PCI DSS
PCI DSS
Basis für eine einheitliche Vorgehensweise zum Schutz von Kreditkartendaten
Zur Erinnerung: Wofür steht eigentlich PCI DSS noch mal?
PCI DSS (Payment Card Industry Data Security Standard, (kurz PCI) ist der Sicherheitsstandard der Kreditkartenorganisationen mit strengen Vorgaben, die den sorgfältigen und geschützten Umgang mit Kreditkartendaten sicherstellen sollen. Der Standard wurde von den fünf wichtigsten Kreditkartenunternehmen (American Express, JCB, MasterCard, Discover Financial Services and Visa) ins Leben gerufen und umfasst Sicherheitsanforderungen, die folgende Ziele verfolgen:
- 1. Einrichtung und Betrieb eines geschützten Netzwerks
- 2. Schutz von aufbewahrten und übermittelten Karteninhaberdaten
- 3. Einrichtung und Betrieb eines Schwachstellen-Management-Systems
- 4. Umsetzung effektiver Richtlinien zur Zugriffskontrolle
- 5. Regelmäßige Überwachung und Überprüfung der IT-Infrastruktur
- 6. Formulierung und Durchsetzung einer Richtlinie zur Informationssicherheit
Was bedeutet die Einhaltung des PCI DSS?
PCI DSS-Compliance bedeutet, dass die PCI DSS-Anforderungen jederzeit erfüllt werden und eine gültige Dokumentation als Nachweis dafür vorliegt.
Gültige PCI DSS-Compliance-Dokumente sind entweder ein korrekt ausgefüllter PCI DSS Self-Assessment Questionnaire (SAQ) oder Attestation of Compliance (AoC) / Report on Compliance (ROC), die gegebenenfalls von sauberen ASV-Scan-Berichten begleitet werden müssen.
Die PCI DSS-Validierung muss jährlich erneuert werden. Weitere laufende Sicherheitsmaßnahmen (z. B. vierteljährliche ASV-Scans, regelmäßiges Software-Patching, Netzwerküberwachung, Änderung von Passwörtern usw.) sind vom Händler oder den von ihm beauftragten Dienstleistern zu ergreifen.
Wird eine Sicherheitsanforderung nicht erfüllt, muss der Händler unverzüglich geeignete Abhilfemaßnahmen ergreifen, um die Sicherheitsstandards zu erfüllen.
Welche Unternehmen sind nachweispflichtig?
Jedes Unternehmen, welches Kreditkartenzahlung akzeptiert, muss sich an die Sicherheitsvorgaben der Kreditkartenorganisationen und somit des PCI DSS halten. Dabei sind die Größe des Unternehmens und die Anzahl der Kreditkartentransaktionen pro Jahr unerheblich für die Nachweispflicht des Unternehmens.
Die signifikanteste Änderung mit PCI DSS v4.0: Die Durchführung von externen Schwachstellenscans für SAQ A-Händler wird verpflichtend
Auch wenn sich die Einstufung in die SAQ Typen mit PCI v4.0 nicht geändert hat, gibt es in Bezug auf den SAQ-Typ A (d.h. alle E-Commerce Händler, die Kartenzahlungen komplett an einen PCI DSS konformen Zahlungsdienstleister ausgelagert haben) eine signifikante Änderung: Weil der PCI-Prüfumfang bei Kartenzahlungen auf die Webseite selbst erweitert wurde (gemäß den Vorgaben rückt die Sicherheit des Absprungpunkts auf der Bezahlseite (Payment Page) beim Händler in den PCI-Prüfumfang), besteht mit der Version 4.0 die Anforderung zur Durchführung von externen Schwachstellenscans, die in regelmäßigen Abständen von 90 Tagen zu erfolgen haben.
Dies ist der Entwicklung geschuldet, dass die Checkout-Seite mit dem Link zur Kartenzahlung für Angriffe Dritter immer mehr in den Fokus rückte. Über Web-Skimming und unsichere Payment Page Skripte versuchen Angreifer bereits vor der Weiterleitung des Karteninhabers auf die Seiten des PCI zertifizierten Partners in die Abwicklung einzugreifen.
Betroffen sind also alle E-Commerce Händler, bei denen der Absprung zum VR pay Internet Gateway von der Webseite erfolgt (d.h. per iFrame oder URL-Redirect, nicht aber bei Abwicklung über einen Zahlungslink oder bei Mobile SDK-Lösungen), auch wenn sie die Daten nicht verarbeiten oder speichern, sondern nur eine Payment Page bzw. einen PSP nutzen.
Ihr Weg zur VR Payment PCI DSS Plattform
Hier gelangen Sie zur VR Payment PCI DSS Plattform: https://kartensicherheit.vr-payment.de.
Bei Fragen zum Thema hilft Ihnen unser PCI DSS Competence Center. Sie erreichen es montags bis freitags in der Zeit von 8:00 bis 18:00 Uhr.
Telefon: +49 6102 8631-740
E-Mail: support@kartensicherheit.vr-payment.de