Sie sind hier: Home » Markt » Hinweise & Tipps

Compliance mit Version 3.0 des PCI-DSS-Standards


PCI DSS 3.0 verschärft Schutz von Kreditkarten-Transaktionen und forciert Erfassung von Log-Daten
Neuer PCI-DSS-Standard macht Log-Management noch wichtiger

(25.02.14) - Die neue Version 3.0 des PCI-DSS-Standards (Payment Card Industry Data Security Standard) sieht erheblich schärfere Sicherheitsregeln für alle Unternehmen vor, die Kreditkarteninformationen verarbeiten. Das sind Handelshäuser, Abrechnungsfirmen, Banken, Service-Provider. Ein umfassendes und effizientes Sammeln und Verwalten von Log-Dateien ist damit wichtiger denn je. Die Log-Management-Lösungen von BalaBit übernehmen diese Aufgabe zuverlässig und lückenlos.

Die Schäden durch Kreditkartenbetrug gehen weltweit in die Millionen. Alleine bei einem besonders dreisten Fall in den USA entstand im vergangenen Jahr nach Angaben des FBI ein Schaden von 200 Millionen Dollar. Um den Missbrauch von Kreditkarteninformationen zu unterbinden, trat am 1. Januar 2014 die Version 3.0 des PCI-DSS-Standards des Payment Card Industry Security Standard Councils in Kraft. Die erweiterte Ausgabe der Spezifikation, deren erste Version bereits 2004 vorgestellt wurde, sieht strengere Sicherheitsvorgaben für die Inhaber von Kreditkarten sowie alle Unternehmen vor, die Kreditkarten-Daten erfassen, weitergeben und bearbeiten. Das gilt sowohl für Informationen über den Nutzer einer Karte als auch für Authentifizierungsdaten.

"Die neue Version der PCI-DSS-Regelungen unterstreicht, dass ein Log-Management ein unverzichtbarer Teil der 'Best Practices' im Bereich IT-Sicherheit ist, speziell bei der Absicherung von Finanztransaktionen mittels Kreditkarte", betont Zoltán Györkő, CEO von BalaBit IT Security.

Vorgaben für das Log-Management in Version 3.0 des PCI-DSS-Standards

>> Requirement 10.2.5: Das Log-Management-System muss Änderungen an den Accounts von Administratoren und Usern mit Root-Zugriffsrechten dokumentieren, etwa ob entsprechende Accounts erstellt oder gelöscht wurden. Dies soll verhindern, dass Angreifer oder illoyale eigene Mitarbeiter solche Nutzerkonten missbrauchen.

>> Requirement 10.2.6: Nicht nur der Start von Logging-Vorgängen muss dokumentiert werden, sondern auch Unterbrechungen und Pausen. Dies soll verhindern, dass Kriminelle die Spuren ihrer Aktivitäten beseitigen, indem sie das Log-Management-System zeitweilig deaktivieren.

>> Requirement 10.6: Die Vorschrift legt explizit fest, welche Ereignisse (Events) täglich analysiert werden müssen und welche in regelmäßigen Abständen. Die Grundlage dafür bilden Regeln für das Risikomanagement. Explizit untersucht werden müssen Sonderfälle und Anomalien.

>> Requirement 10.7: Nichts geändert hat sich dagegen an der Aufbewahrungsfrist der Log-Daten. Sie beträgt weiterhin ein Jahr. Davon müssen die Daten der letzten drei Monate IT-Sicherheitsfachleuten unmittelbar zur Verfügung stehen. Diese Regelung stellt sicher, dass auch länger zurückliegende Vorfälle aufgeklärt werden können. Zudem lässt sich dadurch der Zeitraum eingrenzen, in denen Kreditkartendaten entwendet oder missbraucht wurden.

>> Requirement 5.2: Diese Regelung verlangt explizit, dass auch Anti-Viren-Programme Log-Daten zur Verfügung stellen. Auch diese Informationen müssen ein Jahr aufbewahrt werden.
(BalaBit IT Security: ra)

BalaBit IT Security: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Invests

  • CEO-Vortäuschung & KI-gesteuerten Attacken

    Check Point Software Technologies sieht es als wichtig an, auf die neuen Formen von digitalem Betrug einzugehen, mit denen Unternehmen konfrontiert sind, denn der technologische Fortschritt hat sowohl Unternehmen als auch Hackern neue Möglichkeiten eröffnet. Von Cyber-Hochstapelei und internem Betrug bis hin zu immer raffinierteren Verbrechen, wie CEO-Vortäuschung und KI-gesteuerten Attacken.

  • Umsetzung der KI-Verordnung

    Darf ich eine bestimmte KI-Anwendung anbieten oder in meinem Unternehmen verwenden? Und wenn ja, welche Voraussetzungen muss ich dafür erfüllen? Rechtliche Unsicherheiten sind für 40 Prozent der Unternehmen in Deutschland ein Hemmnis für den KI-Einsatz.

  • Vorsicht vor Betrug bei Festgeldanlagen

    Wer auf der Suche nach attraktiven Tages- oder Festgeldanlagen ist, nutzt häufig eine Suchmaschinensuche oder ein Vergleichsportal im Internet. Doch hier heißt es, wachsam zu sein. Auch Unternehmensseiten wie Bankportale und Vergleichsportale können perfekt gefälscht sein.

  • Bestandteil der Investmentsteuer

    Die Vorabpauschale für Investmentfonds ist bereits seit 2018 Bestandteil der Investmentsteuer in Deutschland ist. Die Berechnung der Vorabpauschale basiert allerdings auf dem sogenannten Basiszins, der in der Vergangenheit oft im negativen Bereich lag. Daher wurde die Vorabpauschale erst wieder Anfang 2024 für das Vorjahr, also das Jahr 2023, erhoben. Doch was ist die Vorabpauschale und wie funktioniert sie? In diesem Artikel zeigen wir Ihnen, worauf Sie achten sollten.

  • KI, Datenschutz & Datensicherheit

    Bevor Unternehmen generative KI einführen, sollten sie sich einige Fragen stellen, damit die neuen Dienste nicht den Datenschutz und die Datensicherheit gefährden. Forcepoint verrät, welche Fragen das sind. Die meisten Unternehmen haben den Mehrwert von generativer KI inzwischen erkannt und wollen entsprechende Dienste einführen, um ihre Mitarbeiter zu entlasten und Abläufe effizienter zu gestalten.

Verstoß gegen das Gemeinschaftsrecht Markenschutzprogramme erforderlich

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen