Sie sind hier: Home » Markt » Hinweise & Tipps

Compliance mit Version 3.0 des PCI-DSS-Standards


PCI DSS 3.0 verschärft Schutz von Kreditkarten-Transaktionen und forciert Erfassung von Log-Daten
Neuer PCI-DSS-Standard macht Log-Management noch wichtiger

(25.02.14) - Die neue Version 3.0 des PCI-DSS-Standards (Payment Card Industry Data Security Standard) sieht erheblich schärfere Sicherheitsregeln für alle Unternehmen vor, die Kreditkarteninformationen verarbeiten. Das sind Handelshäuser, Abrechnungsfirmen, Banken, Service-Provider. Ein umfassendes und effizientes Sammeln und Verwalten von Log-Dateien ist damit wichtiger denn je. Die Log-Management-Lösungen von BalaBit übernehmen diese Aufgabe zuverlässig und lückenlos.

Die Schäden durch Kreditkartenbetrug gehen weltweit in die Millionen. Alleine bei einem besonders dreisten Fall in den USA entstand im vergangenen Jahr nach Angaben des FBI ein Schaden von 200 Millionen Dollar. Um den Missbrauch von Kreditkarteninformationen zu unterbinden, trat am 1. Januar 2014 die Version 3.0 des PCI-DSS-Standards des Payment Card Industry Security Standard Councils in Kraft. Die erweiterte Ausgabe der Spezifikation, deren erste Version bereits 2004 vorgestellt wurde, sieht strengere Sicherheitsvorgaben für die Inhaber von Kreditkarten sowie alle Unternehmen vor, die Kreditkarten-Daten erfassen, weitergeben und bearbeiten. Das gilt sowohl für Informationen über den Nutzer einer Karte als auch für Authentifizierungsdaten.

"Die neue Version der PCI-DSS-Regelungen unterstreicht, dass ein Log-Management ein unverzichtbarer Teil der 'Best Practices' im Bereich IT-Sicherheit ist, speziell bei der Absicherung von Finanztransaktionen mittels Kreditkarte", betont Zoltán Györkő, CEO von BalaBit IT Security.

Vorgaben für das Log-Management in Version 3.0 des PCI-DSS-Standards

>> Requirement 10.2.5: Das Log-Management-System muss Änderungen an den Accounts von Administratoren und Usern mit Root-Zugriffsrechten dokumentieren, etwa ob entsprechende Accounts erstellt oder gelöscht wurden. Dies soll verhindern, dass Angreifer oder illoyale eigene Mitarbeiter solche Nutzerkonten missbrauchen.

>> Requirement 10.2.6: Nicht nur der Start von Logging-Vorgängen muss dokumentiert werden, sondern auch Unterbrechungen und Pausen. Dies soll verhindern, dass Kriminelle die Spuren ihrer Aktivitäten beseitigen, indem sie das Log-Management-System zeitweilig deaktivieren.

>> Requirement 10.6: Die Vorschrift legt explizit fest, welche Ereignisse (Events) täglich analysiert werden müssen und welche in regelmäßigen Abständen. Die Grundlage dafür bilden Regeln für das Risikomanagement. Explizit untersucht werden müssen Sonderfälle und Anomalien.

>> Requirement 10.7: Nichts geändert hat sich dagegen an der Aufbewahrungsfrist der Log-Daten. Sie beträgt weiterhin ein Jahr. Davon müssen die Daten der letzten drei Monate IT-Sicherheitsfachleuten unmittelbar zur Verfügung stehen. Diese Regelung stellt sicher, dass auch länger zurückliegende Vorfälle aufgeklärt werden können. Zudem lässt sich dadurch der Zeitraum eingrenzen, in denen Kreditkartendaten entwendet oder missbraucht wurden.

>> Requirement 5.2: Diese Regelung verlangt explizit, dass auch Anti-Viren-Programme Log-Daten zur Verfügung stellen. Auch diese Informationen müssen ein Jahr aufbewahrt werden.
(BalaBit IT Security: ra)

BalaBit IT Security: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Invests

  • Investitionen in nachhaltige Rechenzentren

    Digitale Technologien spielen eine wesentliche Rolle, um schädliche Emissionen zu reduzieren und die Klimaziele in Deutschland zu erreichen. So ergab eine aktuelle Bitkom-Studie zum Einsatz von digitaler Lösungen in Sektoren wie Energie, Industrie und Verkehr, dass die CO2-Emissionen im Klimaziel-Stichjahr 2030 jährlich um 73 Millionen Tonnen reduziert werden könnten.

  • NIS-2-Umsetzung in Deutschland

    Mit dem neuen für NIS-2-Gesetz kommen auf viele Unternehmen strengere Cybersicherheitsanforderungen zu - doch es gibt noch offene Fragen und neue Entwicklungen, die bisher wenig Beachtung gefunden haben. Jetzt ist die Zeit zum Handeln. Seit der Verabschiedung der NIS-2-Richtlinie durch die EU im Jahr 2022 war die Umsetzung in den Mitgliedstaaten ein komplexer Prozess.

  • Dem Fiskus drei Schritte voraus

    Teure Materialien sowie steigende Energie- und Transportpreise sind nur zwei Gründe, warum in zahlreichen Unternehmen der Sparzwang wächst. "Unvorhergesehene und potenziell kostspielige Steuernachzahlungen können in einer ohnehin angespannten Situation den Druck auf die finanziellen Ressourcen empfindlich erhöhen", weiß Prof. Dr. Christoph Juhn, Professor für Steuerrecht an der FOM Hochschule und geschäftsführender Partner der Kanzlei Juhn Partner.

  • Prüfungsangst kommt nicht von ungefähr

    Stehen die Prüfer des Fiskus vor der Tür, steigt in fast jedem Unternehmen das Nervositätslevel. Die Besucher kündigen sich zwar rechtzeitig an, stellen ihren Gastgebern aber ausführliche Detailfragen und schauen sich interne Unterlagen genau an, was nicht nur Zeit und Nerven kostet, sondern manchmal auch sehr viel Geld.

  • Gesetze über Gesetze

    Der Countdown läuft: Die NIS2-Richtlinie steht praktisch schon vor der Tür und Betreiber kritischer Infrastrukturen (KRITIS) arbeiten auf Hochtouren daran, bis Oktober alle notwendigen Maßnahmen zu treffen.

Verstoß gegen das Gemeinschaftsrecht Markenschutzprogramme erforderlich

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen