FROM THE NEWS
Erreichen Sie die PCI DSS-Compliance mit SystoLOCK
Das Security Standards Council for Payment Card Industry (PCI) hat kürzlich die aktualisierte Version seines Datensicherheitsstandards (Data Security Standard, DSS) zum Schutz von Zahlungskartendaten vorgestellt. In dieser neuesten Version werden viele neue oder überarbeitete Vorschriften eingeführt, darunter neue Richtlinien zu Passwörtern und zur Multi-Faktor-Authentifizierung (MFA).
Roman Kuznetsov @ 22.08.2023
Follow Roman Kuznetsov on LinkedIn
Die 2004 eingeführten PCI DSS-Richtlinien gelten für alle Unternehmen, die Daten von Karteninhabern speichern, verarbeiten oder übermitteln. Organisationen, die die Einhaltung des PCI DSS nachweisen wollen, unterziehen sich Zertifizierungen und Tests für alle Systeme, die mit der Umgebung der Karteninhaber interagieren.
Im März 2022 kündigte der Rat die Veröffentlichung von PCI DSS Version 4.0 an, die Richtlinien zur Verbesserung der Sicherheit von Kontoinhaber- und Zahlungskartendaten in der heutigen dynamischen Cyber-Bedrohungslandschaft enthält. Die bestehende Version 3.2.1 soll im März 2024 offiziell außer Kraft treten. Danach müssen die Unternehmen die Richtlinien der Version 4.0 innerhalb von zwölf Monaten umsetzen.
Während Version 4.0 Verbesserungen in verschiedenen Bereichen einführt, bezieht sich ein wesentlicher Teil auf robuste Authentifizierungsvoraussetzungen, insbesondere im Zusammenhang mit der Verwendung von Passwörtern und der Multi-Faktor-Authentifizierung (MFA). Schwache Formen der Authentifizierung setzen Unternehmen und Daten Risiken wie Brute-Force-Angriffen, Credential-Phishing und einer Vielzahl von passwortbezogenen Angriffen aus. Ein Verständnis dieser neuen Bestimmungen ist für die Einhaltung des PCI DSS unerlässlich.
Kennwort-Vorschriften in PCI DSS 4.0
Zu den wesentlichen Änderungen in PCI DSS Version 4 gehört die Einführung sehr strenger Spezifikationen für Passwörter. Die Passwort-Bestimmungen des PCI DSS 4.0 (Abschnitte 8.3.4-8.3.9) beinhalten:
Passwörter müssen Länge und Komplexität aufweisen: Gemäß den Anforderungen von PCI DSS 4.0 müssen Passwörter aus mindestens 12 Zeichen bestehen. Passwörter müssen alle 90 Tage zurückgesetzt werden und dürfen nicht wiederverwendet werden: Eine Ausnahme ist vorgesehen, wenn eine kontinuierliche, risikobasierte Authentifizierung implementiert wird. Dieser Ansatz beinhaltet eine dynamische Analyse des Sicherheitsstatus von Konten, wodurch automatisch Zugriffsberechtigungen in Echtzeit festgelegt werden.
Die Verwendung längerer Passwörter stellt eine zusätzliche Belastung für die Nutzer dar und erhöht die Wahrscheinlichkeit, dass sie notiert oder unsicher auf den Geräten gespeichert werden. Obligatorische Aktualisierungen führen oft zu einem unsicheren Nutzerverhalten mit kleinen Änderungen, die von Hackern leicht erraten werden können. Außerdem führen diese Voraussetzungen wahrscheinlich zu vermehrten Helpdesk-Anfragen, was die Betriebskosten weiter erhöht.
Obligatorische MFA für den gesamten CDE-Zugang
Unter den PCI DSS 3.2.1-Richtlinien war MFA ausschließlich für Administratoren, die auf die Karteninhaberdatenumgebung (CDE) zugreifen, obligatorisch. Die aktualisierten PCI DSS MFA-Richtlinien (8.4.2) schreiben eine Multi-Faktor-Authentifizierung für alle CDE-Zugriffsinstanzen vor. Diese MFA-Anforderungen umfassen verschiedene Systemkomponenten, darunter Cloud-Plattformen, gehostete Systeme, lokale Anwendungen, Netzwerksicherheitsgeräte, Workstations, Server und Endpunkte.
Die neuen Vorschriften betonen die Notwendigkeit der Multi-Faktor-Authentifizierung für jede Instanz des CDE-Zugangs. Dies führt zu erheblichen Reibungsverlusten für die Mitarbeiter, die sich auf die Produktivität und die Mitarbeiterzufriedenheit auswirken können. Darüber hinaus verfügt die Mehrheit der Unternehmen nicht über die geeigneten Technologien oder Systeme, um die MFA-Anforderungen für Desktops, Workstations und Server zu erfüllen, selbst wenn sie bereits eine Form von MFA einsetzen.
Universelles MFA-Mandat für Fernzugriff
Früher war MFA nur für den Fernzugriff auf die Karteninhaberdatenumgebung erforderlich. Mit den aktualisierten PCI DSS MFA-Richtlinien muss jede Person, die sich von außerhalb des gesicherten Netzwerks anmeldet, auch wenn sie nicht direkt auf das CDE zugreift, eine Multi-Faktor-Authentifizierung verwenden. Dies gilt für alle Mitarbeiter - Benutzer und Administratoren - ebenso wie für Dritte und Anbieter. Darüber hinaus ist für jeden webbasierten Zugriff, selbst für Mitarbeiter vor Ort, eine MFA erforderlich.
Das bedeutet, dass Ihre gesamte Belegschaft, ob remote, hybrid oder mit externer Unterstützung, jederzeit MFA nutzen muss. Darüber hinaus ist die Einführung von MFA für alle Mitarbeiter erforderlich, die webbasierte Anwendungen für den Zugriff auf Netzwerke und Systeme nutzen, unabhängig davon, ob sie vor Ort sind. Abgesehen von den Kosten und dem IT-Overhead, die mit der Implementierung von MFA verbunden sind, können schwerfällige MFA-Verfahren sowohl die Effizienz als auch die Zufriedenheit der Mitarbeiter beeinträchtigen.
So erreichen Sie PCI DSS 4.0 Konformität mit SystoLOCK
Das neue PCI DSS-Framework ist nun enger mit den NIST SP 800-63B Digital Identity Guidelines, den CISA-Richtlinien und anderen Regulierungsbehörden abgestimmt, die die Einführung von phishing-resistenter MFA und einem Zero Trust-Authentifizierungsansatz befürworten.
SystoLOCK unterstützt Organisationen bei der Erfüllung der PCI DSS MFA-Voraussetzungen sowie verschiedener anderer Bestimmungen innerhalb des Standards. SystoLOCK ersetzt den konventionellen passwortzentrierten und einen 2FA-Ansatz durch eine sichere passwortlose Authentifizierung. Viele Elemente der Lösung, darunter biometrische Authentifizierung, vertrauenswürdiger Gerätebesitz und kryptografisch gesicherte Token, gewährleisten eine robuste, phishing-resistente Multi-Faktor-Authentifizierung in Übereinstimmung mit den PCI DSS-Anforderungen.
Darüber hinaus verbessert SystoLOCK die Benutzererfahrung erheblich, indem es die Notwendigkeit komplizierter Passwörter eliminiert und die Multi-Faktor-Authentifizierung auf eine einzige Benutzeraktion reduziert.
Wenn Sie wissen möchten, wie SystoLOCK Ihrem Unternehmen helfen kann, die Anforderungen von PCI DSS 4.0 zu erfüllen, wenden Sie sich bitte an einen unserer Experten.
Im März 2022 kündigte der Rat die Veröffentlichung von PCI DSS Version 4.0 an, die Richtlinien zur Verbesserung der Sicherheit von Kontoinhaber- und Zahlungskartendaten in der heutigen dynamischen Cyber-Bedrohungslandschaft enthält. Die bestehende Version 3.2.1 soll im März 2024 offiziell außer Kraft treten. Danach müssen die Unternehmen die Richtlinien der Version 4.0 innerhalb von zwölf Monaten umsetzen.
Während Version 4.0 Verbesserungen in verschiedenen Bereichen einführt, bezieht sich ein wesentlicher Teil auf robuste Authentifizierungsvoraussetzungen, insbesondere im Zusammenhang mit der Verwendung von Passwörtern und der Multi-Faktor-Authentifizierung (MFA). Schwache Formen der Authentifizierung setzen Unternehmen und Daten Risiken wie Brute-Force-Angriffen, Credential-Phishing und einer Vielzahl von passwortbezogenen Angriffen aus. Ein Verständnis dieser neuen Bestimmungen ist für die Einhaltung des PCI DSS unerlässlich.
Kennwort-Vorschriften in PCI DSS 4.0
Zu den wesentlichen Änderungen in PCI DSS Version 4 gehört die Einführung sehr strenger Spezifikationen für Passwörter. Die Passwort-Bestimmungen des PCI DSS 4.0 (Abschnitte 8.3.4-8.3.9) beinhalten:
Passwörter müssen Länge und Komplexität aufweisen: Gemäß den Anforderungen von PCI DSS 4.0 müssen Passwörter aus mindestens 12 Zeichen bestehen. Passwörter müssen alle 90 Tage zurückgesetzt werden und dürfen nicht wiederverwendet werden: Eine Ausnahme ist vorgesehen, wenn eine kontinuierliche, risikobasierte Authentifizierung implementiert wird. Dieser Ansatz beinhaltet eine dynamische Analyse des Sicherheitsstatus von Konten, wodurch automatisch Zugriffsberechtigungen in Echtzeit festgelegt werden.
Die Verwendung längerer Passwörter stellt eine zusätzliche Belastung für die Nutzer dar und erhöht die Wahrscheinlichkeit, dass sie notiert oder unsicher auf den Geräten gespeichert werden. Obligatorische Aktualisierungen führen oft zu einem unsicheren Nutzerverhalten mit kleinen Änderungen, die von Hackern leicht erraten werden können. Außerdem führen diese Voraussetzungen wahrscheinlich zu vermehrten Helpdesk-Anfragen, was die Betriebskosten weiter erhöht.
Obligatorische MFA für den gesamten CDE-Zugang
Unter den PCI DSS 3.2.1-Richtlinien war MFA ausschließlich für Administratoren, die auf die Karteninhaberdatenumgebung (CDE) zugreifen, obligatorisch. Die aktualisierten PCI DSS MFA-Richtlinien (8.4.2) schreiben eine Multi-Faktor-Authentifizierung für alle CDE-Zugriffsinstanzen vor. Diese MFA-Anforderungen umfassen verschiedene Systemkomponenten, darunter Cloud-Plattformen, gehostete Systeme, lokale Anwendungen, Netzwerksicherheitsgeräte, Workstations, Server und Endpunkte.
Die neuen Vorschriften betonen die Notwendigkeit der Multi-Faktor-Authentifizierung für jede Instanz des CDE-Zugangs. Dies führt zu erheblichen Reibungsverlusten für die Mitarbeiter, die sich auf die Produktivität und die Mitarbeiterzufriedenheit auswirken können. Darüber hinaus verfügt die Mehrheit der Unternehmen nicht über die geeigneten Technologien oder Systeme, um die MFA-Anforderungen für Desktops, Workstations und Server zu erfüllen, selbst wenn sie bereits eine Form von MFA einsetzen.
Universelles MFA-Mandat für Fernzugriff
Früher war MFA nur für den Fernzugriff auf die Karteninhaberdatenumgebung erforderlich. Mit den aktualisierten PCI DSS MFA-Richtlinien muss jede Person, die sich von außerhalb des gesicherten Netzwerks anmeldet, auch wenn sie nicht direkt auf das CDE zugreift, eine Multi-Faktor-Authentifizierung verwenden. Dies gilt für alle Mitarbeiter - Benutzer und Administratoren - ebenso wie für Dritte und Anbieter. Darüber hinaus ist für jeden webbasierten Zugriff, selbst für Mitarbeiter vor Ort, eine MFA erforderlich.
Das bedeutet, dass Ihre gesamte Belegschaft, ob remote, hybrid oder mit externer Unterstützung, jederzeit MFA nutzen muss. Darüber hinaus ist die Einführung von MFA für alle Mitarbeiter erforderlich, die webbasierte Anwendungen für den Zugriff auf Netzwerke und Systeme nutzen, unabhängig davon, ob sie vor Ort sind. Abgesehen von den Kosten und dem IT-Overhead, die mit der Implementierung von MFA verbunden sind, können schwerfällige MFA-Verfahren sowohl die Effizienz als auch die Zufriedenheit der Mitarbeiter beeinträchtigen.
So erreichen Sie PCI DSS 4.0 Konformität mit SystoLOCK
Das neue PCI DSS-Framework ist nun enger mit den NIST SP 800-63B Digital Identity Guidelines, den CISA-Richtlinien und anderen Regulierungsbehörden abgestimmt, die die Einführung von phishing-resistenter MFA und einem Zero Trust-Authentifizierungsansatz befürworten.
SystoLOCK unterstützt Organisationen bei der Erfüllung der PCI DSS MFA-Voraussetzungen sowie verschiedener anderer Bestimmungen innerhalb des Standards. SystoLOCK ersetzt den konventionellen passwortzentrierten und einen 2FA-Ansatz durch eine sichere passwortlose Authentifizierung. Viele Elemente der Lösung, darunter biometrische Authentifizierung, vertrauenswürdiger Gerätebesitz und kryptografisch gesicherte Token, gewährleisten eine robuste, phishing-resistente Multi-Faktor-Authentifizierung in Übereinstimmung mit den PCI DSS-Anforderungen.
Darüber hinaus verbessert SystoLOCK die Benutzererfahrung erheblich, indem es die Notwendigkeit komplizierter Passwörter eliminiert und die Multi-Faktor-Authentifizierung auf eine einzige Benutzeraktion reduziert.
Wenn Sie wissen möchten, wie SystoLOCK Ihrem Unternehmen helfen kann, die Anforderungen von PCI DSS 4.0 zu erfüllen, wenden Sie sich bitte an einen unserer Experten.