PCI DSS-Konformität gewährleisten: Die jährliche Checkliste
Die Einhaltung des Payment Card Industry Data Security Standard (PCI DSS) ist keine einmalige Aufgabe, sondern erfordert eine kontinuierliche Validierung, um Kartendaten zu schützen, Risiken zu managen und die Audit-Bereitschaft das ganze Jahr über sicherzustellen.
Verstöße gegen die Compliance entstehen selten durch nur eine fehlende Kontrolle. Meist handelt es sich um kleine Lücken, die sich über die Zeit summieren. Solche Lücken können entstehen, wenn vierteljährliche Scans versäumt werden, Abhilfemaßnahmen verzögert erfolgen, Nachweise unvollständig sind oder Änderungen des Enivornments nicht überprüft werden.
Diese Probleme fallen oft erst auf, wenn das Bewertungsfenster bereits geöffnet ist, sodass nur wenig Zeit zur Reaktion bleibt. Um unerwartete Störungen zu vermeiden und die kontinuierliche PCI DSS-Compliance zu erleichtern, hat Outpost24 eine jährliche PCI DSS-Checkliste entwickelt, die nach Quartalen gegliedert ist und Sie Schritt für Schritt durch den Prozess führt.
Für wen gilt PCI DSS?
PCI DSS gilt für alle Organisationen, die Zahlungskartendaten speichern, verarbeiten oder übertragen. Dazu gehören Händler, die Kartenzahlungen über physische oder digitale Kanäle akzeptieren, sowie Dienstleister und Dritte, deren Systeme oder Zugriff die Sicherheit der Cardholder Data Environment (CDE) beeinträchtigen können.
Dazu gehören Drittanbieter wie:
- Hosting- und Cloud-Anbieter
- Zahlungsgateways
- Managed Service Provider
- Softwareanbieter
- Partner, die an Zahlungsumgebungen angeschlossen sind
Die Art der erforderlichen PCI-DSS-Bewertung hängt von der Rolle, dem Transaktionsvolumen und der Zahlungsumgebung einer Organisation ab, wie sie von Zahlungsmarken und akquirierenden Banken definiert sind, z. B. American Express, Discover, JCB, Mastercard, Visa, UnionPay.
Wichtige PCI DSS-Validierungsdokumente und wer dafür verantwortlich ist
| Dokument | Wer erstellt es | Beschreibung |
|---|---|---|
| Compliance-Bericht (ROC) | Qualifizierter Sicherheitsprüfer (QSA) | Eine vollständige PCI DSS-Bewertung für Händler oder Dienstleister der Stufe 1 |
| Fragebogen zur Selbstbewertung (SAQ) | Händler oder Dienstleister | Selbstbewertung der Compliance auf Basis des Transaktionsvolumens und des Zahlungsmodells für Händler oder Dienstleister niedrigerer Stufen |
| Scanbericht und Bescheinigung eines zugelassenen Scan-Anbieters (ASV) | ASV, z.B. die PCI-Compliance-Lösung von Outpost24 | Externer Schwachstellenscan und Bescheinigung für die PCI DSS-Compliance |
Jährliche PCI DSS-Compliance-Checkliste von Outpost24
Q1 (Januar bis März): Überprüfung und Planung
Ziel: Einen klaren Überblick über den aktuellen Compliance-Status verschaffen, die geltenden PCI DSS-Anforderungen bestätigen, den Bewertungsansatz festlegen und die Aktivitäten definieren, die für ein erfolgreiches Ergebnis erforderlich sind.
Achten Sie auf: Annahmen oder Fehler, die in dieser Phase gemacht werden, bestehen häufig weiter und zeigen sich später als fehlgeschlagene Scans, unvollständige Nachweise oder unerwartete Prüfungsergebnisse.
| Monat | Wichtige Maßnahmen | Zweck |
|---|---|---|
| Januar | 1. PCI DSS-Bewertungsanforderungen mit Zahlungsmarken und Banken bestätigen. 2. Ergebnisse der ROC-, SAQ- und ASV-Scans vom Vorjahr prüfen, um wiederkehrende Feststellungen und Nachweislücken zu identifizieren. 3. ASV-Status auf der Liste des PCI Security Standards Council überprüfen. 4. Den PCI-Umfang festlegen und sicherstellen, dass alle internetfähigen Systeme erfasst sind. | Einen vollständigen und genauen Überblick über Anforderungen, Umfang und externe Abhängigkeiten verschaffen, um Bewertungslücken später im Jahr zu vermeiden. |
| Februar | 1. Segmentierungsannahmen prüfen und testen. 2. Vierteljährliche interne Schwachstellenscans gemäß PCI DSS-Anforderung 11.3.1 durchführen. | Prüfen, dass PCI-Umfang und Segmentierung korrekt bleiben, interne Konfigurations- oder Patch-Lücken frühzeitig erkennen. |
| März | 1. Vierteljährliche externe Schwachstellenscans durchführen und gefundene Mängel beheben (PCI DSS 11.3.2). | Externe Gefährdung prüfen und Risiken reduzieren, bevor die Behebung und Kontrollüberwachung im zweiten Quartal intensiviert wird. |
Q2 (April–Juni): Testen und überwachen
Ziel: Prüfen, ob die Sicherheitskontrollen wie vorgesehen funktionieren und Schwachstellen erkannt und behoben werden, bevor sie sich summieren.
Zu beachten: Wiederholte Scan-Fehler treten häufig aufgrund ungelöster Probleme, nicht dokumentierter Ausnahmen oder Umfangsabweichungen auf, insbesondere nach Änderungen an der Infrastruktur.
| Monat | Wichtige Maßnahmen | Zweck |
|---|---|---|
| April | 1. ASV-Scan-Ergebnisse prüfen und alle speziellen Hinweise bearbeiten, die einer Validierung bedürfen, wie beispielsweise Fernzugriffsdienste, von außen zugängliche Skripte oder andere Besonderheiten. 2. Firewall-Regeln und Zugriffskonfigurationen überprüfen, um sicherzustellen, dass sie dem definierten PCI-Umfang entsprechen und die Segmentierungsannahmen korrekt umgesetzt sind. 3. Verschlüsselungs- und Schlüsselverwaltungsverfahren auf allen betroffenen Systemen prüfen und bestätigen, dass sie weiterhin den PCI DSS-Anforderungen entsprechen. 4. Protokolle und Warnmeldungen überwachen, um verdächtige oder unautorisierte Aktivitäten frühzeitig zu erkennen. | Sicherheitskontrollen prüfen und sicherstellen, dass keine Abweichungen vom Umfang, Lücken oder ungelöste Scan-Probleme bestehen. |
| Mai | 1. Führen Sie vierteljährliche interne Schwachstellenscans auf allen betroffenen Systemen durch, um die PCI DSS-Anforderung 11.3.2 zu erfüllen. | Fehlende Patches oder neu aufgetretene Lücken identifizieren. |
| Juni | 1. Führen Sie vierteljährliche externe Schwachstellenscans für alle betroffenen Systeme mit Internetanbindung durch, um die PCI DSS-Anforderung 11.3.2 zu erfüllen. 2. Beheben Sie die identifizierten Mängel und wiederholen Sie die Überprüfung nach Bedarf, um ein positives Ergebnis zu erzielen. | Interne Konfigurations- oder Patch-Lücken erkennen und beheben, um die bevorstehende PCI DSS-Bewertung nicht zu gefährden. |
Q3 (Juli–September): Validieren und stärken
Ziel: Sicherheitskontrollen testen und verfeinern, bevor die abschließende jährliche Bewertung erfolgt.
Tipp: Die PCI DSS-Compliance-Lösung von Outpost24 überwacht Webanwendungen kontinuierlich und erkennt aktuelle Schwachstellen. Fehlalarme werden minimiert und Ergebnisse von zertifizierten Penetrationstestern überprüft.
| Monat | Wichtige Maßnahmen | Zweck |
|---|---|---|
| Juli | 1. Interne Penetrationstests auf allen betroffenen Systemen durchführen (PCI DSS 11.4.2 und 11.4.3). 2. Externe unabhängige Penetrationstests auf internetfähigen Systemen durchführe. 3. Ergebnisse prüfen und Abhilfemaßnahmen priorisieren. 4. Vorfallsreaktionsplan testen, einschließlich Rollen, Eskalationswege und Kommunikationsprozesse. 5. Konformitätsbescheinigungen (AOC) von Drittanbietern prüfen. | Wirksamkeit der Kontrollen unabhängig prüfen, Compliance von Drittanbietern bestätigen, kritische Lücken beheben. |
| August | 1. Nach Abhilfemaßnahmen interne Schwachstellenscans durchführen. 2. Anlagenbestand prüfen und Standorte der Karteninhaberdaten bestätigen, um sicherzustellen, dass der PCI DSS-Anwendungsbereich die aktuelle Umgebung genau widerspiegelt. | Wirksamkeit der Maßnahmen überprüfen und sicherstellen, dass der PCI DSS-Umfang die aktuelle Umgebung korrekt abbildet. |
| September | 1. Externe Schwachstellenscans durchführen, um die externe Gefährdung zu kontrollieren und einen positiven Status zu bestätigen. | Externe Gefährdung kontrolliert halten und positive Ergebnisse bestätigen. |
Q4 (Oktober bis Dezember): Abschluss der Bewertung und Vorbereitung für den nächsten Zyklus
Ziel: PCI DSS-Validierung abschließen, verbleibende Lücken beheben und das Compliance-Programm für das nächste Jahr vorbereiten.
Wichtig: Für einen erfolgreichen ASV-Scan müssen alle Schwachstellen mit einem CVSS-Wert ≥ 4,0 behoben sein. Die Lösungen müssen überprüft werden, bevor der Antrag erneut eingereicht wird.
| Monat | Wichtige Maßnahmen | Zweck |
|---|---|---|
| Oktober | 1. Jährliche PCI DSS-Bewertung (ROC oder SAQ) durchführen. 2. Nachweise für alle relevanten Kontrollen sammeln und prüfen. 3. Alle Verstöße, die während der Bewertung festgestellt wurden, beheben. 4. AOC fertigstellen und einreichen. 5. ASV ASC der Einreichung beifügen, wie von PCI DSS vorgeschrieben. 6. Erkenntnisse dokumentieren und den Compliance-Fahrplan aktualisieren. | Die PCI DSS-Compliance offiziell bestätigen, ein einwandfreies Bewertungsergebnis erzielen und Verbesserungen für den nächsten Compliance-Zyklus dokumentieren. |
| November | 1. Interne Schwachstellenscans auf allen Systemen im Geltungsbereich durchführen. | Sicherstellen, dass nach der jährlichen Bewertung keine neuen Lücken in der Konfiguration oder bei Patches entstanden sind. |
| Dezember | 1. Vierteljährliche externe Schwachstellenscans auf allen internetfähigen Systemen durchführen. 2. Alle festgestellten Mängel beheben und bei Bedarf erneut testen. | Erforderliche Scans regelmäßig durchführen und die kontinuierliche PCI DSS-Compliance für das nächste Jahr gewährleisten. |
Wie Outpost24 Ihnen bei der Erreichung der PCI DSS-Compliance helfen kann
Outpost24 ist seit über 20 Jahren ein vom PCI Security Standards Council zugelassener Scan-Anbieter (ASV) und verfügt über umfassende Erfahrung darin, Unternehmen bei der Erreichung und Aufrechterhaltung der PCI DSS-Compliance zu unterstützen.
Die PCI DSS-Compliance-Lösung von Outpost24 bündelt diese Expertise, indem sie zertifizierte ASV-Scans, Penetrationstests und Compliance-Berichte in einer einzigen Plattform vereint. So bleiben Unternehmen das ganze Jahr über auditbereit, ohne dass unnötige Komplexität entsteht. Unsere Lösung unterstützt vierteljährliche interne und externe Schwachstellenscans, ASV-Validierung sowie die Nachverfolgung von Abhilfemaßnahmen. Dadurch können Sie die erforderliche Scan-Frequenz einhalten, erfolgreiche Ergebnisse erzielen und die für ROC- oder SAQ-Einreichungen benötigten Nachweise zuverlässig aufbewahren.
Für Unternehmen mit begrenzten internen Kapazitäten oder engen Zeitplänen bieten unsere Managed PCI Compliance Services praktische Unterstützung. Wenn schnelle Ergebnisse mit festem Umfang erforderlich sind, kann unser Managed Services-Team einen PCI DSS-Scan innerhalb von 24 bis 48 Stunden durchführen.
Kontaktieren Sie uns, um mehr über unsere PCI DSS-Compliance-Lösung zu erfahren oder eine Live-Demo zu vereinbaren.
About the Author
