Was ist PCI-DSS?
PCI-DSS (Payment Card Industry Data Security Standard) ist ein Satz von Sicherheitsanforderungen, der vom PCI Security Standards Council festgelegt wurde, um Karteninhaberdaten zu schützen und sicherzustellen, dass alle Organisationen, die Kreditkarteninformationen verarbeiten, speichern oder übertragen, eine sichere Umgebung aufrechterhalten.
Auch bekannt als: PCI DSS, Payment Card Industry Data Security Standard, PCI compliance
PCI-DSS definiert 12 Kernanforderungen in sechs Kategorien: eine sichere Netzwerkinfrastruktur aufbauen und warten, Karteninhaberdaten schützen, ein Schwachstellenmanagementprogramm pflegen, starke Zugangskontrollmaßnahmen implementieren, Netzwerke regelmäßig überwachen und testen sowie eine Informationssicherheitsrichtlinie pflegen. Der Standard gilt für jede Entität, die an der Zahlungskartenverarbeitung beteiligt ist: Händler, Prozessoren, Acquirer, Emittenten und Dienstanbieter.
Die Anforderungen 3 und 4 sind besonders relevant für Verschlüsselung: Anforderung 3 verlangt den Schutz gespeicherter Karteninhaberdaten (mit spezifischen Verschlüsselungs-, Hashing- und Trunkierungsmethoden), während Anforderung 4 die Verschlüsselung von Karteninhaberdaten beim Transport über offene, öffentliche Netzwerke verlangt. Anforderung 7 schreibt den Zugriff nach dem Need-to-know-Prinzip vor, und Anforderung 8 verlangt eindeutige Identifikation und starke Authentifizierung für jeden Zugriff auf Systemkomponenten. Die Compliance wird über Selbstbewertungsfragebögen oder Vor-Ort-Audits validiert, abhängig vom Transaktionsvolumen.
PCI-DSS-Compliance erstreckt sich über die eigentliche Cardholder Data Environment (CDE) hinaus auf jedes System, das die Sicherheit der CDE beeinflussen könnte. Das schließt ein, wie die Zugangsdaten für Zahlungssysteme verwaltet und geteilt werden. Das Teilen von Datenbankpasswörtern oder API-Schlüsseln für Zahlungsverarbeitungssysteme per E-Mail oder unverschlüsselten Kanälen verstößt gegen den Geist – und oft den Buchstaben – der PCI-DSS-Anforderungen an starke Zugriffskontrollen und Verschlüsselung.
Wie Vaulted PCI-DSS verwendet
Vaulted unterstützt PCI-DSS-Compliance, indem es einen verschlüsselten, ephemeren Kanal zum Teilen von Zugangsdaten für Zahlungssysteme und Cardholder-Data-Environments bietet. Wenn Teams Datenbankzugangsdaten, API-Schlüssel von Zahlungs-Gateways oder Zugriffstoken für PCI-relevante Systeme teilen müssen, stellt Vaulted sicher, dass die Daten clientseitig mit AES-256-GCM verschlüsselt werden, bevor sie übertragen werden, und nach der Nutzung automatisch gelöscht werden. Das entspricht PCI-DSS-Anforderung 4 (Daten im Transport verschlüsseln) und Anforderung 7 (Zugriff nach Notwendigkeit einschränken), indem persistente Klartext-Geheimnisse aus E-Mails durch selbstzerstörende, Zero-Knowledge-Links ersetzt werden.