PCI DSS: Kreditkarten-Compliance
Wenn Ihr Unternehmen Kreditkartentransaktionen abwickelt und nicht PCI DSS-konform ist, sollten Sie weiterlesen, um mögliche rechtliche Konsequenzen zu vermeiden.
Wofür steht PCI DSS? Der Payment Card Industry Data Security Standard (PCI DSS) schützt Kreditkartennutzer, indem er von jeweiligen Händlern verlangt, dass sie bestimmte Sicherheitskriterien erfüllen, um Kreditkartentransaktionen in ihren Unternehmen abwickeln zu können.
Was versteht man unter PCI DSS Compliance?
Der Payment Card Industry Data Security Standard (PCI DSS) ist ein Regelwerk für Informationssicherheit, das vom Payment Card Industry Security Standards Council entwickelt, veröffentlicht und verwaltet wird. Der PCI DSS regelt ausdrücklich die Sicherheit von Kreditkartentransaktionen und anderen Formen kartengestützter Zahlungen (kreditgestützte Debitkarten, Online-Käufe usw.).
Das PCI Council, das von American Express, Discover Financial Services, JCB International, Visa und Mastercard gegründet wurde, kümmert sich um die Informationssicherheit in der sich ständig weiterentwickelnden Zahlungsverarbeitungsbranche.
Da Kreditkarten- und Online-Zahlungen in den letzten Jahrzehnten zur Norm geworden sind, wurde das PCI Council gegründet, um sich mit den technischen und Compliance-bezogenen Sicherheitsvorkehrungen zu befassen, die Händler und Zahlungsabwickler einführen können, um Kundendaten zu schützen, Diebstahl und Betrug zu verhindern und das Vertrauen der Verbraucher in die Abwicklung von Kreditkartenzahlungen zu erhalten.
Noch wichtiger ist, dass diese Unternehmen die Bedeutung der Interoperabilität und ihre Einflussmöglichkeiten im privatwirtschaftlichen Sektor erkannten, um wichtige Sicherheitskontrollen zu implementieren, die Unternehmen und Verbrauchern zugutekommen. Nachdem jedes Mitglied zu einem bestimmten Zeitpunkt versucht hatte, einen umfassenderen Ansatz für die Sicherheit im Zahlungsverkehr zu entwickeln, mündeten diese gemeinsamen Bemühungen schließlich in der ersten Fassung des PCI DSS, Version 1.0, die im Dezember 2004 veröffentlicht wurde.
Der PCI DSS ist keine gesetzliche Vorschrift für die Abwicklung von Zahlungen. Stattdessen wurde er vom PCI Council auf Betreiben der großen Kreditkartenanbieter eingeführt. Diese Anbieter kontrollieren die Zahlungsnetzwerke und haben die Autorität über die Anforderungen, die ein Händler oder Zahlungsabwickler erfüllen muss, um diese Netzwerke zu nutzen. Händler oder andere Zahlungsabwickler, die sich nicht an den PCI DSS halten, müssen mit immer höheren Strafen rechnen oder verlieren sogar vollständig ihre Berechtigung, Kreditkarten als Zahlungsmittel zu akzeptieren.
Die aktuelle Version des PCI DSS ist die Version 3.2.1 (umgangssprachlich als “drei-zwei-eins” bezeichnet). Diese Version wurde im Mai 2018 eingeführt und berücksichtigt die zunehmende Bedeutung des Online-Shoppings sowie ausgeklügelte Betrügereien mit Kreditkarten. Allerdings gibt es einige Einschränkungen bei der Anwendbarkeit von Standards, die sich auf neue Technologien wie mobile Geräte und digitale Geldbörsen beziehen.
Eine überarbeitete Version des PCI DSS, Version 4.0, wird voraussichtlich in Q1 2022 veröffentlicht.
Was sind PCI-Levels und wie wirken sie sich auf Audits aus?
Alle Händler oder Zahlungsabwickler, die Kreditkartenzahlungen akzeptieren möchten, müssen einen Compliance-Bericht (Report on Compliance, ROC) vorlegen, der die Einhaltung der Vorschriften belegt. Der Compliance-Bericht wird jährlich im Rahmen von Compliance-Audits verlangt. Bei den Audits handelt es sich um Untersuchungen, die entweder intern oder durch einen vom PCI Council registrierten und zertifizierten Sicherheitsgutachter (Qualified Security Assessor, QSA) durchgeführt werden. Ob sich ein Unternehmen einem Audit durch einen Dritten oder einem internen Audit unterziehen muss, hängt von der Einstufung des Unternehmens nach den PCI-Kennzahlen ab.
Die vier Compliance Level basieren auf dem Volumen der jährlich durchgeführten Transaktionen:
- Level 4: Die niedrigste Stufe: Händler auf Level 4 verarbeiten weniger als 20.000 Transaktionen pro Jahr.
- Level 3: Auf dieser Stufe verarbeiten die Händler zwischen 20.000 und 1 Million Transaktionen.
- Level 2: Auf Level 2 verarbeiten die Händler zwischen 1 und 6 Millionen Transaktionen pro Jahr.
- Level 1: Level 1 gilt für die größten Handelsunternehmen, die mehr als 6 Millionen Transaktionen pro Jahr verarbeiten.
Händler auf Level 1 müssen sich einer Fremdbewertung durch QSAs unterziehen. Händler der Level 2, 3 und 4 können jedoch eine Selbstbeurteilung vornehmen und einen Fragebogen zur Selbstbeurteilung (Self Assessment Questionnaire) ausfüllen. Händler der Level 3 und höher, die einen Sicherheitsverstoß erleiden, müssen möglicherweise für eine gewisse Zeit die Anforderungen der höheren Level erfüllen.
Was sind die 12 Anforderungen des PCI DSS?
Der Kern der PCI DSS Compliance ist die Einhaltung von 12 wesentlichen Anforderungen. Diese Vorgaben lauten wie folgt:
- Einsatz von Firewalls: Eine IT-Umgebung muss über eine angemessene Security Firewall verfügen, um vor unbefugtem Zugriff zu schützen. Die Einhaltung der Vorschriften verlangt von Händlern und verarbeitenden Unternehmen die Einrichtung und Wartung von Firewalls.
- Passwortschutz: Unternehmen müssen über eine sichere und regelkonforme Identitäts- und Zugriffsverwaltung und/oder sichere Zugriffstools verfügen, um zu kontrollieren, wie Benutzer mit ihrer Infrastruktur interagieren. Dazu gehören der Schutz von Passwörtern und die Implementierung einer entsprechenden rollenbasierten Zugriffskontrolle.
- Schutz von Karteninhaberdaten: Unternehmen müssen Verschlüsselung und Kryptographie verwenden, um Benutzerdaten bei der Übertragung und im ruhenden Zustand zu schützen.
- Verschlüsselung der übertragenen Daten: Insbesondere müssen Händler alle über Netzwerke übertragenen Zahlungsinformationen verschlüsseln, und die Daten sollten niemals an einen unbekannten Ort gesendet werden.
- Verwendung von Anti-Malware-Software: Anti-Malware-Software ist zwar in jedem Szenario sinnvoll, aber der PCI DSS verlangt den Einsatz von Anti-Malware auf Zahlungsgeräten, Kassensystemen (Point-of-Sale, POS) oder jeder Infrastruktur, die Zahlungs- oder Kundendaten enthält.
- Ordnungsgemäß aktualisierte Software: Firewalls, Anti-Malware und jede andere Systemsoftware oder Firmware müssen regelmäßig aktualisiert werden.
- Datenzugriff einschränken: Händler müssen logische Maßnahmen gegen unbefugten Datenzugriff ergreifen. Dies umfasst den eingeschränkten Zugriff von außerhalb des Unternehmens bis hin zum selektiven Zugriff innerhalb des Unternehmens.
- Eindeutige Zugangs-IDs: Jeder Benutzer, der auf Zahlungsinformationen zugreift, sollte eine eindeutige und sichere ID haben, die zur Authentifizierung, Autorisierung und Überwachung verwendet wird.
- Physischen Zugang beschränken: Neben der Beschränkung des digitalen Zugriffs wird von den Händlern auch erwartet, dass sie den physischen Zugriff auf Systeme mit Zahlungsinformationen überwachen und einschränken. Dies bedeutet, dass Rechenzentren und Arbeitsplätze gesichert werden müssen, der Zugriff auf alle Geräte überwacht werden muss und Kameras und Sicherheitstastaturen eingesetzt werden müssen, um die Nachweisführung zu gewährleisten.
- Zugriffsprotokolle aufbewahren: Jede Interaktion mit Zahlungsinformationen sollte eine Genehmigung des Systems oder eines Vorgesetzten erfordern. PCI DSS verlangt jedoch, dass Unternehmen Logging-Tools einsetzen, um alle Benutzerereignisse, einschließlich des Datenzugriffs, zu verfolgen.
- Implementierung von Schwachstellen-Scans und Penetrationstests: Zur Einhaltung der Vorschriften gehören regelmäßige Scans auf Schwachstellen und Penetrationstests, um Sicherheitslücken aufzuspüren.
- Dokumentation ist wichtig: Ein richtlinienkonformes Unternehmen mag zwar Logging-Tools im Einsatz haben, doch muss es auch über Dokumentationsrichtlinien verfügen. Dazu gehört die Dokumentation von Compliance-Leitlinien und -Verfahren, Upgrades und Fehlfunktionen.
Welche Strafen drohen bei Nichteinhaltung des PCI DSS?
Es ist wichtig zu wissen, dass PCI DSS keine gesetzliche Voraussetzung für eine Geschäftstätigkeit ist. Es ist jedoch eine Voraussetzung für die Annahme von Kreditkartenzahlungen.
Die Sanktionen des PCI DSS selbst werden nicht veröffentlicht oder bekannt gemacht, aber die Nichterfüllung (insbesondere Datenschutzverletzungen, die daraus resultieren) kann zu hohen Geldstrafen führen.
Die Strafmaßnahmen können wie folgt aussehen:
- Geldstrafen zwischen US$ 5.000 und US$ 100.000 pro Monat bei wiederholten Verstößen. Bei Händlern auf Level 1, die signifikante Probleme haben, kann es zu einer strengeren Prüfung und höheren Strafen kommen.
- Belastung des Händlerkontos. Für ein Unternehmen kann es aufgrund höherer Gebühren oder eines ungünstigen Risikoprofils schwierig oder teuer werden, weiterhin Kreditkartenzahlungen zu akzeptieren.
- Aussetzung oder Verlust der Zahlungsabwicklung. Kartenunternehmen können entscheiden, dass der Verstoß gegen die Vorschriften schwerwiegend genug ist, um einen vollständigen Entzug der Privilegien zu rechtfertigen.
Was sind die Vorteile und Best Practices für die Einhaltung des PCI DSS?
Händler, die an der Einhaltung oder Aufrechterhaltung der Vorschriften arbeiten, können sich an einige bewährte Verfahren halten:
- Beauftragen Sie einen PCI-konformen Anbieter für die Zahlungsabwicklung: Wenn ein Unternehmen den Verkauf von Waren oder Dienstleistungen nicht selbst abwickelt, ist der beste erste Schritt die Zusammenarbeit mit einem PCI-konformen Anbieter. Anbieter wie Square oder PayPal können auch kleineren Unternehmen eine einfache und sichere Zahlungsabwicklung ermöglichen.
- Einsatz PCI-konformer Dateifreigabe und -speicherung: Unternehmen, die ihre Zahlungen selbst abwickeln, sollten PCI-konforme File-Sharing-Dienste nutzen. Anbieter, die entsprechende Dokumentenverwaltungsdienste, Dateiübertragungsfunktionen wie den PCI-konformen Managed File Transfer oder ein sicheres Dateiübertragungsprotokoll und sichere E-Mails anbieten, können die Compliance optimieren und es den Geschäfts- und IT-Verantwortlichen ermöglichen, sich auf wichtigere Dinge zu konzentrieren.
- Schulungen und Weiterbildungen zum Thema Compliance integrieren: Leider sind die Mitarbeiter das schwächste Glied der meisten Sicherheits- und Compliance-Systeme, was zum großen Teil auf ein mangelndes Verständnis der Bestimmungen zurückzuführen ist. Ein Unternehmen, das die Vorschriften einhält, muss über gründliche, vollständige und sich ständig weiterentwickelnde Schulungsprogramme verfügen, um die Teammitglieder zu unterstützen und ihnen zu vermitteln, wie das Unternehmen die Vorschriften einhalten kann.
- Regelmäßige Sicherheitstests und -überwachung: Jedes Unternehmen, das mit Kreditdaten von Kunden zu tun hat, sei es zur Speicherung oder zur Verarbeitung, muss auch regelmäßige Sicherheitstests durchführen. Dazu gehören kontinuierliche Überwachung, Schwachstellen-Scans und Penetrationstests. Mindestens jährliche Tests können die Einhaltung der Vorschriften unterstützen.
Vorausschauend an die PCI DSS-Compliance denken
Viele Unternehmen glauben zwar nicht, dass sie für die Einhaltung der PCI-Anforderungen verantwortlich sind, doch die wachsende Popularität des Online-Shoppings und des E-Commerce, bei dem Kreditkartenzahlungen eine große Rolle spielen, zwingt immer mehr Unternehmen dazu, sich mit den PCI-Anforderungen vertraut zu machen.
Wenn Sie mehr über den PCI DSS erfahren möchten und darüber, wie Cloud-Technologie die Compliance unterstützen kann, werfen Sie einen Blick auf unsere Blogs zum Thema PCI Compliance. Oder melden Sie sich einfach für eine kurze Demo der Kiteworks-Plattform an, um zu erfahren, wie sie Ihre gesamte Content-Kommunikation vereinheitlicht, verfolgt, kontrolliert und schützt.
–>