Skip to content

Erklären Sie die PCI-DSS-Grundlagen: was es schützt, für wen es gilt und die Reduzierung des Geltungsbereichs.

Kurzantwort

PCI DSS (Payment Card Industry Data Security Standard) ist ein vom PCI Security Standards Council gepflegter Sicherheitsstandard, der für jede Organisation gilt, die Karteninhaberdaten speichert, verarbeitet oder übermittelt. Er ist um Kontrollziele herum aufgebaut, die ein sicheres Netzwerk, den Schutz gespeicherter Karteninhaberdaten, das Schwachstellenmanagement, eine starke Zugriffskontrolle, Überwachung/Tests und eine Informationssicherheitsrichtlinie abdecken. Der Geltungsbereich ist alles im cardholder data environment (CDE) — daher sind Segmentierung, Tokenisierung und das Nichtspeichern unnötiger Daten die wichtigsten Wege, ihn zu verkleinern.

PCI DSS ist ein vertraglicher Standard, der von den großen Kartenmarken auferlegt und vom PCI Security Standards Council gepflegt wird. Es ist kein Gesetz, aber ein Verstoß kann Geldstrafen und den Verlust der Fähigkeit, Karten zu verarbeiten, bedeuten. Interviewer stellen diese Frage, um zu bestätigen, dass Sie den Geltungsbereich verstehen — das, was den größten Teil der Kosten und Mühe verursacht.

Was es schützt und wen es abdeckt

PCI DSS schützt Karteninhaberdaten (die primäre Kontonummer und zugehörige Daten) und sensible Authentifizierungsdaten (wie den CVV und die vollständigen Magnetstreifen-/Chip-Daten). Es gilt für jeden Händler oder Dienstleister, der diese Daten speichert, verarbeitet oder übermittelt — vom Tante-Emma-Laden bis zum globalen Zahlungsabwickler.

Der Standard gruppiert die Anforderungen unter weit gefassten Zielen: ein sicheres Netzwerk aufbauen und unterhalten, gespeicherte Karteninhaberdaten schützen, ein Schwachstellenmanagement-Programm unterhalten, eine starke Zugriffskontrolle umsetzen, Netzwerke regelmäßig überwachen und testen sowie eine Informationssicherheitsrichtlinie unterhalten.

Händlerstufen und Validierung

Händler werden anhand ihres jährlichen Transaktionsvolumens in Stufen eingeteilt. Händler mit geringem Volumen führen typischerweise eine Selbstbewertung mit einem Self-Assessment Questionnaire (SAQ) durch; solche mit hohem Volumen benötigen einen externen Qualified Security Assessor und einen Report on Compliance.

Reduzierung des Geltungsbereichs

Die am günstigsten zu schützenden Daten sind die, die Sie nie aufbewahren. Wichtige Techniken:

  • Nicht speichern, was Sie nicht brauchen — niemals sensible Authentifizierungsdaten nach der Autorisierung aufbewahren.
  • Tokenisierung — Kartennummern durch nicht sensible Token ersetzen.
  • Segmentierung — das cardholder data environment isolieren, damit der Rest des Netzwerks außerhalb des Geltungsbereichs liegt.

Warum das wichtig ist

Eine starke Antwort beginnt mit Geltungsbereich und Segmentierung und weiß, dass der CVV nach der Autorisierung niemals gespeichert werden darf. Das signalisiert jemanden, der die PCI-Last einer Organisation tatsächlich senken kann, nicht sie nur beschreibt.

Wahrscheinliche Anschlussfragen

  • Warum darf der CVV/CVV2 nach der Autorisierung nicht gespeichert werden?
  • Wie reduziert die Netzwerksegmentierung den PCI-DSS-Geltungsbereich und den Prüfaufwand?
  • Was ist der Unterschied zwischen einem SAQ und einem Report on Compliance (RoC)?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.