Sie sind hier: Home » Markt » Hinweise & Tipps

Compliance mit Version 3.0 des PCI-DSS-Standards


PCI DSS 3.0 verschärft Schutz von Kreditkarten-Transaktionen und forciert Erfassung von Log-Daten
Neuer PCI-DSS-Standard macht Log-Management noch wichtiger

(25.02.14) - Die neue Version 3.0 des PCI-DSS-Standards (Payment Card Industry Data Security Standard) sieht erheblich schärfere Sicherheitsregeln für alle Unternehmen vor, die Kreditkarteninformationen verarbeiten. Das sind Handelshäuser, Abrechnungsfirmen, Banken, Service-Provider. Ein umfassendes und effizientes Sammeln und Verwalten von Log-Dateien ist damit wichtiger denn je. Die Log-Management-Lösungen von BalaBit übernehmen diese Aufgabe zuverlässig und lückenlos.

Die Schäden durch Kreditkartenbetrug gehen weltweit in die Millionen. Alleine bei einem besonders dreisten Fall in den USA entstand im vergangenen Jahr nach Angaben des FBI ein Schaden von 200 Millionen Dollar. Um den Missbrauch von Kreditkarteninformationen zu unterbinden, trat am 1. Januar 2014 die Version 3.0 des PCI-DSS-Standards des Payment Card Industry Security Standard Councils in Kraft. Die erweiterte Ausgabe der Spezifikation, deren erste Version bereits 2004 vorgestellt wurde, sieht strengere Sicherheitsvorgaben für die Inhaber von Kreditkarten sowie alle Unternehmen vor, die Kreditkarten-Daten erfassen, weitergeben und bearbeiten. Das gilt sowohl für Informationen über den Nutzer einer Karte als auch für Authentifizierungsdaten.

"Die neue Version der PCI-DSS-Regelungen unterstreicht, dass ein Log-Management ein unverzichtbarer Teil der 'Best Practices' im Bereich IT-Sicherheit ist, speziell bei der Absicherung von Finanztransaktionen mittels Kreditkarte", betont Zoltán Györkő, CEO von BalaBit IT Security.

Vorgaben für das Log-Management in Version 3.0 des PCI-DSS-Standards

>> Requirement 10.2.5:
Das Log-Management-System muss Änderungen an den Accounts von Administratoren und Usern mit Root-Zugriffsrechten dokumentieren, etwa ob entsprechende Accounts erstellt oder gelöscht wurden. Dies soll verhindern, dass Angreifer oder illoyale eigene Mitarbeiter solche Nutzerkonten missbrauchen.

>> Requirement 10.2.6: Nicht nur der Start von Logging-Vorgängen muss dokumentiert werden, sondern auch Unterbrechungen und Pausen. Dies soll verhindern, dass Kriminelle die Spuren ihrer Aktivitäten beseitigen, indem sie das Log-Management-System zeitweilig deaktivieren.

>> Requirement 10.6: Die Vorschrift legt explizit fest, welche Ereignisse (Events) täglich analysiert werden müssen und welche in regelmäßigen Abständen. Die Grundlage dafür bilden Regeln für das Risikomanagement. Explizit untersucht werden müssen Sonderfälle und Anomalien.

>> Requirement 10.7: Nichts geändert hat sich dagegen an der Aufbewahrungsfrist der Log-Daten. Sie beträgt weiterhin ein Jahr. Davon müssen die Daten der letzten drei Monate IT-Sicherheitsfachleuten unmittelbar zur Verfügung stehen. Diese Regelung stellt sicher, dass auch länger zurückliegende Vorfälle aufgeklärt werden können. Zudem lässt sich dadurch der Zeitraum eingrenzen, in denen Kreditkartendaten entwendet oder missbraucht wurden.

>> Requirement 5.2: Diese Regelung verlangt explizit, dass auch Anti-Viren-Programme Log-Daten zur Verfügung stellen. Auch diese Informationen müssen ein Jahr aufbewahrt werden.
(BalaBit IT Security: ra)

BalaBit IT Security: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Invests

  • Datenschutz erfordert technische Präzision

    Moderne Unternehmensarchitekturen stellen hohe Anforderungen an eine Consent Management Platform (CMP). Nur mit tiefer technischer Integration lassen sich Datenschutz und Nutzerfreundlichkeit effektiv umsetzen - das zeigen aktuelle Entwicklungen in Regulatorik und Praxis. Die Zeiten einfacher Cookie-Banner sind vorbei: In modernen Unternehmensumgebungen muss eine Consent Management Platform mehr leisten als die bloße Einholung einer Zustimmung.

  • Bewertung der Kreditwürdigkeit

    Wer in Anleihen investieren möchte, sollte die Unterschiede zwischen Staats- und Unternehmensanleihen kennen. Beide bieten Chancen aber auch unterschiedliche Risiken. Dieser Artikel zeigt, worauf es bei der Einschätzung von Bonität, Rendite und Sicherheit ankommt.

  • Compliance-Verstöße: Identitäten im Blindflug

    Rund 40 Prozent der Unternehmen verzichten laut einem aktuellen Bericht noch immer auf moderne Identity-Governance- und Administration-Lösungen (IGA). Das ist nicht nur ein organisatorisches Defizit - es ist ein ernstzunehmender Risikofaktor. Denn der Umgang mit digitalen Identitäten ist in vielen Organisationen noch immer ein Flickwerk aus manuellen Abläufen, intransparenten Prozessen und veralteter Technik. Während Cloud-Umgebungen rasant wachsen und Compliance-Anforderungen zunehmen, bleiben zentrale Fragen der Zugriffskontrolle oft ungelöst.

  • So schützen Sie sich vor Anlagebetrug

    Wer im Internet nach lukrativen Geldanlagemöglichkeiten sucht, sollte vorsichtig sein. Oft werden hohe Renditen auch für kleine Anlagebeträge versprochen. Was auf den ersten Blick verlockend klingt, kann Sie schnell um Ihr Geld bringen!

  • Risiko für Wirtschaftlichkeit & Compliance

    Die Begeisterung für KI-Modelle hält ungebrochen an - doch sie hat eine Schattenseite: Systeme wie GPT o3 und o4-mini werden zwar immer leistungsfähiger, halluzinieren aber immer häufiger. Bei Wissensfragen im sogenannten SimpleQA-Benchmark erreichen sie Fehlerquoten von bis zu 79 Prozent - ein alarmierender Wert, der selbst die Entwickler bei OpenAI ratlos zurücklässt.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen