PCI DSS-Version 4.0 tritt am 31. März 2024 in Kraft
Seit dem Jahr 2005 waren über elf Milliarden Kundendatensätze von mehr als 8.500 Datenschutzverletzungen betroffen. Das besagen die aktuellen Zahlen des Privacy Rights Clearinghouse, das seit 2005 verbraucherschutzrelevante Datenlecks und Sicherheitslücken erfasst.
Um die Sicherheit von Verbraucherdaten und das Vertrauen ins Zahlungssystem zu verbessern, wurde ein Mindeststandard für Datensicherheit geschaffen. Visa, Mastercard, American Express, Discover und JCB haben sich zusammengetan und daraus ist 2006 das Payment Card Industry Security Standards Council (PCI SSC) hervorgegangen. Seine Aufgabe besteht darin, Sicherheitsstandards für Unternehmen, die Kreditkarteninformationen verarbeiten, zu verwalten und umzusetzen. Vor der Gründung des PCI SSC hatten alle fünf genannten Kreditkartenunternehmen ihre eigenen Sicherheitsstandardprogramme, deren Anforderungen und Ziele in etwa übereinstimmten. Sie schlossen sich über das PCI SSC zusammen, um sich an einer einzigen Standardrichtlinie, den PCI Data Security Standards (PCI DSS), zu orientieren, in der Absicht, einen Grundschutz für Verbraucher/innen und Banken im Internet-Zeitalter zu gewährleisten.
Komplexe PCI DSS-Anforderungen verstehen
Wenn Ihr Geschäftsmodell die Verarbeitung von Kartendaten erfordert, müssen Sie möglicherweise alle 300+ Sicherheitskontrollen des PCI DSS erfüllen. Der PCI-Beirat hat mehr als 1.800 Seiten offizieller Unterlagen zum PCI DSS veröffentlicht und allein mehr als 300 Seiten, die nur beschreiben, welche Formulare zur Konformitätsvalidierung erforderlich sind. Allein das zu lesen würde über drei Tage in Anspruch nehmen.
Um Unternehmen das Leben zu erleichtern, haben wir einen detaillierten Leitfaden zum Thema Konformitätsvalidierung und -wahrung erstellt.
Was ist der PCI Data Security Standard (PCI DSS)?
PCI DSS ist der globale Sicherheitsstandard für alle Organisationen, die Karteninhaberinformationen und/oder sensible Authentifizierungsdaten speichern, verarbeiten oder übertragen. PCI DSS legt einen Grundverbraucherschutz fest und hilft dabei, Datenschutzverletzungen und Betrugsfälle innerhalb des gesamten Zahlungssystems zu reduzieren. PCI DSS gilt für alle Organisationen, die Zahlungskarten akzeptieren und verarbeiten.
Die PCI DSS-Konformität umfasst drei Hauptkomponenten:
- Den Umgang mit eingehenden Kreditkarteninformationen von Kundinnen und Kunden, das heißt sicheres Sammeln und Übertragen von sensiblen Kartendaten
- Sicheres Speichern von Daten, das in den 12 Sicherheitsdomänen des PCI-Standards erläutert ist, wie Verschlüsselung, laufende Überwachung und Sicherheitstests für den Zugriff auf Kartendaten
- Jährliche Überprüfung der Einhaltung der erforderlichen Sicherheitskontrollen. Dies kann Formulare, Fragebögen, externes Sicherheitslücken-Scanning und Überprüfungen durch Drittparteien umfassen (eine Übersicht über die vier Anforderungsstufen finden Sie weiter unten im detaillierten Leitfaden)
Umgang mit Kartendaten
Manche Geschäftsmodelle erfordern den direkten Umgang mit sensiblen Kreditkartendaten bei der Annahme von Zahlungen, andere nicht. Unternehmen, die mit diesen Daten arbeiten (z. B. bei der Annahme nicht-tokenisierter PANs auf einer Bezahlseite) müssen gegebenenfalls die mehr als 300 Sicherheitskontrollen des PCI DSS erfüllen. Selbst wenn die Kartendaten nur für einen kurzen Moment seine Server durchlaufen, muss das Unternehmen Sicherheitssoftware und -hardware kaufen, einsetzen und warten.
Wenn es für ein Unternehmen nicht erforderlich ist, mit sensiblen Kartendaten zu arbeiten, dann sollte es das auch nicht tun. Drittanbieterlösungen (wie Stripe Elements) akzeptieren und speichern die Daten auf sichere Weise, sodass unnötige Risiken, Kosten und Komplexität entfallen. Da die Server des Unternehmens niemals mit Kartendaten in Berührung kommen, muss das Unternehmen lediglich einige wenige Sicherheitskontrollen durchlaufen, die in der Regel relativ unkompliziert sind (z. B. das Verwenden starker Passwörter).
Sicheres Speichern von Daten
Ein Unternehmen, das Kreditkartendaten handhabt oder sie speichert, muss den Umfang seiner Karteninhaberdatenumgebung (CDE) definieren. PCI DSS fasst unter CDE alle Personen, Verfahren und Technologien zusammen, die Kreditkartendaten speichern, verarbeiten oder übertragen – oder jegliche damit verbundenen Systeme. Da CDE allen 300+ Sicherheitsanforderungen des PCI DSS unterliegt, ist es wichtig, die Zahlungsumgebung strikt vom Rest des Unternehmens abzugrenzen, um den Umfang der PCI-Validierung zu verringern. Wenn ein Unternehmen den CDE-Bereich nicht abgrenzen kann, müsste jedes einzelne System, jeder Laptop und jedes noch so kleine Gerät des Unternehmensnetzwerks alle PCI-Sicherheitskontrollen durchlaufen und das wäre ein regelrechter Albtraum!
Jährliche Validierung
Unabhängig von der Art, wie Kartendaten angenommen werden, müssen Unternehmen jedes Jahr ein PCI-Validierungsformular ausfüllen. Die Validierung der PCI-Konformität hängt von unterschiedlichen Faktoren ab, die weiter unten erläutert sind. In den folgenden drei Szenarien könnte ein Unternehmen aufgefordert werden, seine PCI-Konformität nachzuweisen:
- Zahlungsabwickler könnten dies als Teil ihrer Berichte anfordern, die sie an die Zahlungskartenmarken liefern müssen.
- Geschäftspartner könnten es als Bedingung anfordern, einen Geschäftsvertrag einzugehen.
- Bei Plattform-Unternehmen (solche, deren Technologie Online-Transaktionen zwischen mehreren unterschiedlichen Nutzergruppen ermöglicht) könnten Kundinnen und Kunden diesen Nachweis anfordern, um ihrer eigenen Kundschaft zu zeigen, dass sie sicher mit Daten umgehen.
Der PCI DSS-Sicherheitsstandard enthält 12 Hauptanforderungen mit mehr als 300 Unteranforderungen, die die führenden Praktiken in Sachen Sicherheit widerspiegeln.
Entwickeln Sie sichere Netzwerke und Systeme und warten Sie diese regelmäßig
- 1. Richten Sie Netzwerksicherheitskontrollen ein und warten Sie diese.
- 2. Nutzen Sie sichere Konfigurationen für alle Systemkomponenten.
Schützen Sie Kontodaten
- 3. Schützen Sie gespeicherte Karteninhaberdaten.
- 4. Schützen Sie Karteninhaberdaten bei der Übertragung über offene, öffentliche Netzwerke mit starker Verschlüsselung.
Implementieren Sie ein Programm zum Managen von Sicherheitslücken
- 5. Schützen Sie alle Systeme und Netzwerke vor Schadsoftware.
- 6. Entwickeln Sie sichere Systeme und Software und warten Sie diese.
Ergreifen Sie strikte Zugriffskontrollmaßnahmen
- 7. Beschränken Sie den Zugriff auf Systemkomponenten und Karteninhaberdaten nach dem „Need to Know“-Prinzip.
- 8. Identifizieren Sie Nutzer/innen und authentifizieren Sie den Zugriff auf Systemkomponenten.
- 9. Beschränken Sie den physischen Zugriff auf Karteninhaberdaten.
Kontrollieren und testen Sie Netzwerke regelmäßig
- 10. Protokollieren und überwachen Sie den Zugriff auf Systemkomponenten und Karteninhaberdaten.
- 11. Testen Sie regelmäßig die Sicherheit von Systemen und Netzwerken.
Implementieren Sie eine Informationssicherheitsrichtlinie
- 12. Unterstützen Sie die Informationssicherheit mit Unternehmensrichtlinien und -verfahren.
Um Unternehmen die PCI-Konformität zu vereinfachen, hat der PCI-Beirat neun verschiedene Selbstbewertungsfragebögen (Self-Assessment Questionnaires, SAQ) erstellt, die eine Untergruppe der PCI DSS-Gesamtanforderungen darstellen. Sie müssen nur herausfinden, welcher der richtige Fragebogen ist und ob es notwendig ist, eine/n vom PCI-Beirat genehmigte/n Prüfer/in anzuheuern, die bzw. der bestätigt, dass alle PCI DSS-Sicherheitsanforderungen erfüllt wurden. Darüber hinaus überarbeitet der PCI-Beirat die Regeln alle drei Jahre und veröffentlicht das ganze Jahr über hinzukommende Änderungen und Aktualisierungen, wodurch die Komplexität noch verschärft wird.
Schritt-für-Schritt zur PCI DSS-Konformität
1. Machen Sie sich mit Ihren Anforderungen vertraut
Für die korrekte Erreichung der PCI-Konformität müssen Sie zunächst einmal die entsprechenden Anforderungen für Ihr Unternehmen kennen. Es gibt vier verschiedene PCI-Konformitätsstufen. Die Einstufung Ihres Unternehmens hängt in der Regel davon ab, wie viele Kreditkartentransaktionen es über einen Zeitraum von 12 Monaten abwickelt.
Konformitäts-Level
|
Trifft zu auf
|
Anforderungen
|
---|---|---|
Level 1
|
|
|
Level 2
|
Organisationen, die jährlich zwischen 1 und 6 Millionen Transaktionen abwickeln |
|
Level 3
|
|
Wie oben beschrieben |
Level 4
|
|
Wie oben beschrieben |
Für Level 2 bis 4 existieren unterschiedliche SAQ-Typen, abhängig von Ihrer Zahlungsintegrationsmethode. Hier erhalten Sie eine kurze Übersicht:
SAQ (Selbstbewertungsfragebogen)
|
Beschreibung
|
---|---|
A
|
Card-Not-Present-Händler/innen (E-Commerce oder Versand-/Telefonbezahlung), die alle Kontodatenfunktionen an einen nach PCI DSS validierten und konformen Drittanbieter auslagern. Keine elektronische Speicherung, Verarbeitung oder Übertragung von Kontodaten in ihren Systemen oder an ihrem Standort.
Trifft nicht auf Face-to-Face-Channels zu. Trifft nicht auf Dienstleister zu. |
A-EP
|
E-Commerce-Händler/innen, die die Zahlungsabwicklung teilweise an nach PCI DSS validierte und konforme Drittanbieter auslagern und Websites verwenden, auf denen zwar keine Kontodaten empfangen werden, die aber Auswirkungen auf die Sicherheit der Zahlungstransaktion und/oder die Integrität der Seite haben, auf der die Kontodaten der Kundin/des Kunden akzeptiert werden. Keine elektronische Speicherung, Verarbeitung oder Übertragung von Kontodaten in den Systemen oder am Standort des Händlers/der Händlerin.
Trifft nur auf E-Commerce-Kanäle zu. Trifft nicht auf Dienstleister zu. |
B
|
Händler/innen, die nur Folgendes nutzen:
|
B-IP
|
Händler/innen, die nur eigenständige, PTS-anerkannte Zahlungsterminals mit einer IP-Verbindung zum Zahlungsabwickler ohne elektronischen Karteninhaberdatenspeicher nutzen.
Trifft nicht auf E-Commerce-Kanäle zu. |
C-VT
|
Händler/innen, die Zahlungskontodaten für jeweils eine einzelne Transaktion manuell über eine Tastatur in eine virtuelle Zahlungsterminal-Lösung eingeben, die von einem nach PCI DSS validierten und konformen Drittanbieter gehostet wird und über ein isoliertes Computergerät und einen sicher verbundenen Webbrowser genutzt wird. Keine elektronische Speicherung von Kontodaten.
Trifft nicht auf E-Commerce-Kanäle zu. Trifft nicht auf Dienstleister zu. |
C
|
Händler/innen, deren Zahlungsanwendungssysteme mit dem Internet verbunden sind; keine elektronische Speicherung von Kontodaten.
Trifft nicht auf E-Commerce-Kanäle zu.
Trifft nicht auf Dienstleister zu. |
P2PE
|
Händler/innen, die ausschließlich eine validierte, PCI-gelistete Point-to-Point-Verschlüsselungslösung (P2PE) verwenden. Kein Zugriff auf Klartext-Kontodaten und keine elektronische Speicherung von Kontodaten.
Trifft nicht auf E-Commerce-Kanäle zu. Trifft nicht auf Dienstleister zu. |
SPoC*
|
Händler/innen, die ein handelsübliches Standard-Mobilgerät (z. B. ein Handy oder ein Tablet) mit einem sicheren Kartenlesegerät nutzen, das Teil der PCI SSC-Liste validierter SPoC-Lösungen ist. Kein Zugriff auf Klartext-Kontodaten und keine elektronische Speicherung von Kontodaten.
Trifft nicht auf unbeaufsichtigte Card-Present-Transaktionen, Versand-/Telefonbezahlung oder E-Commerce-Kanäle zu. Trifft nicht auf Dienstleister zu. |
D
|
SAQ D für Händler/innen: Alle Händler/innen, die nicht in den Beschreibungen für die oben genannten SAQ-Typen enthalten sind.
SAQ D für Dienstleister/innen: Alle Dienstleister/innen, die von einer Zahlungsmarke als berechtigt definiert wurden, einen SAQ auszufüllen. |
* Neuer SAQ für PCI DSS v4.0
|
2. Visualisieren Sie Ihre Datenflüsse
Bevor Sie sensible Kreditkarteninformationen schützen können, müssen Sie erst wissen, wo diese Daten sind und wie sie dorthin gelangen. Sie müssen eine umfassende Übersicht der Systeme, Netzwerkverbindungen und Anwendungen erstellen, die mit den Kreditkartendaten innerhalb Ihres Unternehmens interagieren. Je nach Ihrer Position werden Sie dazu vermutlich mit den IT- und Sicherheitsteams zusammenarbeiten müssen.
- Identifizieren Sie zunächst jeden verbraucherorientierten Bereich Ihres Unternehmens, der an Zahlungstransaktionen beteiligt ist, zum Beispiel wenn Sie Zahlungen über einen Online-Warenkorb, In-Store-Zahlungsterminals oder Telefonbestellungen annehmen.
- Der nächste Schritt besteht darin, festzustellen, wie Karteninhaberinformationen innerhalb Ihres Unternehmens gehandhabt werden. Es ist wichtig, genau zu wissen, wo die Daten gespeichert werden und wer darauf Zugriff hat.
- Identifizieren Sie dann die internen Systeme oder zugrundeliegenden Technologien, von denen Zahlungstransaktionen betroffen sind. Dazu zählen Ihre Netzwerksysteme, Datencenter und Cloud-Umgebungen.
3. Überprüfen Sie Ihre Sicherheitskontrollen und -protokolle
Sobald Sie eine Übersicht aller potenziellen Touchpoints für Kreditkartendaten innerhalb Ihres Unternehmens erstellt haben, arbeiten Sie mit Ihren IT- und Sicherheitsteams zusammen, um sicherzustellen, dass die richtigen Sicherheitskonfigurationen und -protokolle vorhanden sind (weiter oben finden Sie eine Liste der 12 Sicherheitsanforderungen für PCI DSS). Diese Protokolle dienen dazu, die Datenübertragung zu sichern (z. B. Transport Layer Security, TLS).
Die 12 Sicherheitsanforderungen für PCI DSS basieren auf führenden Praktiken zum Schutz sensibler Daten für alle Unternehmen. Einige überschneiden sich mit den Anforderungen der Datenschutzmandate für DSGVO, HIPAA und andere. Es kann also sein, dass manche davon in Ihrem Unternehmen bereits in Kraft sind.
4. Kontrolle und Wartung
Es ist wichtig, sich klarzumachen, dass PCI-Konformität kein einmaliges Ereignis ist, sondern vielmehr ein kontinuierlicher Prozess, der Konformität auch dann wahrt, wenn Datenflüsse und Kunden-Touchpoints sich weiterentwickeln. Bei einigen Kreditkartenmarken müssen Sie möglicherweise vierteljährliche oder jährliche Berichte einreichen oder eine jährliche Standortprüfung durchführen, um laufende Konformität zu validieren, insbesondere, wenn Sie mehr als 6 Millionen Transaktionen pro Jahr abwickeln.
Die Verwaltung der jährlichen PCI-Konformität (sowie im Jahresvergleich) erfordert häufig Zusammenarbeit und Unterstützung innerhalb der verschiedenen Abteilungen. Es wäre nicht verkehrt, ein spezielles Team zusammenzustellen, das sich intern um die Konformität kümmert. Jedes Unternehmen ist zwar anders, doch ein guter Startpunkt für ein solches Team wäre die Repräsentation folgender Faktoren:
- Sicherheit: Der Chief Security Officer (CSO), der Chief Information Security Officer (CISO) und ihre Teams stellen sicher, dass das Unternehmen stets ausreichend in die erforderlichen Datensicherheits- und Datenschutzressourcen und -richtlinien investiert.
- Technologie/Zahlungen: Der Chief Technology Officer (CTO), der VP für Zahlungen und ihre Teams stellen sicher, dass wichtige Tools, Integrationen und die Infrastruktur konform bleiben, während sich die Unternehmenssysteme weiterentwickeln.
- Finanzen: Der Chief Financial Officer (CFO) und sein Team stellen sicher, dass alle Zahlungsabläufe bezüglich Zahlungssystemen und Partnern nachverfolgbar sind.
- Rechtsabteilung: Dieses Team kann Ihnen dabei helfen, die zahlreichen rechtlichen Feinheiten der PCI DSS-Konformität zu navigieren.
Um mehr über die komplexe Welt der PCI-Konformität zu erfahren, besuchen Sie die Website des Beirats für PCI-Sicherheitsstandards. Wenn Sie nur diesen Leitfaden und einige weitere PCI-Dokumente lesen möchten, empfehlen wir Ihnen, hier zu beginnen: priorisierter Ansatz für PCI DSS, SAQ-Anleitung und -Richtlinien, FAQ zur Nutzung der SAQ-Anspruchskriterien, um die Standortprüfungsanforderungen zu bestimmen, sowie FAQ zu Verpflichtungen von Händlern, die Apps für Verbrauchergeräte entwickeln, die Zahlungskartendaten akzeptieren.
Wie Stripe Organisationen beim Erlangen und Aufrechterhalten der PCI-Konformität unterstützt
Die PCI-Konformität wird Unternehmen, die über Integrationen in Checkout, Elements, mobile SDKs und Terminal-SDKs verfügen, durch Stripe enorm erleichtert. Stripe Checkout und Stripe Elements nutzen ein gehostetes Zahlungsfeld zum Verarbeiten aller Zahlungskartendaten. Karteninhaber/innen geben sensible Informationen also in ein Zahlungsfeld ein, das direkt aus unseren durch PCI DSS validierten Servern hervorgeht. Darüber hinaus ermöglichen es mobile und Terminal-SDKs von Stripe den Karteninhaberinnen und Karteninhabern, sensible Zahlungsinformationen direkt an unsere durch PCI DSS validierten Server zu senden.
Stripe agiert unabhängig von der Integration für alle Nutzer/innen als PCI-Vertreter und kann auf verschiedene Weise behilflich sein.
- Wir analysieren Ihre Integrationsmethode und beraten Sie bezüglich der Verringerung Ihrer Konformitätsrisiken.
- Wir benachrichtigen Sie im Voraus, wenn ein wachsendes Transaktionsvolumen eine Änderung bei der Validierung der Konformität erfordert.
- Für große Händler/innen (Level 1), die mit einem PCI QSA zusammenarbeiten müssen (sei es, weil sie Kreditkartendaten speichern oder einen komplexen Zahlungsablauf nutzen), gibt es weltweit mehr als 350 solcher QSA-Unternehmen und wir können Sie mit mehreren Prüferinnen und Prüfern in Verbindung setzen, die die unterschiedlichen Stripe-Integrationsmethoden im Detail kennen.
Fazit
Die Überprüfung und Validierung der PCI-Konformität findet in der Regel einmal im Jahr statt, doch das heißt nicht, dass PCI-Konformität ein einmaliges Ereignis ist – vielmehr muss sie als wesentliche und kontinuierliche Bewertungs- und Sanierungsleistung betrachtet werden. Mit dem Wachstum eines Unternehmens, entwickeln sich auch die Kerngeschäftslogik und -verfahren weiter und damit die Konformitätsanforderungen. Ein Online-Unternehmen könnte sich beispielsweise entschließen, physische Geschäfte zu eröffnen, neue Märkte zu betreten oder ein Kundensupport-Center einzurichten. Wenn irgendeine Neuerung das Verarbeiten von Zahlungskartendaten erfordert, sollten Sie aktiv überprüfen, ob dies Auswirkungen auf Ihre PCI-Validierungsmethode hat und die PCI-Konformität gegebenenfalls revalidieren.
PCI-Konformität ist ein wichtiger Schritt, reicht aber alleine nicht aus.
Die Einhaltung der PCI DSS-Richtlinien ist ein wichtiger Schutzfaktor für Ihr Unternehmen, reicht aber alleine nicht aus. Der PCI DSS legt wichtige Standards für die Verarbeitung und Speicherung von Karteninhaberdaten fest, bietet jedoch alleine keinen ausreichenden Schutz für jede Zahlungsumgebung. Der Wechsel zu Kartenannahmemethoden, die mehr Sicherheit bieten (wie Stripe Checkout, Elements oder mobile SDKs) kann Ihr Unternehmen auf effektivere Weise schützen.
Dieser Ansatz bietet agilen Unternehmen eine Möglichkeit, potenziellen Datenschutzverletzungen vorzugreifen, ohne dabei den emotionalen, zeit- und kostenaufwendigen herkömmlichen Weg zur PCI-Konformität gehen zu müssen. Ganz zu schweigen davon, dass eine sicherere Integrationsmethode das ganze Jahr über zuverlässig funktioniert.