PCI DSS & Penetrationstests

PCI DSS: Was ist das?

Der Payment Card Industry Data Security Standard (PCI DSS) ist ein weltweiter Sicherheitsstandard für Unternehmen, die Kreditkarten-, Debitkarten- oder andere Zahlungskartendaten verarbeiten, speichern oder übertragen. Er wird vom PCI Security Standards Council (PCI SSC) verwaltet und von allen grossen Kartennetzwerken (Visa, Mastercard, American Express, Discover, JCB) unterstützt.

Die aktuelle Version PCI DSS 4.0, veröffentlicht im März 2022, bringt wesentliche Änderungen gegenüber der Vorgängerversion 3.2.1. Besonders wichtig: PCI DSS 4.0 legt verstärkt Wert auf kontinuierliche Sicherheit statt punktueller Prüfungen.

Requirement 11.4: Penetrationstests

PCI DSS 4.0 fordert in Requirement 11.4 regelmässige Penetrationstests:

• 11.4.1: Ein Penetrationstest-Ansatz muss definiert, dokumentiert und implementiert werden.
• 11.4.2: Pentests müssen mindestens einmal jährlich und nach signifikanten Änderungen durchgeführt werden.
• 11.4.3: Pentests müssen sowohl aus dem internen Netzwerk als auch aus dem externen Netzwerk erfolgen.
• 11.4.4: Testing muss sowohl Anwendungen als auch Netzwerkschichten abdecken.
• 11.4.5: Segmentationstests müssen durchgeführt werden, wenn das CDE (Cardholder Data Environment) segmentiert ist.
• 11.4.6: Wiederverwendbare Credentials für Test-Accounts müssen vor dem Test geändert werden.
• 11.4.7: Exploitation von Schwachstellen muss dokumentiert werden, ausser sie gefährden das Produktivsystem.

Scope: Was muss getestet werden?

Der Scope eines PCI-DSS-Pentests umfasst das Cardholder Data Environment (CDE) und alle Systeme, die eine Verbindung zum CDE haben oder dessen Sicherheit beeinflussen können. Das CDE umfasst:

• Systeme, die Karteninhaberdaten (CHD) verarbeiten, speichern oder übertragen
• Systeme, die direkt mit dem CDE verbunden sind
• Systeme, die Sicherheitsdienste für das CDE bereitstellen (z.B. Firewall, IDS, Authentication)
• Systeme, die die Konfiguration oder Sicherheit des CDE beeinflussen

Die korrekte Scope-Definition ist kritisch: Ein zu kleiner Scope führt zu Compliance-Verstössen, ein zu grosser Scope zu unnötigen Kosten.

ASV-Scan vs. Pentest

PCI DSS verlangt neben dem Pentest auch ASV-Scans (Approved Scanning Vendor). Der ASV-Scan ist ein automatisierte Schwachstellen-Scan der externen IP-Adressen, der vierteljährlich durchgeführt werden muss. Ein ASV-Scan ist kein Pentest – er findet bekannte Schwachstellen, aber keine komplexen Angriffspfade oder Business-Logic-Fehler.

Für die vollständige PCI-DSS-Compliance benötigen Sie beides: ASV-Scans (vierteljährlich, automatisiert) und Pentests (jährlich, manuell).