Sicherung von Finanztransaktionen am Rand:

Verwendung von Robustel-Routern in PCI DSS-konformen Anwendungen

Weißbuch – Zusammenfassung

Kurz

Jedes Point-of-Sale-Unternehmen (POS) ist für den Schutz sensibler Karteninhaberdaten verantwortlich. Die Nichteinhaltung des PCI DSS (Payment Card Industry Data Security Standard) kann zu hohen Geldstrafen, Rufschädigung und sogar zum Verlust der Möglichkeit zur Abwicklung von Kreditkartenzahlungen führen.

Robustel-Router bieten bei ordnungsgemäßer Konfiguration und Überwachung die erforderlichen Sicherheitsfunktionen zur Unterstützung der PCI DSS-Anforderungen. Mit Funktionen wie VLANs, Stateful Firewalls, IP/MAC-Filterung, VPNs, Ereignisprotokollierung und RCMS-basierter Fernverwaltung stellt Robustel sicher, dass Einzelhändler und Dienstleister Kundendaten schützen, Risiken reduzieren und die Compliance in verschiedenen Einsatzumgebungen aufrechterhalten können – von Einzelhandelsgeschäften und Restaurants bis hin zu Geldautomaten und temporären Verkaufsstellen.

Was Sie lernen werden
  • Die Rolle von PCI DSS und warum die Einhaltung dieser Standards für jedes Unternehmen, das Kreditkartendaten verarbeitet, obligatorisch ist.
  • Die grundlegenden PCI DSS-Anforderungen, darunter Firewall-Regeln, starke Authentifizierung, Verschlüsselung, Schwachstellenmanagement und kontinuierliche Überwachung.
  • Warum es so etwas wie einen „PCI-konformen Router“ nicht gibt – und warum die Konformität vom gesamten Zahlungsökosystem abhängt.
  • Wie Robustel-Router durch fortschrittliche Sicherheitsfunktionen wie VLAN-Segmentierung, Firewalling und verschlüsselte Kommunikation zur Einhaltung von Vorschriften beitragen.
  • Praktische Schritte zur Konfiguration und Überwachung, einschließlich Passwortrichtlinien, Firewall-Einrichtung, VLAN-Isolation und externer Protokollierung.

Einführung

Point-of-Sale-Unternehmen (POS) unterliegen strengen Anforderungen hinsichtlich des Schutzes sensibler Kunden- und Unternehmensdaten. Finanzinstitute verlangen, dass jedes Unternehmen, das Kreditkartendaten speichert, verarbeitet oder übermittelt, die PCI-DSS-Standards (Payment Card Industry, Data Security Standards) einhält.

Unternehmen, die sich nicht daran halten, müssen mit Geldstrafen und Gerichtsverfahren rechnen und können sogar von der Verarbeitung von Kreditkarten ausgeschlossen werden. Schlimmer noch: Unternehmen, bei denen es zu Verstößen kommt, können in die Schlagzeilen geraten, was sich erheblich auf ihren Ruf bei Kunden, Partnern und Aktionären auswirkt.

Bei ordnungsgemäßer Konfiguration, Überwachung und Wartung erfüllen Robustel-Geräte die Anforderungen von PCI-DSS 3.0. Zu den aktivierbaren Funktionen gehören VLAN, Stateful Firewall, MAC/IP/URL-Filterung, Authentifizierung/Verschlüsselung, Ereignisprotokollierung, Ereigniswarnungen, Zeitsynchronisation und Konfigurations-/Upgrade-Management über die RCMS-Plattform.

Robustel ist auf Netzwerkverbindungslösungen für den Point-of-Sale-Markt im Einzelhandel spezialisiert. Unsere Produkte werden in verschiedenen POS-Segmenten des Einzelhandels, die Kreditkartentransaktionen verarbeiten, breit eingesetzt, darunter:

  • Einzelhandelsgeschäfte
  • Restaurants & Bars
  • Convenience Stores
  • Cafés
  • Kioske
  • Geldautomaten
  • Standorte
  • Unterhaltungs- und Freizeiteinrichtungen
  • Besondere Veranstaltungen
  • Temporäre Verkaufsstellen

PCI-Sicherheitsstandards

Überblick

Das Ziel der Sicherheitsstandards der Zahlungskartenindustrie (PCI) ist der Schutz der Daten von Karteninhabern. Die Standards werden vom PCI Security Standards Council (SSC) entwickelt und veröffentlicht, dem Hunderte von Branchenvertretern angehören, die ein großes Interesse daran haben, Schwachstellen im Bereich der Kartenverarbeitung zu reduzieren.

Das PCI-SSC wurde von den folgenden fünf globalen Zahlungsmarken gegründet:

  • American Express
  • Discovery Finanzdienstleistungen
  • JCB International
  • MasterCard weltweit
  • Visa, Inc.
Umfang

Das PCI SSC veröffentlicht die folgenden Standards:

PCI-Datensicherheitsstandards (DSS): Gilt für alle Unternehmen, die Karteninhaberdaten speichern, verarbeiten und/oder übertragen. Der Standard umfasst technische und betriebliche Komponenten, die in Karteninhaberdaten enthalten oder mit diesen verbunden sind. Wenn ein Unternehmen Zahlungskarten akzeptiert oder verarbeitet, muss es den PCI DSS einhalten.

Sicherheitsanforderungen für PIN-Transaktionen (PTS): Gilt für Hersteller, die PIN-Terminals (Personal Identification Number) für Finanztransaktionen mit Zahlungskarten entwickeln.

Payment Application Data Security Standards (PA-DSS): Gilt für Softwareentwickler und Integratoren von Anwendungen, die im Rahmen der Autorisierung oder Abrechnung Karteninhaberdaten speichern, verarbeiten oder übertragen.

Point-to-Point-Verschlüsselung (P2PE): Gilt für Händler, um den Umfang ihrer Karteninhaberdatenumgebung und die jährlichen PCI DSS-Bewertungen zu reduzieren.

Einhaltung

Händler, die Kreditkartentransaktionen abwickeln, sind für die Einhaltung des PCI-DSS verantwortlich. Die „PCI-Compliance“ ist erreicht, wenn der Händler (durch externe Audits oder Selbstzertifizierung) erfolgreich nachweist, dass sein gesamtes System und seine Prozesse den 12 Anforderungen des PCI-DSS entsprechen.

Anforderungen

Die Version 3.0 des PCI-DSS wurde im November 2013 veröffentlicht. Der PCI-DSS enthält grundlegende technische und betriebliche Anforderungen zum Schutz der Daten von Karteninhabern. Der PCI-DSS basiert auf den folgenden übergeordneten Zielen und Anforderungen:

Ziele

Anforderungen

Aufbau und Wartung eines sicheren Netzwerks und sicherer Systeme
  • Installieren und pflegen Sie eine Firewall-Konfiguration zum Schutz der Daten von Karteninhabern.
  • Verwenden Sie keine vom Hersteller vorgegebenen Standardwerte für Systemkennwörter und andere Sicherheitsparameter.

Verwenden Sie keine vom Hersteller vorgegebenen Standardwerte für Systemkennwörter und andere Sicherheitsparameter.
  • Schützen Sie gespeicherte Karteninhaberdaten.
  • Verschlüsseln Sie die Übertragung von Karteninhaberdaten über offene, öffentliche Netzwerke.

Ein Programm zum Schwachstellenmanagement aufrechterhalten
  • Schützen Sie alle Systeme vor Malware und aktualisieren Sie regelmäßig Antivirensoftware oder -programme.
  • Entwickeln und warten Sie sichere Systeme und Anwendungen.

Strenge Zugriffskontrollmaßnahmen implementieren
  • Beschränken Sie den Zugriff auf Karteninhaberdaten auf das für den Geschäftsbetrieb erforderliche Maß.
  • Identifizieren und authentifizieren Sie den Zugriff auf Systemkomponenten.
  • Beschränken Sie den physischen Zugriff auf Karteninhaberdaten.

Netzwerke regelmäßig überwachen und testen
  • Verfolgen und überwachen Sie alle Zugriffe auf Netzwerkressourcen und Karteninhaberdaten.
  • Testen Sie regelmäßig Sicherheitssysteme und -prozesse.

Eine Richtlinie zur Informationssicherheit aufrechterhalten
  • Eine Richtlinie zur Informationssicherheit für alle Mitarbeiter aufrechterhalten.
Zertifizierung

Die Standards werden zwar vom PCI SSC vorgegeben, jedoch hat jedes Zahlungskarten-Finanzinstitut sein eigenes Programm zur Einhaltung dieser Standards. Im Allgemeinen kann die Einhaltung der Standards vom Händler durch einen Selbstbewertungsfragebogen (SAQ) oder durch einen qualifizierten Prüfer wie einen QSA (Qualified Security Assessor) oder ASV (Approved Scanning Vendor) zertifiziert werden.

Es liegt in der Verantwortung des Händlers, gemeinsam mit seinem Zahlungskartenfinanzinstitut zu ermitteln, welche Form der Zertifizierung erforderlich ist.

Empfehlungen von Robustel zur PCI-Konformität

Überblick

Das PCI SSC veröffentlicht keine Zertifizierungsstandards für Netzwerkgeräte außer PIN-Eingabeterminals. Daher gibt es auch keine „PCI-konformen Router“.

Um „PCI-konform“ zu werden, muss der Händler sicherstellen, dass sein gesamtes System (POS-Geräte, Netzwerkgeräte, Server, Anwendungen, Richtlinien und Verfahren) den Anforderungen des PCI-DSS 3.0 entspricht. Im Rahmen dieser Gesamtmaßnahme muss der Händler überprüfen, ob seine Netzwerkgeräte (einschließlich Robustel-Geräte) ordnungsgemäß konfiguriert und verwaltet werden, um die allgemeine Konformität mit dem PCI-DSS sicherzustellen.

Robustel hat keinen Einfluss darauf, wie ein Endnutzer einen Robustel-Router konfiguriert und verwaltet. Ebenso hat Robustel keinen Einfluss auf andere Geräte, Server und Anwendungen, die Teil eines End-to-End-Kartenzahlungssystems sind. Daher kann die PCI-Konformität nur vom Händler im Kontext seines gesamten Systems erreicht werden. Der Händler ist auch dafür verantwortlich, die Zertifizierung seines End-to-End-Systems durch einen QSA (Qualified Security Assessor) oder ASV (Approved Scanning Vendor) zu erhalten.

Robustel-Geräte werden in mehreren PCI-konformen Systemen eingesetzt. Dieser Abschnitt enthält eine Zusammenfassung der Funktionen und Fähigkeiten von Robustel, die von anderen Kunden genutzt wurden, um die PCI-Konformität ihrer End-to-End-Systeme zu erreichen.

Referenzimplementierung

Die folgende Referenzimplementierung stellt eine relativ komplexe Topologie dar, die Folgendes umfasst:

  • Ethernet-Zugang für POS-Geräte
  • Ethernet- und WLAN-Zugang für Mitarbeitercomputer und Drucker
  • Ethernet- und WLAN-Zugang für andere Geräte
  • WLAN-Zugang für Kunden.
Empfehlungen

Wi-Fi: Diese Schnittstelle kann wie jede Ethernet- oder PPP-Schnittstelle durch eine Firewall geschützt und segmentiert werden. WPA/WPA2/WEP-Sicherheit und MAC-Adressfilterung werden ebenfalls unterstützt.

Mobilfunk: Die Mobilfunk-PPP-Instanz wird als WAN-Schnittstelle angezeigt und kann bei Bedarf durch eine Firewall geschützt und segmentiert werden. Schnittstellen können auch so eingestellt werden, dass sie keine Verwaltungsverbindungen zulassen.

  1. Konfigurieren Sie den Router mit der geeigneten Firmware.
  2. Ändern Sie die Standardpasswörter.
  3. Sichern Sie die Zugangspunkte des Routers
  4. Konfigurieren Sie die Firewall.
  5. Richten Sie verschiedene Netzwerksegmente für verschiedene Geräte über VLANs ein.
  6. Richten Sie das WLAN-Segment ein, das sich vom POS-Gerät unterscheidet.
  7. Sichere WAN-Konnektivität erstellen
  8. Konfigurieren Sie die Kommunikation mit einem externen SysLog-Server.
  9. Konfigurieren Sie die Kommunikation mit einem externen Zeitserver.
  10. Überwachen Sie die Gerätenutzung mit RCMS

Empfohlene Robustel-Produkte für PCI DSS-Anwendungen

R2010

R2010 Produktseite

R2011

R2011 Produktseite

R1510

R1510 Produktseite

R1520

R1520 Produktseite

R3000

R3000 Produktseite

R3000-Lite

R3000-Lite Produktseite

Werden Sie Partner von Robustel: Compliance Forward IoT

Bei der PCI-Compliance geht es um mehr als nur um Technologie – es geht darum, die Sicherheit jeder Ebene Ihres Zahlungssystems zu gewährleisten. Die Router von Robustel, kombiniert mit unserem Fachwissen und unseren bewährten Implementierungen in Einzelhandels-, Bank- und Dienstleistungsumgebungen, geben Ihnen die Gewissheit, dass Sie die Daten Ihrer Karteninhaber schützen und gleichzeitig einen reibungslosen Betrieb gewährleisten können. Werden Sie noch heute Partner von Robustel, um Ihre PCI-Compliance-Strategie zu stärken und jede Transaktion zu schützen.