PCI DSS
PCI DSS
Basis für eine einheitliche Vorgehensweise zum Schutz von Kreditkartendaten
Zur Erinnerung: Wofür steht eigentlich PCI DSS noch mal?
PCI DSS (Payment Card Industry Data Security Standard, (kurz PCI) ist der Sicherheitsstandard der Kreditkartenorganisationen mit strengen Vorgaben, die den sorgfältigen und geschützten Umgang mit Kreditkartendaten sicherstellen sollen. Der Standard wurde von den fünf wichtigsten Kreditkartenunternehmen (American Express, JCB, MasterCard, Discover Financial Services and Visa) ins Leben gerufen und umfasst Sicherheitsanforderungen, die folgende Ziele verfolgen:
- 1. Einrichtung und Betrieb eines geschützten Netzwerks
- 2. Schutz von aufbewahrten und übermittelten Karteninhaberdaten
- 3. Einrichtung und Betrieb eines Schwachstellen-Management-Systems
- 4. Umsetzung effektiver Richtlinien zur Zugriffskontrolle
- 5. Regelmäßige Überwachung und Überprüfung der IT-Infrastruktur
- 6. Formulierung und Durchsetzung einer Richtlinie zur Informationssicherheit
Was bedeutet die Einhaltung des PCI DSS?
PCI DSS-Compliance bedeutet, dass die PCI DSS-Anforderungen jederzeit erfüllt werden und eine gültige Dokumentation als Nachweis dafür vorliegt.
Gültige PCI DSS-Compliance-Dokumente sind entweder ein korrekt ausgefüllter PCI DSS Self-Assessment Questionnaire (SAQ) oder Attestation of Compliance (AoC) / Report on Compliance (ROC), die gegebenenfalls von sauberen ASV-Scan-Berichten begleitet werden müssen.
Die PCI DSS-Validierung muss jährlich erneuert werden. Weitere laufende Sicherheitsmaßnahmen (z. B. vierteljährliche ASV-Scans, regelmäßiges Software-Patching, Netzwerküberwachung, Änderung von Passwörtern usw.) sind vom Händler oder den von ihm beauftragten Dienstleistern zu ergreifen.
Wird eine Sicherheitsanforderung nicht erfüllt, muss der Händler unverzüglich geeignete Abhilfemaßnahmen ergreifen, um die Sicherheitsstandards zu erfüllen.
Welche Unternehmen sind nachweispflichtig?
Jedes Unternehmen, welches Kreditkartenzahlung akzeptiert, muss sich an die Sicherheitsvorgaben der Kreditkartenorganisationen und somit des PCI DSS halten. Dabei sind die Größe des Unternehmens und die Anzahl der Kreditkartentransaktionen pro Jahr unerheblich für die Nachweispflicht des Unternehmens.
Was ändert sich ab dem 31.03.2024?
Das PCI Security Standards Council (PCI SSC) hat mit PCI DSS v4.0 das bisher umfangreichste Update des Sicherheitsstandards für Kreditkartendaten veröffentlicht, welches die bisherige Version PCI DSS v3.2.1 zum 31.03.2024 vollständig ablösen wird.
Aber gut zu wissen: In dieser sog. Übergangszeit (d.h. bis zum 31.03.2024) können Zertifizierungen nach wie vor nach PCI DSS v3.2.1 erfolgen. Da der Nachweis nach Version3.2.1 auch nach Abschluss noch ein Jahr lang gültig ist, wäre ein am 30.03.2024 anerkannter PCI-Konformitätsnachweis nach Version 3.2.1 erst zum 30.03.2025 in der Version 4.0 zu erneuern.
Die signifikanteste Änderung mit PCI DSS v4.0: Die Durchführung von externen Schwachstellenscans für SAQ A-Händler wird verpflichtend
Auch wenn sich die Einstufung in die SAQ Typen mit PCI v4.0 nicht geändert hat, gibt es in Bezug auf den SAQ-Typ A (d.h. alle E-Commerce Händler, die Kartenzahlungen komplett an einen PCI DSS konformen Zahlungsdienstleister ausgelagert haben) eine signifikante Änderung: Weil der PCI-Prüfumfang bei Kartenzahlungen auf die Webseite selbst erweitert wurde (gemäß den Vorgaben rückt die Sicherheit des Absprungpunkts auf der Bezahlseite (Payment Page) beim Händler in den PCI-Prüfumfang), besteht mit der Version 4.0 die Anforderung zur Durchführung von externen Schwachstellenscans, die in regelmäßigen Abständen von 90 Tagen zu erfolgen haben.
Dies ist der Entwicklung geschuldet, dass die Checkout-Seite mit dem Link zur Kartenzahlung für Angriffe Dritter immer mehr in den Fokus rückte. Über Web-Skimming und unsichere Payment Page Skripte versuchen Angreifer bereits vor der Weiterleitung des Karteninhabers auf die Seiten des PCI zertifizierten Partners in die Abwicklung einzugreifen.
Betroffen sind also alle E-Commerce Händler, bei denen der Absprung zum VR pay Internet Gateway von der Webseite erfolgt (d.h. per iFrame oder URL-Redirect, nicht aber bei Abwicklung über einen Zahlungslink oder bei Mobile SDK-Lösungen), auch wenn sie die Daten nicht verarbeiten oder speichern, sondern nur eine Payment Page bzw. einen PSP nutzen.
Warum ist die Rezertifizierung nach PCI DSS v3.2.1 vor dem 31.03.2024 so wichtig?
Bis zum 31.03.2024 kann die vereinfachte Rezertifizierung wie bisher ohne Scanpflicht
durchgeführt werden und ist dann weitere 12 Monate gültig. Sobald ein Händler mit
webbasierter Entgegennahme von Kartenzahlungen einen SAQ A in PCI DSS v4.0
ausfüllt, muss VR Payment nach den neuen Regularien für PCI Compliance formal auch
auf die Durchführung der externen Schwachstellenscans bestehen.
Ihr Weg zur VR Payment PCI DSS Plattform
Hier gelangen Sie zur VR Payment PCI DSS Plattform: https://kartensicherheit.vr-payment.de.
Bei Fragen zum Thema hilft Ihnen unser PCI DSS Competence Center. Sie erreichen es montags bis freitags in der Zeit von 8:00 bis 18:00 Uhr.
Telefon: +49 6102 8631-740
E-Mail: support@kartensicherheit.vr-payment.de