Article

Was ist PCI-Konformität? Standards und Best Practices.

Informationen Article

Um erfolgreich zu sein, müssen Marken der Sicherheit vertraulicher Kundendaten Priorität einräumen. Das ist besonders wichtig, wenn ihr über eine E-Commerce-Website verfügt und Online-Zahlungen annehmt. PCI-Konformität adressiert die mit Online-Zahlungen verbundenen Sicherheitsbedenken: Es werden bestimmte Standards vorgeschrieben, die Unternehmen erfüllen müssen, wenn sie Zahlungen mit Kredit- und Debitkarten akzeptieren möchten.

Was ist PCI-Konformität?

Konformität mit dem PCI-Standard der Zahlungskartenindustrie beinhaltet die Erfüllung einer Reihe von Sicherheitsstandards für Unternehmen, die Kreditkartendaten annehmen, verarbeiten, speichern oder übermitteln. Durch PCI-Konformität können Unternehmen jeder Größe Betrugsversuche unterbinden, Datenschutzverletzungen verhindern und sensible Zahlungsdaten ihrer Kunden schützen.

Der Payment Card Industry Data Security Standard (PCI DSS) dient der Sicherheit von Debit- und Kreditkartennummern. Entwickelt wird der PCI DSS vom PCI Security Standards Council, einem Joint Venture der fünf größten Zahlungskartenanbieter – American Express, Discover, JCB, Mastercard und Visa. Seit 2006 arbeitet der PCI Security Standards Council daran, seine Mission zur „Optimierung der globalen Sicherheit von Zahlungskontodaten“ zu erfüllen.

Der PCI DSS gilt für Dienstleister und Händler. Ein Dienstleister ist ein Unternehmen, das Daten von Karteninhabern im Namen eines anderen Unternehmens verarbeitet, speichert oder übermittelt. Ein Händler ist ein Unternehmen, das Kreditkartenzahlungen für online verkaufte Waren oder Dienstleistungen annimmt.

Wenn ihr für ein Unternehmen tätig seid, das aus irgendeinem Grund Debit- oder Kreditkartentransaktionen abwickelt, müsst ihr die Anforderungen des PCI DSS kennen und einhalten.

PCI-Konformitätsstandards.

Der PCI DSS beinhaltet 12 spezifische Anforderungen, die sechs Zielen zugeordnet sind. Hier findet ihr einen kurzen Überblick.

Ziel 1 – Erstellen und Warten eines sicheren Netzwerks. 

Anforderung 1 – Installieren und Warten einer Firewall-Konfiguration zum Schutz der Daten von Karteninhabern.
Euer Unternehmen muss eine Firewall-Konfiguration implementieren, um Daten von Karteninhabern zu schützen und ein sicheres Netzwerk zu erstellen. Eine Firewall überwacht euren Netzwerk-Traffic und blockiert alle Übertragungen, die nicht euren spezifischen Sicherheitskriterien entsprechen.

Anforderung 2 – Verwenden anderer als der vom Anbieter festgelegten Standardwerte für Systemkennwörter oder andere Sicherheitsparameter.
Euer Unternehmen darf nicht weiter das Kennwort nutzen, das euer Software-Anbieter erstellt hat, als ihr die Software gekauft habt. Ihr müsst stattdessen eigene sichere Systemkennwörter einrichten.

Ziel 2 – Schützen der Daten von Karteninhabern.

Anforderung 3 – Schützen gespeicherter Daten von Karteninhabern.
Wenn ihr Daten von Karteninhabern speichert, besteht das Risiko einer Datenschutzverletzung. Arbeitet mit einem PCI DSS-konformen Hosting-Anbieter zusammen, um mithilfe virtueller und physischer Methoden verschiedene Ebenen zum Schutz von Daten zu implementieren. Virtuelle Methoden umfassen Kennwörter und Authentifizierung, während physische Maßnahmen Zugangsbeschränkungen und Schlösser an Aufbewahrungsschränken beinhalten.

Anforderung 4 – Verschlüsseln bei der Übertragung von Karteninhaberdaten über offene, öffentliche Netzwerke.
Bevor Daten von Punkt A an Punkt B übermittelt werden, müssen sie verschlüsselt werden. Euer Unternehmen muss dazu starke Verschlüsselungsprotokolle implementieren. Außerdem müssen Netzwerke so konfiguriert werden, dass Benutzer keine Möglichkeit haben, auf Daten von Karteninhabern zuzugreifen.

Ziel 3 – Unterhalten eines Programms zur Verwaltung von Schwachstellen.

Anforderung 5 – Verwenden und regelmäßiges Aktualisieren von Antiviren-Software. 
Antiviren-Software ist entscheidend für den Schutz eures Unternehmens vor neuester Malware. Wenn ihr eure Daten auf ausgelagerten Servern hostet, müsst ihr dafür sorgen, dass euer Managed-Services-Anbieter ebenfalls eine sichere Umgebung pflegt.

Anforderung 6 – Entwickeln und Warten sicherer Systeme und Programme. 
Wenn ihr euch für einen PCI DSS-konformen Hosting-Anbieter entscheidet, könnt ihr euch darauf verlassen, dass dieser seine Systeme überwacht und aktualisiert, um Schwachstellen zu beseitigen.

Ziel 4 – Implementieren starker Zugriffskontrollmaßnahmen.

Anforderung 7 – Beschränken des Zugriffs auf Karteninhaberdaten je nach Geschäftsinformationsbedarf. 
Gewährt nicht allen Mitarbeitern eures Unternehmens Zugriff auf Karteninhaberdaten. Begrenzt vielmehr die Anzahl der Personen, die Zugriff haben. So könnt ihr das Risiko einer Datenschutzverletzung erheblich reduzieren.

Anforderung 8 – Zuweisen einer eindeutigen ID an jede Person, die Zugriff auf Computer hat.
Anhand einer eindeutigen digitalen ID könnt ihr verfolgen, wer auf euer Netzwerk zugreift. Außerdem solltet ihr die Anwender auffordern, ihr Kennwort alle 30 Tage zu ändern und andere sicherheitsrelevante Best Practices zu befolgen, und dafür sorgen, dass sie nach einer bestimmten Zeit der Inaktivität abgemeldet werden.

Anforderung 9 – Beschränken des physischen Zugriffs auf Karteninhaberdaten.
Die Server, auf denen eure Karteninhaberdaten gespeichert werden, müssen sich in einer sicheren Umgebung befinden (ob lokal oder extern) und dürfen nur für eine begrenzte Anzahl autorisierter Personen zugänglich sein.

Ziel 5 – Regelmäßiges Überwachen und Testen von Netzwerken.

Anforderung 10 – Verfolgen und Überwachen des gesamten Zugriffs auf Netzwerkressourcen und Karteninhaberdaten.
Wenn ihr Anwenderaktivitäten verfolgt, könnt ihr die Ursache einer Sicherheitsverletzung und anderer Probleme leichter ermitteln.

Anforderung 11 – Regelmäßiges Testen von Sicherheitssystemen und -prozessen.
Durch regelmäßiges Testen eurer Systeme, Prozesse und Software könnt ihr Schwachstellen erkennen, sobald sie auftreten, und eurem Hosting-Anbieter dabei helfen, die Daten eurer Kunden zu schützen.

Ziel 6 – Befolgen einer Informationssicherheitsrichtlinie.

Anforderung 12 – Erstellen einer Informationssicherheitsrichtlinie.
Wenn ihr über eine starke PCI DSS-konforme Sicherheitsrichtlinie verfügt, wissen eure Mitarbeiter genau, was von ihnen erwartet wird. Eure Richtlinie sollte akzeptable Nutzungen für Technologien, Routineprozesse für Risikoanalysen und betriebliche Sicherheitsmaßnahmen klar beschreiben.

Die Bedeutung von PCI-Konformität.

Als Unternehmen, das Debit- und Kreditkartentransaktionen abwickelt, dürft ihr die Bedeutung der PCI-Konformität auf keinen Fall unterschätzen. Solltet ihr nicht darauf achten, drohen euch ernsthafte Konsequenzen:

  • Monatliche Strafzahlungen.
    Haltet ihr den PCI DSS nicht ein, können Kreditkartenanbieter Strafen gegen euch verhängen. Diese Strafen können von 5.000 bis 100.000 Dollar im Monat reichen.
  • Datenschutzverletzungen.
    PCI DSS-Konformität garantiert nicht, dass es bei euch nie zu einer Datenschutzverletzung kommen wird. Sie verringert jedoch die Höhe der Geldstrafen, die euch gegebenenfalls auferlegt werden. Ihr werdet für jeden Karteninhaber, dessen Daten in Gefahr geraten sind, zwischen 50 und 90 Dollar zahlen müssen. Außerdem kann es sein, dass ihr die Beziehung mit eurer Bank oder eurem Zahlungsabwickler beenden müsst.
  • Beschädigter Ruf.
    Wenn es in eurem Unternehmen zu einer Datenschutzverletzung kommt, wird aller Wahrscheinlichkeit nach euer Ruf darunter leiden. Sobald die Öffentlichkeit herausfindet, dass Debit- und Kreditkartendaten eurer Kunden in Gefahr sind, wird es schwierig werden, ihr Vertrauen zurückzugewinnen.
  • Umsatzeinbußen.
    Monatliche Strafzahlungen und ein beschädigter Ruf können sich negativ auf eure Geschäftsergebnisse auswirken. Das kann dazu führen, das eure Umsätze deutlich einbrechen.

So erreicht ihr PCI-Konformität.

Händler, die online Debit- und Kreditkartenzahlungen abwickeln, müssen im Rahmen einer PCI DSS-Beurteilung eine von vier Konformitätsstufen erreichen. Die Anzahl der Transaktionen, die ihr jährlich verarbeitet, sowie eure Transaktionsbearbeitungshistorie bestimmen darüber, welche Stufe ihr befolgen müsst.
Die Konformitätsstufen können bis zu vier zentrale Anforderungen umfassen:

  • Fragebogen zur Selbstbewertung (Self Assessment Questionnaires, SAQs).
    Zweck eines SAQ ist es, zu beweisen, dass ihr geeignete Sicherheitsmaßnahmen ergriffen habt, um die Karteninhaberdaten eurer Kunden zu schützen. Es gibt neun verschiedene SAQs, zwischen denen Händler wählen können. Dabei bestimmt die Art und Weise, wie ihr Kreditkarten verarbeitet und Daten von Karteninhabern verwaltet, darüber, welchen Fragebogen ihr ausfüllen müsst.
  • Schwachstellen-Scans.
    Regelmäßige Schwachstellen-Scans sollen Ihnen helfen, potenzielle Sicherheitslücken zu erkennen. Sie müssen vierteljährlich interne und externe Scans durchführen, um sicherzustellen, dass Ihre Datenumgebung den aktuellen Sicherheitsstandards entspricht. Während interne Scans von mehreren Standorten innerhalb Ihres Netzwerks durchgeführt werden sollten, müssen externe Scans - für außerhalb Ihres Netzwerks konzipiert - jede externe IP-Adresse einbeziehen. 
  • Konformitätsbescheinigung.
    Die Konformitätsbescheinigung ist ein Formular, das bestätigt, dass ihr die Validierung ordnungsgemäß vorgenommen habt und eure Sicherheitsprotokolle regelkonform sind.
  • Konformitäts-Reports.
    Der Konformitäts-Report muss von einem externen Qualified Security Assessor (QSA) oder einem internen Sicherheitsangestellten erstellt werden, der über eine aktuelle ISA-Akkreditierung (Internal Security Assessor) verfügt. Damit wird der PCI-Konformitätsstatus eures Unternehmens validiert.

Vier Konformitätsstufen für Händler.

What is PCI Compliance? Standards and Best Practices

Best Practices für PCI-Konformität.

Wenn ihr für PCI-Konformität sorgen möchtet, solltet ihr folgende Tipps beachten:

  • Bietet Schulungen für Mitarbeiter an.
    Es ist nicht leicht, PCI-Konformitätsstandards einzuhalten, wenn eure Mitarbeiter nicht wissen, worin sie bestehen und warum sie so wichtig sind. Haltet eure Mitarbeiter mit monatlichen oder vierteljährlichen Schulungssitzungen auf dem Laufenden.
  • Reduziert den Umfang.
    PCI-Konformität lässt sich viel einfacher erreichen, wenn ihr den Umfang der Personen, Prozesse und Technologien verringert, die Karteninhaberdaten speichern, verarbeiten oder übermitteln. Trennt die Geräte, auf denen Karteninhaberdaten verarbeitet werden, von den Geräten, auf denen keine Karteninhaberdaten verarbeitet werden.
  • Richtet ein sicheres Netzwerk ein.
    Ein sicheres Netzwerk, das die Daten von Karteninhabern schützt, ist eine Grundvoraussetzung für jedes Unternehmen. Ihr solltet nicht nur eine zuverlässige Firewall installieren, sondern auch den Einsatz standardmäßiger Kennwörter und Sicherheitsparameter vermeiden. Verlangt von euren Mitarbeitern, dass sie Kennwörter in regelmäßigen Abständen ändern.
  • Seid geduldig. 
    Leider ist es unmöglich, über Nacht 100-prozentige Konformität zu erreichen. Konzentriert euch jeweils auf ein Ziel, damit ihr Schritt für Schritt vollständige PCI-Konformität erzielen könnt.

Macht PCI-Konformität einfach.

Anfänglich mag die Einhaltung von PCI DSS-Vorschriften nach einer unerfüllbaren Aufgabe klingen. Die gute Nachricht lautet: Das muss nicht so sein. Wenn ihr als Händler agiert, kann euch Magento Commerce dabei helfen, PCI DSS-konform zu werden. Die Lösung bietet integrierte Zahlungs-Gateways, mit denen Kreditkartendaten sicher über Direct-Post-API-Methoden oder gehostete Zahlungsformulare übertragen werden können, die mit eurer Checkout-Seite integriert sind.

Da Magento Commerce als Level-1-Lösungsanbieter zertifiziert ist, könnt ihr die PCI-Konformitätsbescheinigung von Magento nutzen, um euer eigenes PCI-Zertifizierungsverfahren zu unterstützen. Wenn ihr weitere Informationen zu der Frage wünscht, wie Magento Commerce das Erreichen von PCI-Konformität erleichtern kann, fordert noch heute eine kostenlose Demo an.

What is PCI Compliance? Standards and Best Practices