Sep
26
2011

Wann ist meine Archivierung von Dokumenten mit Kreditkartendaten compliant?

Logo des PCI Security Standards Concil

Logo des PCI Security Standards Concil

Der PCI-Datensicherheitsstandard (DSS) wurde entwickelt, um die Datensicherheit von Karteninhabern zu verbessern und die umfassende Akzeptanz einheitlicher Datensicherheitsmaßnahmen auf der ganzen Welt zu vereinfachen. Dieser liefert grundlegende technische und betriebliche Anforderungen zum Schutz von Karteninhaberdaten. Der PCI-DSS gilt für alle Einrichtungen, die an der Verarbeitung von Zahlungskarten beteiligt sind – einschließlich Vertragsunternehmen, EDV-Dienstleistern, abrechnenden Stellen, Kartenemittenten und Dienstleistern – sowie anderen Stellen, die Karteninhaberdaten speichern, verarbeiten oder übertragen. Dies ist entsprechend Version 2.0 von Oktober 2010 verbindlich .

Vermutlich werden nur wenige Blog-Leser einen genaueren Blick in diesen Standard geworfen haben. Schließlich geht es in diesem Blog u.A. um die Archivierung von Dokumenten und nicht um die Speicherung von Kartendaten. Doch nach all den Skandalen der letzten Monate (z.B.Kurierdienst im Visier, Datenpanne führt zur Sperrung von Kreditkarten) sollte man sich etwas genauer fragen, ob man vielleicht doch selbst mit Kreditkartendaten arbeitet und die Daten speichert – vielleicht auch nur als Information auf einem eingescannten Dokument.

Logo der Freudenber IT

Logo der Freudenber IT

Wir haben uns als Freudenberg IT, langjähriger Partner der SAPERION, genauer mit dem Thema beschäftigt und uns vor allem der Herausforderung gestellt, ein SAPERION Version 6 System mit unterschiedlichsten Szenarien PCI-konform aufzusetzen und zu betreiben.

Schutzmethoden wie Verschlüsselung, Abkürzung, Maskierung und Hashing sind kritische Bestandteile des Schutzes von Karteninhaberdaten, die es einzuhalten gilt. Neben vielen organisatorischen Anforderungen sind im Rahmen der SAPERION-Einführung folgende Punkte zu beachten:

  • Dokumente mit Karteninhaberdaten müssen verschlüsselt abgelegt werden
  • Der Zugriff auf kryptographische Schlüssel muss auf einen Kreis von Schlüsselbeauftragten eingeschränkt werden und die Verteilung von und der Zugriff auf Schlüssel muss gesichert sein
  • Es sind sichere kryptographische Schlüssel zu verwenden. SHA-1 ist ein Beispiel für einen von der Branche getesteten und akzeptierten Hashing-Algorithmus. Zu den branchenweit getesteten und akzeptierten Standards- und Algorithmen für die Verschlüsselung gehören zudem AES (128 Bit und höher), TDES (Schlüssel von mindestens doppelter Länge), RSA (1024 Bit und höher), ECC (160 Bit und höher) und EIGamal (1024 Bit und höher); eine einfache Blowfish-Verschlüsselung reicht allerdings nicht aus
  • Die Kommunikation zwischen Client und Server muss verschlüsselt sein
  • Das Temp-Verzeichnis des Scan-Clients muss verschlüsselt werden, um einen ungeschützten Zugriff auf temporär, lokal gespeicherte Daten zu vermeiden.
  • Werden Daten per SFTP mit Saperion ausgetauscht, so müssen diese in einem verschlüsselten Festplattenbereich zwischengespeichert werden.
  • Es muss möglich sein, die kryptographischen Schlüssel zu wechseln. Wird ein serverseitiger Schlüssel für alle Dokumente verwendet und wird dieser gewechselt, bedeutet dies, dass alle bereits verschlüsselten Dokumente entschlüsselt und mit dem neuen Schlüssel verschlüsselt werden müssen.

All diese Anforderungen haben wir im Projekt umgesetzt.  Zusätzlich wird der Zugriff auf verschlüsselte Dokumente überwacht und bei Überschreitung einer definierten Anzahl von Zugriffen eine Information an die Sicherheitsverantwortlichen Personen gesendet. Dort, wo Standardfunktionen von SAPERION nicht reichten, haben wir die notwendigen Ergänzungen implementiert.

Was sagt die Welt da draußen? Sind Sie sich nicht sicher, ob Sie vielleicht doch Kreditkarteninformationen in Dokumenten speichern? Gehen Sie entsprechend dem PCI-konform mit dem Thema um? Ist das Thema für Sie relevant oder haben Sie bereits eigene Erfahrungen mit dem Thema PCI gesammelt?

Bei Interesse freue ich mich auf Ihren Kontakt: beate.keller[at]freudenberg-it.com

Post to Twitter Post to Delicious Post to Digg Post to Facebook Post to MySpace

Download PDF

No Comments »

RSS feed for comments on this post. TrackBack URL

Leave a comment


1 × = eight

Theme: TheBuckmaker.com Web Templates | Bankwechsel Umschuldung, Iplexx IT Solutions