Wer online Zahlungen verarbeitet und in seinem Unternehmen mit Kreditkartentransaktionen zu tun hat, der kommt um den Payment Card Industry Data Security Standard (PCI DSS) nicht herum. Dieser Standard ist eine Art Grundsatzregelung, an die sich jeder Unternehmer halten muss, wenn er in seinem Business Kreditkartenzahlungen akzeptieren möchte.
Mit dem PCI DSS wird sichergestellt, dass diejenigen, die Kreditkartendaten verarbeiten, diese auch entsprechend schützen und den Schutz auch tatsächlich ernst nehmen. Doch was genau sagt der PCI DSS eigentlich aus, sind die dort geregelten Maßnahmen wirklich schon genug und worauf müssen Unternehmen achten, damit es nicht zu hohen Strafen und Problemen kommt?
Genau diese Fragen werden wir heute einmal beantworten und uns mit dem Thema PCI DSS ausführlicher befassen. Doch bevor wir auf die Details eingehen, müssen wir den PCI DSS erst einmal genauer definieren. Lassen Sie uns also damit beginnen, was er überhaupt ist und welche Vorgaben er Ihnen stellt, wenn Sie mit Kreditkartendaten arbeiten möchten.
Was ist PCI DSS überhaupt und was bedeutet es für Unternehmen?
Dass die Abkürzung PCI DSS für Payment Card Industry Data Security Standard steht, hatten wir Ihnen in der Einleitung bereits geklärt. Bei PCI DSS handelt es sich somit um einen international anerkannten Sicherheitsstandard, der Kreditkartendaten schützen soll. Der Standard wurde von den großen Playern am Markt, wie unter anderem Visa, Mastercard und American Express ins Leben gerufen, um die Cybersicherheit von sensiblen Kreditkartendaten zu steigern.
Durch PCI DSS soll eine möglichst sichere Abwicklung von Kreditkartentransaktionen erreicht werden. Wenn ein Unternehmen Kreditkartenzahlungen akzeptiert, muss es sich immer auch an den PCI DSS halten und somit zwölf wichtige Anforderungen erfüllen. Die PCI DSS Zertifizierung wird dabei je nach Transaktionsvolumen des teilnehmenden Unternehmens geprüft. Je größer das Unternehmen bereits ist, desto genauer wird auf eine strenge Einhaltung geachtet. Unternehmen mit geringerem Transaktionsvolumen müssen hingegen meist PCI DSS zertifizierte Service Provider beauftragen.
Diese Regelungen sind die Grundlage dafür, dass ein Unternehmen dauerhaft mit Zahlungsdaten arbeiten darf. Hält es sich nicht daran, drohen Geldbußen, Einschränkungen bei der Bearbeitung von Kreditkartentransaktionen sowie auch die untersagte Akzeptanz von Kreditkartenzahlungen. Händler sollten sich also unbedingt daran halten, wenn sie ihren Kunden die Kreditkarte als Zahlungsmittel dauerhaft zur Verfügung stellen möchten.
Die 12 Anforderungen für eine erfolgreiche Zertifizierung
Wie im letzten Absatz bereits erwähnt, ist der PCI DSS an zwölf Regelungen geknüpft. Wer die PCI DSS Zertifizierung erlangen möchte, muss diese zwölf Anforderungen entsprechend sorgfältig erfüllen und anschließend auch dauerhaft aufrechterhalten. Diese zwölf Regeln für Unternehmen, die Kreditkartendaten verarbeiten, werden wir jetzt einmal genauer ausführen.
1. Einrichtung einer Firewall: Unternehmen, die mit Kreditkartentransaktionen zu tun haben, müssen nach dem PCI DSS eine Firewall einrichten und diese auch beständig und sorgfältig pflegen.
2. Standardeinstellungen neu setzen: Die nach der Werksauslieferung eingestellten Passwörter und Systemeinstellungen müssen gemäß PCI DSS geändert werden, um die Sicherheit aller Systeme zu erhöhen.
3. Schutz der Kreditkartendaten: Die Speicherung sensibler Daten sollte auf ein absolutes Minimum beschränkt werden. Die gesicherten Daten der Kreditkarteninhaber müssen gesondert geschützt sein. Eine Speicherung der Magnetstreifendaten oder Sicherheitscodes (CVV2, CVC2) ist laut PCI DSS dabei sogar gänzlich verboten.
4. Verschlüsselte Datenübertragung: Die Übertragung von Kartendaten muss jederzeit verschlüsselt erfolgen, um sicherzustellen, dass diese während der eigentlichen Übertragung nicht abgefangen werden können.
5. Regelmäßige Virenschutzprüfungen: Für alle Unternehmen, die Kreditkartentransaktionen verarbeiten möchten, ist eine regelmäßige Virenschutzprüfung Pflicht. Ebenso wie die Aktualisierung der auf den Systemen eingesetzten Antivirensoftware.
6. Sicherheitsrichtlinien für Entwicklungen: Während der Entwicklung von Anwendungen müssen verschiedene Sicherheitsrichtlinien aufgestellt werden, die schon während des gesamten Entwicklungszyklus in die Planungen einbezogen werden. Schwachstellen sollen auf diese Weise möglichst von vornherein verhindert werden.
7. Strenge Zugangskontrolle: Nach PCI DSS soll der Zugriff auf Systeme und Anwendungen, die Kreditkartendaten verarbeiten, ausschließlich auf autorisierte Personen beschränkt werden. Jeder Nutzer mit Zugriff muss außerdem jederzeit eindeutig identifizierbar sein, sodass auch im Nachhinein noch ein entsprechend klarer Identifikator besteht.
8. Starke Authentifizierung: Wer im Unternehmen auf Kreditkartendaten zugreift, muss immer und überall identifizierbar sein. Starke Authentifizierungsmethoden sind hier ebenso Pflicht, wie die Identitätsprüfung der entsprechenden Personen, die einen Zugriff erhalten.
9. Physische Sicherheit: Auch die physische Sicherheit, in Bezug auf Server und IT-Systeme, muss, wenn diese mit Kreditkartendaten zu tun haben, stets gewährleistet werden.
10. Protokollierung der Zugriffe: Regelmäßige Sicherheitsprüfungen und ein umfangreiches Monitoring sollen sicherstellen, dass Schwachstellen schnell erkannt und Sicherheitsrichtlinien durchgehend eingehalten werden.
11. Wiederkehrende Sicherheitsprüfungen: Wiederkehrende Prüfungen aller Sicherheitssysteme und auch der eingesetzten Prozesse sind Pflicht. Vierteljährliche Scans von externen und internen Systemen sind unbedingt erforderlich, um Schwachstellen rechtzeitig identifizieren zu können.
12. Informationssicherheit durch Richtlinien: Mit speziell aufgestellten Informationssicherheitsrichtlinien wird zu jedem Zeitpunkt garantiert, dass alle Sicherheitsaspekte beachtet und berücksichtigt werden. Auf diese Weise ist die Informationssicherheit jederzeit gegeben.
Die Richtlinien basieren auf dem Visa Account Information Security Programm (AIS, CISP), dem Mastercard Site Data Protection Programm (SDP), der American Express Security Operating Policy (DSOP) sowie Discover Information Security and Compliance (DISC). Überprüft wird eine genaue Einhaltung der Richtlinien sehr streng, jedoch abhängig vom jeweiligen Transaktionsvolumen der teilnehmenden Unternehmen.
Wie wird die Einhaltung von PCI DSS überprüft?
Je nach Transaktionsvolumen unterscheidet sich das Prüfungsverfahren. Das klingt zwar erst einmal komisch, doch es ergibt Sinn, dass Händler und Unternehmen, die besonders viele Kreditkartenzahlungsdaten verarbeiten, auch entsprechend umfangreich überprüft werden. Während kleine Händler, die weniger Kontakt mit Zahlungsdaten haben, nur sporadisch getestet werden.
Level 1: Ganz oben sind dabei die Händler und Dienstleister mit über sechs Millionen Kreditkartentransaktionen pro Jahr. Zu Level 1 zählen auch Unternehmen, die bereits einem Angriff erlagen oder bei denen Kartendaten erfolgreich kompromittiert wurden. Diese Unternehmen müssen vierteljährliche Prüfungen ihrer Systeme durch einen von Mastercard zugelassenen Scanvendor (ASV) über sich ergehen lassen. Ein Audit mit Begehung vor Ort ist ebenfalls Pflicht, allerdings nur einmal jährlich und von einem von VISA zugelassenem Unternehmen (QSA).
Level 2: Unter Level zwei werden Händler und Dienstleister verstanden, die zwischen zwanzigtausend und sechs Millionen Kreditkartentransaktionen im Jahr abwickeln. Auch hier sind vierteljährliche Scans durch einen von Mastercard zugelassenen Approved Scanning Vendor (ASV) Pflicht. Dafür entfällt der strenge Audit, stattdessen muss jährlich ein PCI-Fragebogen (Self-Assessment Questionnaire, SAQ) ausgefüllt und eingereicht werden.
Level 3 & Level 4: In den Bereich Level drei und Level vier fallen Händler und Dienstleister mit unter 1 Million Kreditkartentransaktionen pro Jahr. Für sie gilt, dass sie einen PCI DSS zertifizierten Service Provider mit der kompletten Abwicklung von Kreditkartentransaktionen beauftragen müssen. Alternativ kann eine eigene PCI DSS Zertifizierung mittels PCI Self-Assessment Questionnaire (SAQ) angestrebt werden, wobei dann auch wieder regelmäßige Scans in Bezug auf die Sicherheit fällig werden, die wiederum von einem Approved Scanning Vendor (ASV) nachgewiesen werden müssen.
Sie merken sicherlich schon, dass Informationssicherheit in Bezug auf Kreditkartendaten eine heikle Angelegenheit ist. Es muss dabei vieles beachtet werden und die unterschiedlichen Volumen geben an, wie umfangreich die Prüfungen seitens der Kreditkartenbetreiber am Ende überhaupt ausfallen. Je größer das Unternehmen dabei auftritt, desto komplexer werden meist die geforderten Sicherheitsmaßnahmen.
PCI DSS ist ein unverzichtbarer Standard
Wenn Sie den Anforderungen von PCI DSS dauerhaft gerecht werden möchten, müssen Sie sich auf kontinuierliche Anstrengungen gefasst machen. Kartendaten müssen jederzeit vollumfänglich geschützt werden, die Verarbeitung erfolgt zudem unter strengen Authentifizierungs- und Sicherheitsrichtlinien. Wird mit Partnern zusammengearbeitet, muss ebenfalls sehr genau darauf geachtet werden, dass diese ebenfalls PCI-DSS-konform handeln. Im besten Falle drohen bei einem Verstoß lediglich Geldstrafen, im schlimmsten dürfen Sie mit Ihrem Unternehmen in Zukunft jedoch keine Kreditkartentransaktionen mehr verarbeiten.
Eine Einhaltung von PCI DSS kann für Unternehmen daher zu einer stressigen und existenziellen Herausforderung werden, die von immer neuen Hürden und Problemen geplagt wird. Schließlich gilt es, die gesamte Zahlungsabwicklungskette zu schützen und dabei umfangreiche Sicherheitsanforderungen zu erfüllen. Kein leichtes Unterfangen, selbst für erfahrene IT-Experten. Auch regelmäßige Sicherheitsprüfungen werden schnell zur Pflicht und helfen dabei, Schwachstellen zu entdecken und zu schließen. Erfordern aber auch einen nicht unerheblichen Mehraufwand von Ihnen.
Am Ende ist PCI DSS allerdings ein unverzichtbarer Standard, dessen Umsetzung Sie bis in das kleinste Detail bedenken sollten, wenn Sie mit Kreditkartendaten arbeiten. Die Einhaltung von PCI DSS hat in solch einem Fall absolute Priorität.
