Paylobby › Guides › Fraud Management/ Betrugsprävention › Was bedeutet PCI für Ihr Payment?

Was bedeutet PCI für Ihr Payment?

Der Begriff Payment Card Industry Data Security Standard (Kurz: PCI DSS) beschreibt Sicherheitsanforderungen, um Kunden vor Missbrauch und Diebstahl von Kreditkarteninformationen zu schützen. Was bedeutet PCI für Ihre Payment-Prozesse?

Card Industry Security Standards Council (PCI SSC)

Die Richtlinien für den PCI DSS werden vom Payment Card Industry Security Standards Council (PCI SSC) veröffentlicht, dem sich alle weltweit führenden Kreditkartenunternehmen wie MasterCard, American Express, Visa oder JCB angeschlossen haben. Sie gelten für alle an einem Bezahlungsprozess beteiligten Partner. Weitere Informationen finden Sie auf dem PCI Wiki.

Relevanz der PCI-Zertifizierung für Unternehmen

Der PCI Standard ist laut den Regularien der Kreditkartenorganisationen von allen Unternehmen einzuhalten, die Kreditkarteninformationen empfangen, technisch verarbeiten, speichern oder übermitteln. Dies ist unabhängig von der zeitlichen Dauer einer Verarbeitung. Kreditkartendaten können beispielsweise Nummern oder Gültigkeitsdaten sein.

PCI in Zusammenarbeit mit Payment Service Providern (PSPs)

Unternehmen, die keine Kartendaten speichern, verarbeiten oder übermitteln, müssen die Anforderungen des PCI DSS nicht selbst umsetzen, sondern sicherstellen, dass alle in der Abwicklung beteiligten Dienstleister dem Standard entsprechen. Kartendatenverarbeitende Unternehmen sind verpflichtet, gegenüber dem Acquirer die Erfüllung der Anforderungen des PCI DSS nachzuweisen.

Kosten einer „PCI Certification“

Die Preise einer „PCI Certification“ sind abhängig von der Level-Einstufung des Händlers oder des Service Providers und der Anzahl der IP Adressen. Mit einer höheren Level-Einstufung steigt beispielsweise die Anzahl der jährlich durchzuführenden Security Scans. Es gibt Anbieter, die einen einfachen Scan mit einer IP-Adresse beispielsweise für 220 Euro anbieten. Der größte Aufwand besteht jedoch darin, alle Daten in der technischen Umsetzung so zu behandeln, dass sie die PCI-Regeln erfüllen.

Was passiert bei einem PCI Security Scan?

Bei einem PCI Security Scan werden alle Systeme des Händlers bzw. seines jeweiligen Service Providers, die über das Internet erreichbar sind, auf Schwachstellen hin untersucht. Dies beinhaltet insbesondere Router, Firewalls, Web-Server, Mail-Server, Applikations-Server, Load-Balancer und Datenbank-Server.

PCI Compliance Prozess

Händler haben die Auflage, regelmäßig ihre PCI-Konformität (PCI Compliance) nachzuweisen. Abhängig von ihrem Compliance Level, müssen sie verschiedene Standards erfüllen und die Umsetzung der Anforderungen jährlich belegen.

Welche Compliance Levels und Standards gibt es?

Die Händler werden von den Kreditkartenunternehmen verschiedenen Kategorien (Level) zugeordnet. Dies ist abhängig vom Umfang der jährlichen Kreditkartentransaktionen. Insgesamt gibt es vier Level. Im höchsten Level 1 werden Händler oder Dienstleister eingestuft, die mehr als 6 Mio. Kreditkartentransaktionen pro Jahr abwickeln, bereits einem Angriff erlagen, von einem anderen Kartenunternehmen als Level 1 eingestuft wurden oder bei denen Kartendaten kompromittiert wurden. Sie müssen ihr Rechnernetz vier Mal im Jahr durch einen externen Sicherheitsscan prüfen und zusätzlich einmal im Jahr eine Begehung vor Ort (Audit) durchführen lassen.

Das folgende Schaubild gibt einen Überblick über die 4 Level:

PCI Grafik

PCI Compliance Levels für Unternehmen  (Quelle: www.pcicomplianceguide.org)

Audits im PCI Compliance Process

Der Händler registriert sich bei einem Zertifizierungsunternehmen wie beispielsweise dem TÜV. Dieses nimmt eine Einstufung des Händlers vor und überprüft die PCI Anforderungen. Mit Hilfe von verschiedenen Fragebögen (Self-Assessment) erfolgt eine Überprüfung durch das Zertifizierungsunternehmen.

Security Scans im PCI Prozess

Abhängig von der Einstufung werden außerdem Security Scans durchgeführt, die Schwachstellen im Prozess suchen und bewerten. Fallen die Auswertungen der Fragebögen und Scans erfolgreich aus, erhält der Händler das PCI-Zertifikat. Wurden Schwachstellen identifiziert, muss der Händler diese beseitigen und sich einer erneuten Überprüfung unterziehen.

Anforderungen des PCI DSS

Der PCI DSS umfasst 12 Anforderungen:

  1. Installation und Wartung einer Firewall-Konfiguration zum Schutz von Karteninhaberdaten.
  2. Keine vom Anbieter gelieferten Standardeinstellungen für Systemkennwörter und andere Sicherheitsparameter verwenden.
  3. Schutz gespeicherter Karteninhaberdaten.
  4. Verschlüsselung bei der Übertragung von Karteninhaberdaten über offene, öffentliche Netze.
  5. Verwendung und regelmäßige Aktualisierung von Antivirensoftware.
  6. Entwicklung und Wartung sicherer Systeme und Anwendungen.
  7. Beschränkung des Zugriffs auf Karteninhaberdaten je nach Geschäftsinformationsbedarf.
  8. Zuweisung einer eindeutigen ID für jede Person mit Computerzugriff.
  9. Beschränkung des physischen Zugriffs auf Karteninhaberdaten.
  10. Verfolgung und Ãœberwachung des gesamten Zugriffs auf Netzwerkressourcen und Karteninhaberdaten.
  11. Regelmäßiges Testen der Sicherheitssysteme und -prozesse.
  12. Befolgung einer Informationssicherheits-Richtlinie.

Die aktuelle Version PCI DSS 3.2.

Das PCI Security Standards Council (PCI SSC) gibt regelmäßig neue Versionen seines Standards für Datensicherheit im elektronischen Zahlungsverkehr heraus. Die aktuelle Version ist die Payment Application Data Security Standard (PA-DSS) Version 3.2. Die alte Version 3.1 wird am 31. Oktober 2016 ihre Gültigkeit verlieren. Weitere Informationen zu Änderungen finden Sie hier.

Kostenlos Angebot anfordern?

AGBs

  • Ich akzeptiere die AGBs und Datenschutzerklärung

Fraud im Mobile Payment

Fraud im Mobile Payment

Welche Betrugsarten und welche Präventionsmaßnahmen gibt es? Alle Infos zum Fraud im Mobile Payment. Jetzt hier nachlesen!

Mehr lesen
2017-11-20