Entrust kann bei Vereinfachung der PCI DSS-Compliance und Reduzierung des Audit-Aufwands helfen

PCI DSS-Anforderungen

Jede Organisation, die bei der Verarbeitung von Kredit- und Debitkartenzahlungen eine Rolle spielt, muss die strengen PCI DSS-Anforderungen hinsichtlich Verarbeitung, Speicherung und Übertragung von Kontodaten einhalten.

Entrust nShield™ HSMs unterstützen Organisationen, die Karteninhaberdaten verarbeiten, bei der Einhaltung verschiedener Aspekte der PCI DSS-Compliance und -Audits, darunter:

Symbol blauer Würfel

Anforderung 3

Schutz gespeicherter Karteninhaberdaten

Grünes Brieftaschenschlosssymbol

Anforderung 7

Einschränkung des Zugriffs auf Karteninhaberdaten nach dem Need-to-know-Prinzip des Unternehmens

Rosa Brieftaschenaugensymbol

Anforderung 8

Identifizierung und Authentifizierung des Zugriffs auf Systemkomponenten

    Regelung

    Über 200 Tests nach sechs Grundprinzipien

    Der PCI DSS-Standard beinhaltet eine Bewertung anhand von über 200 Tests, die in 12 allgemeine Sicherheitsbereiche fallen, die sechs Grundprinzipien darstellen. Diese PCI DSS-Tests umfassen eine Vielzahl gängiger Sicherheitspraktiken sowie Technologien wie Verschlüsselung, Schlüsselverwaltung und andere Datenschutztechniken.

    Risiken im Zusammenhang mit PCI DSS-Audits und -Compliance

    • Die Nichteinhaltung der PCI DSS-Compliance-Anforderungen kann zu Geldstrafen, erhöhten Gebühren oder sogar dazu führen, dass Sie keine Zahlungskartentransaktionen mehr verarbeiten dürfen.
    • Die Einhaltung des PCI DSS-Standards kann nicht isoliert betrachtet werden; Organisationen unterliegen verschiedenen Sicherheitsvorschriften und Gesetzen zur Offenlegung von Datenschutzverletzungen. Auf der anderen Seite können PCI-Compliance-Projekte leicht durch umfassendere Sicherheitsinitiativen des Unternehmens in den Hintergrund gedrängt werden.
    • Die Leitlinien und Empfehlungen, die mit den PCI DSS-Anforderungen verknüpft sind, umfassen gängige Praktiken, die wahrscheinlich bereits vorhanden sind. Einige Aspekte, insbesondere diejenigen hinsichtlich Verschlüsselung, sind jedoch möglicherweise neu für die Organisation und Implementierungen können zu Unterbrechungen führen und die betriebliche Effizienz negativ beeinflussen, wenn sie nicht richtig konzipiert sind.
    • Es gibt Möglichkeiten, den Umfang der PCI DSS-Compliance-Verpflichtungen zu reduzieren und damit Kosten und Auswirkungen zu verringern. Allerdings kann eine mangelnde Sorgfalt bei der Sicherstellung der PCI DSS-Compliance bei neuen Systemen in Prozessen Organisationen Zeit und Geld kosten.

    Compliance

    Erfüllung der wichtigsten PCI DSS-Anforderungen

    Basierend auf jahrzehntelanger Erfahrung bei der Unterstützung von Banken und Finanzinstituten bei der Einhaltung von Branchenvorschriften bieten Entrust und seine Partner Produkte und Dienstleistungen, die es Ihnen ermöglichen, gespeicherte Karteninhaberdaten zu schützen, sie für die Übertragung zu verschlüsseln und den Zugriff nach dem Need-to-know-Prinzip einzuschränken.

    • Schutz von Daten der Karteninhaber. Entrust kann mit führenden Lösungen für die Akzeptanz von Zahlungen über mobile Endgeräte (mPOS) sowie mit führenden Lösungen für den Datenschutz im Zahlungsverkehr verwendet werden, um Karteninhaberdaten zu schützen und die Einhaltung des PCI DSS-Standards zu gewährleisten. Händler müssen zudem Netzwerkverschlüsselung und SSL/TLS-Verschlüsselung zum Schutz der Daten bei der Übertragung einsetzen.
    • Implementierung strenger Maßnahmen der Zugriffskontrolle. Alle Datenschutztechniken gehen Hand in Hand mit Zugriffskontrollen. Kryptographische Technologien wie PKI und digitale Zertifikate sind weit verbreitet und gehen über die Sicherheit von Passwörtern zur Authentifizierung von Benutzern und Systemen hinaus. Zudem bedeutet die Verwendung von Entrust nShield HSMs zur Kontrolle des Zugriffs auf Datenentschlüsselungsschlüssel, dass Daten ausschließlich nach dem Need-to-know-Prinzip entschlüsselt werden können.
    • Aufbau und Wartung eines sicheren Netzwerks. Neben der Verschlüsselung auf Netzwerkebene ist die starke Authentifizierung von Netzwerkgeräten eine wesentliche Komponente der Netzwerksicherheit. Digitale Zugangsdaten werden zunehmend auf Geräteebene eingesetzt, um den Netzwerkzugriff zu kontrollieren, und sind ein wichtiger Sicherheitsaspekt für eine Unternehmens-PKI.
    • Einsatz eines Programms zur Verwaltung von Schwachstellen. Die Zunahme fortschrittlicher, anhaltender Angriffe, bei denen versucht wird, Geschäftsanwendungen durch das Einschleusen von Malware zu schädigen, hat die Verwendung von digitalen Signaturen und der Codesignierung als Möglichkeit zum Nachweis der Integrität und Authentizität von Geschäftssystemen und Anwendungssoftware in den Fokus gerückt.
    • Einhaltung einer Informationssicherheitsrichtlinie. Beim PCI DSS-Standard wird großer Wert darauf gelegt, eine klare Aufgabentrennung zwischen den Mitarbeitern zu etablieren, um das Risiko von Insider-Angriffen zu minimieren. Die Verwendung von Kryptographie bietet einen leistungsfähigen Mechanismus, um diese Trennung durchzusetzen und eine zuverlässige Aufzeichnung von Ereignissen als Compliance-Nachweis zu erstellen.

    Ressourcen

    Broschüren: Broschüre zur Entrust nShield HSM-Produktfamilie

    Entrust nShield HSMs bieten eine sicherheitsgehärtete, manipulationssichere Umgebung für sichere kryptographische Verarbeitung, Schlüsselerstellung und -schutz, Verschlüsselung und vieles mehr. Die Entrust nShield-HSMs sind in drei „FIPS 140-2“-zertifizierten Formfaktoren erhältlich und unterstützen eine Vielzahl von Einsatzszenarien.

    Verwandte Lösungen

    Verwandte Produkte von nShield Connect

    Jetzt chatten