:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1c/1f/1c1f759ae2c7bb664ef18dc1f97a71b6/0115595517.jpeg "Mit drei MDR-Lösungen will Secuinfra den Service auch für KMU erschwinglich machen. (Bild: Philip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/46/c446ebd001ec134deacbecbc6c51fe45/0115211957.jpeg "Die Versorgungssicherheit von Haushalten und der Wirtschaft ist ein hohes Gut, welches es zu schützen gilt. Die aktuelle Bedrohungslage durch Cyberangriffe erschwert dieses Vorhaben jedoch. (Bild: OSORIOartist - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ff/15/ff15bff08f3786c0748546eeaa5f39af/0115423531.jpeg ""Alles was Sie zu Data Security Posture Management wissen sollten", ein Interview von Oliver Schonschek, Insider Research, mit Sebastian Mehle von Varonis. (Bild: Vogel IT-Medien / Varonis / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Definition PCI DSS | Payment Card Industry Data Security Standard Was ist PCI DSS?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
Der Payment Card Industry Data Security Standard (kurz PCI DSS) ist ein Sicherheitsstandard von Kreditkartenorganisationen. Er sorgt für den Schutz der Kreditkarten- und Zahlungsdaten. An der Abwicklung von Kreditkartentransaktionen beteiligte Unternehmen und Dienstleister sind an das Regelwerk des PCI DSS gebunden. Konkret müssen für die Konformität zwölf Anforderungen erfüllt werden. Die Prüfung der Einhaltung der Regeln ist abhängig vom Transaktionsvolumen.
PCI DSS ist das Akronym für Payment Card Industry Data Security Standard. Es handelt sich um einen Sicherheitsstandard für den Schutz von Kreditkartendaten und die Verhinderung von Kreditkartenbetrug. Initiiert wurde der Standard von den fünf führenden Kreditkartenunternehmen American Express, Mastercard, Visa, JCB und Discover Financial Services. Konkret basiert er auf dem Account-Information-Security-Programm von Visa, dem Site-Data-Protection-Programm von Mastercard, der Data-Security-Operating-Richtlinie von American Express, dem Data-Security-Programm von JCB und auf Discover Information Security and Compliance.
Die erste Version des PCI DSS erschien im Jahr 2004. Der Standard wurde über die letzten Jahre mehrfach überarbeitet und aktualisiert. Die neuste Version 4.0 stammt aus dem Jahr 2022 und umfasst mehrere Dokumente mit vielen hundert Seiten. Der Standard kann in verschiedenen Sprachen kostenlos von der Internetseite des PCI Security Standards Councils heruntergeladen werden. Das PCI Security Standards Council wurde 2006 gegründet und setzt sich ebenfalls aus den genannten fünf großen Kreditkartenunternehmen zusammen.
Der Payment Card Industry Data Security Standard stellt ein verbindliches Rahmenwerk für robuste Sicherheitsprozesse zur Verfügung und umfasst neben präventiven Maßnahmen auch die Erkennung von Sicherheitsvorfällen sowie die angemessene Reaktion darauf. Unternehmen und Dienstleister jeder Größe, die an der Abwicklung von Kreditkartentransaktionen beteiligt sind, müssen das Regelwerk des PCI DSS erfüllen. Verstöße gegen den Payment Card Industry Data Security Standard können mit Geldstrafen verbunden sein, Haftungsforderungen nach sich ziehen und zu Einschränkungen oder zum Verlust der Akzeptanz von Kreditkartentransaktionen führen. Die Prüfung der Einhaltung der Regeln ist abhängig vom Transaktionsvolumen des jeweiligen Unternehmens.
Die sechs Ziele des PCI DSS und die daraus abgeleiteten konkreten Anforderungen
Der PCI DSS definiert diese sechs Ziele:
- Ziel 1: Aufbau und Pflege eines sicheren, geschützten Netzwerks.
- Ziel 2: Schutz der gespeicherten, übermittelten und verarbeiteten Daten der Karteninhaber.
- Ziel 3: Implementierung eines Managementsystems für den Umgang mit Sicherheitslücken und Schwachstellen.
- Ziel 4: Umsetzung effektiver Richtlinien und Verwendung geeigneter Maßnahmen bei der Zugangskontrolle.
- Ziel 5: regelmäßige Überwachung und Prüfung der IT-Infrastruktur und Netzwerke.
- Ziel 6: Formulierung, Pflege und Durchsetzung einer Richtlinie zur Informationssicherheit.
Aus diesen sechs Zielen ergeben sich zwölf konkrete Anforderungen, die von den Unternehmen zu erfüllen sind:
Für Ziel 1:
- Anforderung 1: Installation, Betrieb und Pflege eines Firewallsystems.
- Anforderung 2: Keine Verwendung von Default-Passwörtern der Hersteller oder von anderen Standardeinstellungen für Sicherheitsparameter.
Für Ziel 2:
- Anforderung 3: Schutz der gespeicherten Daten der Karteninhaber.
- Anforderung 4: verschlüsselte Übertragung der Karteninhaberdaten über offene oder öffentliche Netzwerke.
Für Ziel 3:
- Anforderung 5: Schutz aller System vor Schadsoftware und regelmäßige Aktualisierung des Anti-Malware-Schutzes.
- Anforderung 6: Entwicklung sicherer Systeme und Anwendungen und regelmäßige Wartung.
Für Ziel 4:
- Anforderung 7: Zugriffsbeschränkung auf Karteninhaberdaten gemäß den geschäftlichen Anforderungen (Need-to-Know-Prinzip).
- Anforderung 8: Authentifizierung des Zugangs zu Systemkomponenten und Zuweisung eindeutiger IDs für jede Person mit Computerzugriff.
- Anforderung 9: Beschränkung des physischen Zugangs zu Daten der Karteninhaber.
Für Ziel 5:
- Anforderung 10: Kontrolle und Nachverfolgung des Zugriffs auf Netzwerkressourcen und auf Daten der Karteninhaber.
- Anforderung 11: Regelmäßige Tests der Sicherheitssysteme und Sicherheitsprozesse.
Für Ziel 6:
- Anforderung 12: Implementierung und Durchsetzung von Richtlinien der Informationssicherheit für Mitarbeiter, Auftragnehmer und Vertragspartner.
(ID:49530935)
:quality(80)/p7i.vogel.de/wcms/fe/58/fe587e180fee0def7f236c4366d5a4aa/0112115017.jpeg "Die CIS Controls V8 enthalten konkrete Handlungsempfehlungen zur Abwehr von Cyberangriffen und zur Verbesserung der Cybersicherheit von Unternehmen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/f1/ee/f1ee65fa4f3e07627cc429f4484a3a81/0112115015.jpeg "Die CIS Top 20 Critical Security Controls sind universell einsetzbare, konkrete Handlungsempfehlungen zur Verbesserung der Cybersicherheit. (Bild: gemeinfrei)")