

Wichtige Information: Vollständige POPIA-Compliance setzt vielfältige Lösungen, Prozesse, Personalressourcen und Technologien voraus. Diese Materialien werden zu rein informativen Zwecken zur Verfügung gestellt und dürfen nicht als rechtlich verbindliche Beratung zur Compliance mit dem POPI-Act betrachtet werden. ManageEngine übernimmt keinerlei Gewährleistung, ob ausdrücklich, implizit oder statutarisch, hinsichtlich der Angaben in diesen Materialien.

Hinweis: Die obigen Inhalte gelten nur für PCI DSS Version 3.2.1. Einige Anforderungen spiegeln eventuell nicht die neueste Version PCI DSS 4.0 wider. Wir sind dabei, diese Inhalte zu überarbeiten, und werden sie bald aktualisieren.

Sorgen Sie für Datensicherheit und Compliance

DataSecurity Plus hilft Ihnen, die Anforderungen zahlreicher Compliance-Vorschriften einzuhalten,
indem es Daten im Speicher sowie bei der Verwendung und Übertragung schützt.

Sie sind auf der Suche nach einer vereinheitlichten SIEM-Lösung, die außerdem über integrated DLP-Funktionen verfügt? Probieren Sie Log360 gleich aus!

Kostenlose 30-Tage-Testversion

Zur PCI-DSS-Compliance mit DataSecurity Plus