Was ist der PCI DSS?
Die PCI Data Security Standards (PCI DSS) sind aus Sicherheitsstandards von VISA und MasterCard hervorgegangen und mittlerweile von allen namhaften Kreditkartenorganisationen als verbindlich anerkannt. Sie definieren spezifische Anforderungen für die verschiedenen Bereiche der Speicherung, Verarbeitung und Übermittlung von Karteninhaberdaten, um den sorgfältigen und geschützten Umgang mit Kreditkartendaten sicherzustellen. Diese Anforderungen gelten für Händler, Service Provider, Softwareanbieter von Payment Applikationen, Acquirer und Prozessoren. Weitere Informationen finden Sie beim PCI Security Standards Council
Wie oft muss ich den PCI DSS Nachweis erbringen?
Der PCI DSS Nachweis muss mindestens einmal im Jahr erbracht werden. Da durch den PCI DSS Nachweis der aktuelle Stand der Kreditkartenabwicklung in Ihrem Unternehmen dokumentiert wird, ist es notwendig, auf Änderungen der Kreditkartenakzeptanz bzw. Zahlungsabwicklungen auch außerhalb des vorgegebenen Turnus von einem Jahr durch die Aktualisierung Ihres PCI DSS Nachweises zu reagieren. Sie sind verpflichtet, jederzeit die PCI DSS Konformität aufrecht zu erhalten.
Gehören zu Ihrem Nachweis auch ASV Scans dazu, ist dieser Nachweis als 90 Tage mittels ASV Scan zu erneuern.
Warum ist der PCI DSS Nachweis so wichtig?
Diese Frage stellen sich tatsächlich viele, die vor den Anforderungen von PCI DSS stehen. Für die Abwicklung Ihrer Zahlungen kommen Sie mitunter mit sensiblen Zahlungsdaten in Berührung. Im Umgang mit solchen Kreditkartendaten gehen Sie die Verantwortung ein, diese sicher und vertraulich zu behandeln. Diese Verantwortung tragen Sie gegenüber Ihrer Händlerbank (Acquirer) und der Kreditkartenunternehmen sowie Ihren Kunden. Den entsprechenden Nachweis dazu liefern die Maßnahmen, die aus dem PCI Data Security Standard hervorgehen (SAQ als Selbstauskunft, ASV-Scans, Audits) und machen Ihre Einhaltung von Sicherheitsstandards transparent.
Warum ist die Einhaltung dieser Sicherheitsstandards so wichtig? Dazu muss man verstehen, dass Hacker es auf die Karteninhaberdaten Ihrer Kunden abgesehen haben. Hacker versuchen die primäre Kontonummer (Primary Account Number, PAN) sowie sensible Authentifizierungsdaten in Erfahrung zu bringen. Damit könnten sie sich dann als Karteninhaber ausgeben, die Karte benutzen und die Identität des Karteninhabers stehlen.
Sensible Karteninhaberdaten können an unterschiedlichen Stellen gestohlen werden:
- Ungeschütztes Kartenlesegerät
- Papier, das in einem Aktenschrank aufbewahrt wird
- Daten aus einer Datenbank eines Zahlungssystems
- Versteckte Kamera, die die Eingabe von Authentifizierungsdaten aufzeichnet
- Heimlicher Zugriff auf das drahtlose oder kabelgebundene Netzwerke Ihres Geschäfts
Diese Einfallstore für Hacker müssen geschlossen bleiben. Mit Einhalten der Vorgaben aus dem PCI DSS weisen Sie nach, dass sensible Karteninhaberdaten bei Ihnen sicher sind und verantwortungsvoll behandelt werden, so dass ein Datenabgriff für Hacker nicht möglich sein sollte. Zudem können Ihnen bei bei Nichteinhaltung des PCI DSS Konsequenzen entstehen.
Welche Konsequenzen drohen bei Nichteinhaltung des PCI DSS?
Ihr Unternehmen kann seitens der Kreditkartenorganisationen bzw. vom Acquirer (Händlerbank) mit Geldstrafen belegt werden. Des Weiteren ist Ihr Unternehmen haftungspflichtig, wenn Kreditkartendaten Ihrer Kunden gestohlen oder missbraucht werden. Abgesehen von möglichen Geldstrafen kann Ihnen auch ein folgenschwerer Imageschaden entstehen.
Was sind die 12 Hauptforderungen des PCI DSS?
Die 12 Hauptanforderungen sind in 6 Prüfziele unterteilt:
AUFBAU UND BETRIEB EINES SICHEREN NETZWERKES
- Betrieb einer Firewall-Umgebung
- Vermeidung von herstellerspezifischen Standards für Systempasswörter und andere Sicherheitseinstellungen
SCHUTZ DER KREDITKARTENDATEN
3. Schutz gespeicherter Daten
4. Verschlüsselung der Übermittlung von Kreditkarten und anderer sensibler Information über öffentliche Netzwerke
MANAGEMENT VON SCHWACHSTELLEN
5. Benutzung und regelmäßige Aktualisierung von Anti-Virus Software
6. Entwicklung und Pflege sicherer Systeme und Anwendungen
STARKER ZUGRIFFSSCHUTZ
7. Beschränkung des Zugriffs auf Daten nach dem Need-to-know-Prinzip
8. Zuordnung einer individuellen User-ID an Personen mit IT-Zugriff
9. Beschränkung des physischen Zugriffs auf Kreditkarteninformationen
REGELMÄSSIGE PRÜFUNG UND TEST DES NETZWERKES
10. Überwachung und Nachverfolgung jeglicher Zugriffe auf Netzwerkressourcen u. Kreditkarteninformationen
11. Regelmäßige Tests der Sicherheitssysteme und -prozesse
PFLEGE EINER INFORMATION SECURITY POLICY
12. Pflege einer Informationssicherheitsrichtlinie
Ich benötige Unterstützung zum Thema PCI DSS. Welche Unterstützung bietet die usd AG?
Hierfür stehen Ihnen unsere PCI DSS-Sicherheitsexperten bei konkreten Fragestellungen zum PCI DSS durch individuell durchgeführte Beraterpakete per Telefon- oder Webkonferenz zur Verfügung. Informieren Sie sich gerne über unser Beratungsangebot.
Was bedeutet der Begriff ASV?
ASV ist die Abkürzung für "Approved Scanning Vendor". Übersetzt bedeutet dies "zugelassender Scan-Anbieter". Die externen Schwachstellen-Scans (ASV Scan) dürfen nur von dafür zugelassenen Anbietern durchgeführt und für eine PCI DSS Compliance bewertet werden. Die usd AG ist solch ein ASV, also ein zugelassener Anbieter.
Was bedeutet ASV Scan?
Unter einem ASV Scan versteht man einen externen Schwachstellen-Scan, der mit einer ASV-Scanlösung durchgeführt und von zugelassenen ASV-Prüfern bewertet wird. Als externer PCI DSS-Schwachstellen-Scan wird dieser über das Internet als Remote-Service durchgeführt und erfüllt die PCI DSS Anforderung 11.2.2. Schwachstellen-Scans helfen bei der Identifizierung von Verwundbarkeiten sowie Fehlkonfigurationen von Websites, Anwendungen und anderen informationstechnischen Infrastrukturen mit IP-Adressen, die dem Internet zugewandt sind. Übrigens: Nicht jedes IT Security Unternehmen darf ASV Scans durchführen, denn hierfür ist eine Zulassung notwendig. Die usd AG ist solch ein zugelassener ASV Scan-Anbieter mit mehrjähriger Erfahrung.
Zu meinem Compliance Nachweis gehören ASV Scans: Wie oft sind diese durchzuführen?
Bei bestehender ASV Scanpflicht ist der Compliance-Nachweise der ASV Scans alle 90 Tage zu erneuern.