Zum Hauptinhalt springen
Bild
lila Hexagonmuster

Entrust kann bei Vereinfachung der PCI DSS-Compliance und Reduzierung des Audit-Aufwands helfen

PCI DSS-Anforderungen

Jede Organisation, die bei der Verarbeitung von Kredit- und Debitkartenzahlungen eine Rolle spielt, muss die strengen PCI DSS-Anforderungen hinsichtlich Verarbeitung, Speicherung und Übertragung von Kontodaten einhalten.

Entrust nShield™ HSMs unterstützen Organisationen, die Karteninhaberdaten verarbeiten, bei der Einhaltung verschiedener Aspekte der PCI DSS-Compliance und -Audits, darunter:

Bild
Symbol: pflaumenfarbenes Häkchen

Schutz gespeicherter Karteninhaberdaten

faded gray hex background
Bild
Symbol: pflaumenfarbenes Häkchen

Einschränkung des Zugriffs auf Karteninhaberdaten nach dem Need-to-know-Prinzip des Unternehmens

faded gray hex background
Bild
Symbol: pflaumenfarbenes Häkchen

Identifizierung und Authentifizierung des Zugriffs auf Systemkomponenten

faded gray hex background

Regelung

Über 200 Tests nach sechs Grundprinzipien

Der PCI DSS-Standard beinhaltet eine Bewertung anhand von über 200 Tests, die in 12 allge­meine Sicherheitsbereiche fallen, die sechs Grundprinzipien darstellen. Diese PCI DSS-Tests umfassen eine Vielzahl gängiger Sicherheitspraktiken sowie Technologien wie Verschlüsselung, Schlüsselverwaltung und andere Datenschutztechniken.

Risiken im Zusammenhang mit PCI DSS-Audits und -Compliance

  • Die Nichteinhaltung der PCI DSS-Compliance-Anforderungen kann zu Geldstrafen, erhöhten Gebühren oder sogar dazu führen, dass Sie keine Zahlungskartentransaktionen mehr verarbeiten dürfen.
  • Die Einhaltung des PCI DSS-Standards kann nicht isoliert betrachtet werden; Organisationen unterliegen verschiedenen Sicherheitsvorschriften und Gesetzen zur Offenlegung von Datenschutzverletzungen. Auf der anderen Seite können PCI-Compliance-Projekte leicht durch umfassendere Sicherheitsinitiativen des Unternehmens in den Hintergrund gedrängt werden.
  • Die Leitlinien und Empfehlungen, die mit den PCI DSS-Anforderungen verknüpft sind, umfassen gängige Praktiken, die wahrscheinlich bereits vorhanden sind. Einige Aspekte, insbesondere diejenigen hinsichtlich Verschlüsselung, sind jedoch möglicherweise neu für die Organisation und Implementierungen können zu Unterbrechungen führen und die betriebliche Effizienz negativ beeinflussen, wenn sie nicht richtig konzipiert sind.
  • Es gibt Möglichkeiten, den Umfang der PCI DSS-Compliance-Verpflichtungen zu reduzieren und damit Kosten und Auswirkungen zu verringern. Allerdings kann eine mangelnde Sorgfalt bei der Sicherstellung der PCI DSS-Compliance bei neuen Systemen in Prozessen Organisationen Zeit und Geld kosten.

Compliance

Erfüllung der wichtigsten PCI DSS-Anforderungen

Basierend auf jahrzehntelanger Erfahrung bei der Unterstützung von Banken und Finanzinstituten bei der Einhaltung von Branchenvorschriften bieten Entrust und seine Partner Produkte und Dienstleistungen, die es Ihnen ermöglichen, gespeicherte Karteninhaberdaten zu schützen, sie für die Übertragung zu verschlüsseln und den Zugriff nach dem Need-to-know-Prinzip einzuschränken.

  • Schutz von Daten der Karteninhaber. Entrust kann mit führenden Lösungen für die Akzeptanz von Zahlungen über mobile Endgeräte (mPOS) sowie mit führenden Lösungen für den Datenschutz im Zahlungsverkehr verwendet werden, um Karteninhaberdaten zu schützen und die Einhaltung des PCI DSS-Standards zu gewährleisten. Händler müssen zudem Netzwerkverschlüsselung und SSL/TLS-Verschlüsselung zum Schutz der Daten bei der Übertragung einsetzen.
  • Implementierung strenger Maßnahmen der Zugriffskontrolle. Alle Datenschutztechniken gehen Hand in Hand mit Zugriffskontrollen. Kryptographische Technologien wie PKI und digitale Zertifikate sind weit verbreitet und gehen über die Sicherheit von Passwörtern zur Authentifizierung von Benutzern und Systemen hinaus. Zudem bedeutet die Verwendung von Entrust nShield HSMs zur Kontrolle des Zugriffs auf Datenentschlüsselungsschlüssel, dass Daten ausschließlich nach dem Need-to-know-Prinzip entschlüsselt werden können.
  • Aufbau und Wartung eines sicheren Netzwerks. Neben der Verschlüsselung auf Netzwerkebene ist die starke Authentifizierung von Netzwerkgeräten eine wesentliche Komponente der Netzwerksicherheit. Digitale Zugangsdaten werden zunehmend auf Geräteebene eingesetzt, um den Netzwerkzugriff zu kontrollieren, und sind ein wichtiger Sicherheitsaspekt für eine Unternehmens-PKI.
  • Einsatz eines Programms zur Verwaltung von Schwachstellen. Die Zunahme fortschrittlicher, anhaltender Angriffe, bei denen versucht wird, Geschäftsanwendungen durch das Einschleusen von Malware zu schädigen, hat die Verwendung von digitalen Signaturen und der Codesignierung als Möglichkeit zum Nachweis der Integrität und Authentizität von Geschäftssystemen und Anwendungssoftware in den Fokus gerückt.
  • Einhaltung einer Informationssicherheitsrichtlinie. Beim PCI DSS-Standard wird großer Wert darauf gelegt, eine klare Aufgabentrennung zwischen den Mitarbeitern zu etablieren, um das Risiko von Insider-Angriffen zu minimieren. Die Verwendung von Kryptographie bietet einen leistungsfähigen Mechanismus, um diese Trennung durchzusetzen und eine zuverlässige Aufzeichnung von Ereignissen als Compliance-Nachweis zu erstellen.

Ressourcen

Broschüren: Broschüre zur Entrust nShield HSM-Produktfamilie

Entrust nShield HSMs bieten eine sicherheitsgehärtete, manipulationssichere Umgebung für sichere kryptographische Verarbeitung, Schlüsselerstellung und -schutz, Verschlüsselung und vieles mehr. Die Entrust nShield-HSMs sind in drei „FIPS 140-2“-zertifizierten Formfaktoren erhältlich und unterstützen eine Vielzahl von Einsatzszenarien.

Broschüre zur Entrust nShield HSM-Produktfamilie