Für Finanzdienstleister ist es von größter Bedeutung, bequeme und nahtlose Zahlungen zu ermöglichen und gleichzeitig sensible Kundeninformationen zu schützen. Im Jahr 2006 gründete eine Gruppe von Anbietern das Payment Card Industry Security Standards Council, ein globales Forum, das Richtlinien und Standards zur Sicherung von Zahlungen und Karteninhaberdaten entwickeln und pflegen soll. Der Payment Card Industry Data Security Standard (PCI DSS) des Rates sammelt diese Richtlinien und dient als wichtige Referenz für Finanzdienstleistungsorganisationen, die angesichts einer steigenden Flut von Cyberbedrohungen die PCI DSS einhalten möchten.
Im März 2024 ist die Version 4.0 des PCI DSS, in Kraft getreten. Während einige 4.0-Anforderungen sofort wirksam waren, wird der Großteil erst ab dem 31. Märzst 2025 durchsetzbar sein. Das bedeutet, dass für Finanzdienstleistungsunternehmen, die noch Klarheit über die Anforderungen und deren Erfüllung benötigen, noch wertvolle Monate verbleiben, um ihre Sicherheitsinfrastruktur zu stärken und zu modernisieren.
Dieser Blogbeitrag soll die wichtigsten Fragen rund um PCI DSS 4.0 beantworten, einschließlich:
- Was sind die Ziele dieses Updates?
- Wie wirken sich die aktualisierten Anforderungen auf die Authentifizierung aus?
- Wie kann eine moderne Identity-Lösung wie Okta die identitätsbezogenen Anforderungen von PCI DSS unterstützen?
Was sind die Ziele von PCI DSS 4.0?
PCI DSS 4.0 wurde entwickelt, um das erklärte Ziel des PCI Security Standards Council zu fördern, sensible Verbraucherinformationen im Kontext der Verwendung von Zahlungskarten in digitalen Umgebungen zu schützen. Während frühere Versionen des PCI DSS voller strenger Standards und Regeln für die Zahlungssicherheit waren, deckte die dramatische Verlagerung zum E-Commerce während und nach COVID-19 verbleibende Schwachstellen auf, die behoben werden mussten, insbesondere in einem Umfeld, das von zunehmenden Cyberangriffen geprägt ist.
Die Ziele von PCI DSS 4.0 lassen sich in vier breite Kategorien einteilen.
| ZIELE VON PCI DSS 4.0 | |||
Die Sicherheitsanforderungen der Zahlungsbranche erfüllen | Fördern Sie Sicherheit als fortlaufenden Prozess | Erhöhen Sie die Flexibilität für verschiedene Methoden zur Erreichung der Sicherheit | Verbessern Sie die Validierungsmethoden und -verfahren |
Die Bedrohungslandschaft hat sich in den letzten Jahren dramatisch verändert, was bedeutet, dass sich der PCI DSS mithilfe neuer und/oder erweiterter Anforderungen in Bezug auf Multi-Faktor-Authentifizierung (MFA), Passwörter, E-Commerce und Phishing-Resistenz anpassen muss. | Effektive Sicherheit ist keine einmalige Aufgabe, sondern eine fortlaufende Praxis. PCI DSS zielt darauf ab, dies durch detaillierte Anforderungen (jeweils mit klar zugewiesenen Rollen und Verantwortlichkeiten) und robuste Anleitungen zur Implementierung zu erreichen. | Verschiedene Wege zu mehr Sicherheit zu ermöglichen, fördert Innovation und eine breite Akzeptanz. PCI DSS zielt darauf ab, diese Ziele durch gezielte Risikoanalysen, kundenspezifische Ansätze und zusätzliche Optionen zur Erfüllung von Sicherheitszielen durch innovative Methoden zu unterstützen. | Klare Validierungs- und Berichtsoptionen gewährleisten Transparenz und granulare Genauigkeit von Finanzdienstleistern. PCI DSS zielt darauf ab, die Übereinstimmung zwischen der Sicherheitsinfrastruktur von Organisationen und dem vollständigen Bild dieser Infrastruktur, das von den Aufsichtsbehörden gespeichert wird, zu erhöhen. |
Wie wurden die Authentifizierungsanforderungen aktualisiert?
Ein Bereich mit bedeutenden Änderungen innerhalb des PCI DSS 4.0 betrifft die Authentifizierung – die Sicherstellung, dass ein bestimmter Benutzer der ist, der er vorgibt zu sein, und die entsprechende Erlaubnis zum Zugriff auf sensible Materialien. Dies ist eine allgemeine Zusammenfassung der wichtigsten authentifizierungsbezogenen Änderungen, die im aktualisierten PCI DSS 4.0 enthalten sind.
- MFA ist jetzt eine Anforderung für interne und externe Netzwerke.
- Die Mindestlänge von Passwörtern beträgt jetzt 12 (im Vergleich zum vorherigen Minimum von 7).
- In Ermangelung von MFA-Funktionen müssen Passwörter jetzt alle 90 Tage aktualisiert werden, um die Bedrohung durch Anmeldedatendiebstahl zu mindern.
- Gemeinsame und generische Konten sind jetzt für Organisationen zulässig, die ein Privileged Access Management implementiert haben.
Ein genauerer Blick: Anforderung 8 und MFA
PCI DSS 4.0 enthält 13 umfassende Anforderungen, von denen sich eine ausschließlich auf Identity konzentriert. Anforderung Nr. 8 verpflichtet Organisationen, jeder „Person mit Zugriff“ eine eindeutige Identity zuzuweisen, um sicherzustellen, dass Aktionen in Bezug auf kritische Daten und Systeme von bekannten und autorisierten Benutzern ausgeführt und zu diesen zurückverfolgt werden können.
Sofern nicht anders angegeben, gelten diese Anforderungen für alle Konten, einschließlich Kassenkonten, Verwaltungskonten und alle Konten, die zum Anzeigen oder Abrufen von Zahlungskontodaten verwendet werden. Diese Anforderungen gelten nicht für Konten, die von Verbrauchern (Karteninhabern) genutzt werden.
Okta unterstützt die Einhaltung aller Aspekte von Anforderung 8. Tatsächlich verfügt Okta für jeden Unterabschnitt über mindestens eine Funktion, die eine stärkere und sicherere Authentifizierung unterstützt.
Unterabschnitt | Anforderung | Okta-Funktionen und -Vorteile |
8.1 | Prozesse und Mechanismen zur Identifizierung von Benutzern und zur Authentifizierung des Zugriffs auf Systemkomponenten sind definiert und verstanden. | Okta Identity Governance bietet eine einheitliche Lösung, die die Sicherheitslage eines Unternehmens verbessert und gleichzeitig die Zugriffsverwaltung verbessert – und so sicherstellt, dass die richtigen Benutzer zur richtigen Zeit auf die richtigen Ressourcen zugreifen können. Viele Unternehmen haben keine Transparenz in Bezug auf die Ausweitung von Identity und Zugriff in ihrem Unternehmen. Dies erschwert es Sicherheitsteams zu überprüfen, ob Kontrollen ordnungsgemäß implementiert sind, da ihnen tiefe Einblicke und Risikoanalysen in den komplexen Cloud- und SaaS-Umgebungen fehlen. Aus diesem Grund hat Okta Okta Identity Security Posture Management eingeführt. |
8.2 | Die Benutzeridentifizierung und die zugehörigen Konten für Benutzer und Administratoren werden während des gesamten Lebenszyklus eines Kontos streng verwaltet. | Okta Lifecycle Management automatisiert die Benutzerbereitstellung/-debereitstellung über Anwendungen und Cloud-Verzeichnisse hinweg, um die Benutzeridentität und den Zugriff an einem zentralen Ort zu verwalten. |
8.3 | Eine starke Authentifizierung für Benutzer und Administratoren ist eingerichtet und wird verwaltet. | Adaptive MFA verwendet eine starke Authentifizierung, um den Zugriff auf Ressourcen mit zwei oder mehr hochsicheren Authentifizierungsfaktoren zu schützen, einschließlich Phishing-resistenten Faktoren, sodass Unternehmen ihre Authentifizierungsrichtlinien flexibel durchsetzen können, um ihre Bedürfnisse und Anforderungen zu erfüllen. |
8.4 | MFA ist implementiert, um den Zugriff auf die Cardholder Data Environment (CDE) zu sichern. | |
8.5 | MFA-Systeme sind so konfiguriert, dass Missbrauch verhindert wird. | |
8.6 | Die Nutzung von Anwendungs- und Systemkonten sowie der zugehörigen Authentifizierungsfaktoren wird streng kontrolliert. |
Funktions-Spotlight: Okta Privileged Access Management
Um die doppelten Ziele der Stärkung der Sicherheit und der Ermöglichung flexiblerer Methoden zur Erreichung dieser Stärke zu unterstützen, erlaubt PCI DSS 4.0 Organisationen, gemeinsam genutzte Gruppen- und generische Konten zu erstellen, wenn und nur wenn sie Privileged Access Management implementiert haben.
Okta Privileged Access ermöglicht es Sicherheitsadministratoren, den exklusiven Zugriff auf privilegierte Ressourcen wie Server zu steuern. Es ermöglicht Ihnen auch, die Verwendung gemeinsam genutzter Konten einzuschränken, den erweiterten Zugriff für einen bestimmten Zeitraum bereitzustellen und ephemere Zertifikate anstelle von Benutzer-IDs und Passwörtern zu verwenden. Darüber hinaus können Sie MFA als Teil der Richtlinie erweitern, um auf diese Ressourcen zuzugreifen. Diese Ebene der identitätsbasierten Sicherheit ermöglicht es, die individuelle Verantwortlichkeit innerhalb gemeinsam genutzter privilegierter Konten zu bestimmen, was die Sicherheit für diese privilegierten Ressourcen erhöht.
Funktions-Spotlight: Okta Identity Security Posture Management
Die Ausweitung von Identität und Zugriff hat sich zu einer weitläufigen, nicht verwalteten Angriffsfläche entwickelt, die von teilweise nicht eingebundenen Benutzern, überprovisionierten Identitäten und ungenutzten und riskanten Berechtigungen übersät ist.
Diese prekäre Realität setzt Organisationen böswilligen Zugriffen durch Phishing sowie gestohlenen Zugangsdaten und Kontoübernahmen aus, was die Zeit und Ressourcen der Sicherheitsteams,die mit ihrem Schutz beauftragt sind, stark beansprucht.
Unsere Lösung ist ein einzelnes, optimiertes Angebot, das Identity-Transparenz, -Verwaltung und -Behebung automatisiert. Dies bietet einen „One-Stop-Shop“ für die Identifizierung und Priorisierung von Identity-Risiken. Darüber hinaus verknüpfen die beispiellosen Kontextualisierungsfunktionen des Produkts alle Benutzerkonten mit ihren erforderlichen Berechtigungen, Aktivitäten und Phasen im Mitarbeiterlebenszyklus, um Bedrohungen zu mindern und die Compliance sicherzustellen. Dazu gehört die Identifizierung von Konten mit erweitertem Zugriff und solchen, für die keine MFA konfiguriert ist.
Okta: Ihre Geheimwaffe, um mit regulatorischen Änderungen Schritt zu halten
Finanzdienstleister haben bis zum 31. März2025 Zeit, die oben genannten Anforderungen zu erfüllen, was bedeutet, dass nicht mehr viel Zeit bleibt, um die Reife ihrer Sicherheitsinfrastruktur auf breiter Front zu verbessern. Die Lösungen von Okta können eine entscheidende Rolle bei dieser Weiterentwicklung spielen, indem sie Ihre Identity-Funktion sichern und modernisieren, um Industriestandards zu erfüllen und Kundeninformationen zu schützen.
Wenn Sie eine Anleitung zur Verbesserung Ihrer Identity Maturity suchen, wenden Sie sich an unser Team, um eine Bewertung zu erhalten.
Haftungsausschluss: Diese Materialien und alle darin enthaltenen Empfehlungen stellen keine Rechts-, Datenschutz-, Sicherheits-, Compliance- oder Geschäftsberatung dar. Diese Materialien dienen nur allgemeinen Informationszwecken und spiegeln möglicherweise nicht die aktuellsten Sicherheits-, Datenschutz- und Rechtsentwicklungen oder alle relevanten Themen wider. Sie sind dafür verantwortlich, Rechts-, Sicherheits-, Datenschutz-, Compliance- oder Geschäftsberatung von Ihrem eigenen Anwalt oder einem anderen professionellen Berater einzuholen, und sollten sich nicht auf die hierin enthaltenen Empfehlungen verlassen. Okta haftet Ihnen gegenüber nicht für Verluste oder Schäden, die aus Ihrer Implementierung von Empfehlungen in diesen Materialien entstehen können. Okta gibt keine Zusicherungen, Gewährleistungen oder sonstigen Zusicherungen in Bezug auf den Inhalt dieser Materialien. Informationen zu den vertraglichen Zusicherungen von Okta gegenüber seinen Kunden finden Sie unter okta.com/agreements.
