Der Customized Approach in PCI DSS v4.0.1 eröffnet Unternehmen neue Wege, Kreditkartendaten sicher zu schützen. Statt strikt nach einer Checkliste zu arbeiten, erlaubt der individuelle Ansatz maßgeschneiderte Sicherheitsmaßnahmen, die exakt zur eigenen IT-Landschaft und zum individuellen Risikoprofil des Unternehmens passen. Die Voraussetzung: Das definierte Sicherheitsziel des jeweiligen Requirements muss erreicht werden. Die Unternehmen können also entscheiden, ob sie bei einzelnen Requirements eigene Sicherheitsmaßnahmen definieren. Für sie bietet der Customized Approach die Chance, Synergien zu nutzen, statt parallele Kontrollsysteme aufzubauen.
Somit klingt der Customized Approach zunächst wie ein flexibles Mittel, um einzelne Requirements gezielt zu erfüllen. Doch wie wird aus der Theorie ein belastbares Konzept für die Praxis? Unser Kollege Nur Ahmad, Managing Security Consultant und QSA, hat bereits bei der erfolgreichen Umsetzung des Customized Approach mitgewirkt und zeigt, worauf es in der Praxis wirklich ankommt und welche Best Practices sich bereits bewährt haben.
Was steckt hinter dem Customized Approach?
Durch den Customized Approach ist für Unternehmen nun auch möglich, für einzelne Requirements des PCI DSS eigene Sicherheitsmaßnahmen zu definieren und umzusetzen. Die individuell entwickelten Maßnahmen müssen das definierte Sicherheitsziel der jeweiligen Requirements nachweislich erfüllen.
| Beispiel Requirement | Customized Approach Objective | Traditionelle Kontrolle | Custom Control | Vorteil |
|---|---|---|---|---|
| Verhaltensbiometrie für Authentifizierung (Requirements 8.3.1 - 8.3.6) | Authentifizierung für Zugriff auf Cardholder Data Environment (CDE) | Multi-Factor-Authentifizierung mit Passwort und Token | Integration von Behavioral Biometrics (z. B. Tippmuster, Mausbewegungen) als zusätzlicher Faktor | Schwer zu stehlen oder zu replizieren, verbessert Benutzerfreundlichkeit und Sicherheit |
| KI für Anomalie- und Betrugserkennung (Requirements 10.4.1 - 10.4.2) | Überwachung und schnelle Erkennung von Sicherheitsvorfällen | IDS/IPS und regelmäßige Log-Analysen | Einsatz von Machine Learning zur Echtzeit-Analyse von Netzwerkverkehr und Erkennung von Anomalien | Schnellere und präzisere Bedrohungserkennung als klassische Systeme |
Somit erhalten Unternehmen mehr Flexibilität und Innovationsspielraum, aber auch mehr Eigenverantwortung. Und genau hier beginnt die Herausforderung, diese Maßnahmen PCI DSS compliant im Unternehmen umzusetzen.
Ein Blick in die Praxis: Maßgeschneiderte Lösung statt Standardvorgabe
Genau mit dieser Herausforderung haben sich unsere Auditor*innen in einem Kundenprojekt beschäftigt: Statt Requirement 3.4.2 des PCI DSS nach dem definierten Standard umzusetzen, entschied sich der Kunde für den Customized Approach.
When using remote-access technologies, technical controls prevent copy and/or relocation of PAN for all personnel, except for those with documented, explicit authorization and a legitimate, defined business need.
Requirement 3.4.2 des PCI DSS v4.0.1 (Quelle)
Die Aufgabe unseres Projektteams war es, ein geeignetes Testverfahren zu entwickeln, das nachweist, ob die implementierten Kontrollen das Ziel des Customized Approach vollständig und wirksam erfüllen. Konkret gesagt: Die PAN darf nicht von unbefugten Personen mithilfe von Fernzugriffstechnologien kopiert oder verschoben werden. Im Rahmen der Bewertung haben unsere Auditor*innen die vom Kunden bereitgestellte Kontrollmatrix, eine Targeted Risk Analysis sowie Nachweise zur Wirksamkeit der Maßnahmen, z.B. Pentest-Reports und weitere spezifische Dokumentation, geprüft. Auf dieser Grundlage leitete das Projektteam passende Testverfahren ab, dokumentierte sie und bewertete jede einzelne Kontrollmaßnahme systematisch. Die Details hinsichtlich der Prüfverfahren und die Ergebnisse der Prüfungen wurden entsprechend in den Report on Compliance (RoC) aufgenommen.
Theorie trifft Praxis
Was zunächst wie das strukturierte Abarbeiten einzelner Prozessschritte erscheint, entpuppt sich bei näherer Betrachtung als komplexer und herausfordernder Prüfprozess, bei dem unsere Auditor*innen die folgenden Aspekte beachten mussten:
Unabhängigkeit der Qualified Security Assessors (QSAs)
Beim Einsatz des Customized Approach nach PCI DSS v4.0.1 ist eine klare Trennung der Rollen entscheidend. Ein QSA, der an der Konzeption, Entwicklung und Umsetzung individueller Maßnahmen beteiligt war, darf das Audit nicht selbst durchführen. Um eine unabhängige und objektive Bewertung sicherzustellen, sind daher zwei Auditor*innen erforderlich: Der erste QSA begleitet die Maßnahme fachlich, während ein zweiter, unabhängiger QSA das Audit übernimmt, die Umsetzung testet und abschließend bewertet.
Interdisziplinäre Zusammenarbeit und Dokumentation
Eine entscheidende Rolle bei der Umsetzung des Customized Approach spielt die sorgfältige Dokumentation. Sowohl die jeweils zugrunde liegende Kontrollmatrix als auch die zielgerichtete Risikoanalyse müssen umfassend und nachvollziehbar festgehalten werden. Dabei ist es besonders wichtig, dass der QSA im regelmäßigen Austausch mit dem Kunden steht, um die geforderten Inhalte in den Dokumenten klar und ausführlich zu erläutern. Darüber hinaus obliegt es dem prüfenden zweiten QSA, die implementierten Kontrollen gründlich zu prüfen, um die Erfüllung der Anforderungen des Customized Approach sicherzustellen.
Kontinuierliche Prüfung und Anpassung
Da der Customized Approach sehr individuell ist, müssen Maßnahmen regelmäßig evaluiert und bei Bedarf angepasst werden, um langfristig wirksam zu bleiben.
Und wie sah die Umsetzung konkret beim Kunden aus?
Gemeinsam mit dem Kunden haben unsere Auditor*innen den Customized Approach angewandt, um das Kontrollziel des Requirements 3.4.2 zu erfüllen. Dazu wurde eine Lösung entwickelt, die Remote‑Zugriffe klar strukturiert, transparent dokumentiert und durch definierte Freigabeprozesse gesteuert. Auf diese Weise wurde sichergestellt, dass PANs bei der Nutzung von Fernzugriffstechnologien nur in zulässigen, autorisierten Szenarien verarbeitet werden können. Durch die enge Zusammenarbeit zwischen Kundenteam und QSAs entstand so eine individuell abgestimmte, auditierbare Lösung, die sich nahtlos in die bestehende Systemlandschaft integrieren ließ.
Erfolgsfaktoren für den Customized Approach: Unsere Empfehlungen für Sie
Basierend auf diesen Erfahrungen haben unsere Auditor*innen praxisorientierte Empfehlungen und Best Practices entwickelt, die Sie künftig bei der effizienten Umsetzung des Customized Approach unterstützen können:
- Timing: Starten Sie frühzeitig, um den hohen Aufwand für Dokumentation und Tests zu bewältigen.
- Umfassende Dokumentation: Erstellen Sie detaillierte Kontrollmatrizen und zielgerichtete Risikoanalysen mit den offiziellen PCI SSC Templates.
- Zuständigkeiten: Definieren Sie, welche Dokumente und Tests vom Unternehmen und welche vom QSA zu erstellen sind.
- Regelmäßiger Austausch mit dem QSA: Pflegen Sie einen engen Dialog, um Anforderungen zu verstehen und korrekt umzusetzen.
- Gründliche interne Tests: Testen und dokumentieren Sie alle individuellen Kontrollen vor dem Audit sorgfältig.
- Risikobasierter Ansatz: Begründen Sie Abweichungen vom Standard mit fundierten Risikoanalysen.
- Ausreichende Ressourcen: Planen Sie Zeit, Personal und Know-how für die erhöhte Komplexität ein.
- Kontinuierliche Überprüfung: Evaluieren und passen Sie die Maßnahmen regelmäßig an aktuelle Risiken an.
Haben Sie auch bereits über die Umsetzung des Customized Approach in Ihrem Unternehmen diskutiert? Oder benötigen Sie Hilfe bei der Vorbereitung oder Umsetzung von PCI DSS in Ihrem Unternehmen? Kontaktieren Sie uns, wir helfen Ihnen gerne weiter.
