PCI-DSS: Alles, was Sie dazu wissen müssen!

Die PCI-DSS-Zertifizierung oder “Payment Card Industry Data Security Standard” bezeichnet einen weltweiten Standard für die Sicherheit von Bankdaten. Dabei handelt es sich um eine Reihe von Mindestanforderungen, die die Sicherheit von Verbraucherdaten im Internet verbessern sollen, um das Vertrauen in digitale Zahlungssysteme zu fördern. Welche Kriterien müssen für den Erhalt einer PCI-DSS-Zertifizierung erfüllt werden? Reicht diese aus, um sich komplett vor Cyberkriminalität zu schützen? Hier gibt es Antworten über PCI-DSS Anforderungen.

Was ist PCI-DSS (Payment Card Industry Data Security Standard) Zertifizierung?

Mit dem Aufkommen des E-Commerce und dem jüngsten Aufschwung der Marktplätze ging auch ein wachsendes Risiko von Bankdatenmissbrauch einher. Um dieser Bedrohung zu begegnen, gründeten fünf Kreditkartenherausgeber (American Express, Discover, JCB, Mastercard und Visa) im Jahr 2006 das Payment Card Security Council: das PCI-SSC. Dadurch wurden die verschiedenen damals gültigen Sicherheitsstandards vereinheitlicht und ein gemeinsamer Standard geschaffen: PCI-DSS-Standard. Diese Zertifizierung hat sich seitdem zu einem echten Maßstab für den Verbraucherschutz entwickelt.

Security Standards Council: Wer muss PCI-DSS zertifiziert sein?

Jedes Unternehmen, das Kartendaten verarbeitet, speichert oder überträgt, muss PCI-DSS-konform sein. Dazu gehören Händler, Zahlungsdienstleister, Banken und andere Unternehmen, die mit Daten von Karteninhabern arbeiten. Der Standard soll die Sicherheit von Systemen gewährleisten und Betrug sowie Datenmissbrauch verhindern. Unternehmen müssen sichere Konfigurationen entwickeln, um Schwachstellen zu minimieren, und den physischen Zugriff auf Karteninhaberdaten strikt kontrollieren. Ziel ist es, das Vertrauen der Kunden zu stärken und die Einhaltung globaler Sicherheitsanforderungen sicherzustellen.

Wie funktioniert PCI-DSS? Wie wird man PCI-DSS-konform?

Die offizielle Dokumentation, die vom PCI-SSC-Council herausgegeben wird, umfasst rund 1.800 Seiten und lässt sich in drei Hauptregeln zusammenfassen, um eine konforme Umgebung zu schaffen und sichere Systeme zu entwickeln:

1. Erfassung und sichere Übermittlung von Kreditkartendaten der Kunden (Name des Karteninhabers, Kartennummer, Ablaufdatum, CVV-Sicherheitscode).
2. Sichere Speicherung sämtlicher Daten, insbesondere mithilfe von Verschlüsselungstechnologien.
3. Gewährleistung der jährlichen Durchführung hunderter von Sicherheitskontrollen, die im PCI-DSS beschrieben sind.

Im Einzelnen bedeuten diese Maßnahmen zum Beispiel:

• Über eine Firewall in allen Schichten des Netzwerks verfügen.
• Nicht einfach nur die Standardkonfigurationen und -passwörter der Hersteller und Dienstleister verwenden, da hier sehr oft in ein Netzwerk eingedrungen werden kann.
• Die Kartennummer unleserlich machen oder teilweise maskieren, um die gespeicherten Daten zu schützen.
• Die Datenübertragung verschlüsseln, um die Lesbarkeit durch Cyberkriminelle zu verhindern.
• Sich vor Malware und Viren schützen, indem die Software regelmäßig aktualisiert wird.
• Hohe Sicherheitsniveaus der Infrastruktur und der damit verbundenen Anwendungen gewährleisten, um Sicherheitslücken zu vermeiden.
• Sicherstellen, dass jede operative Schicht nur Zugang zu den Informationen hat, die sie zur Erfüllung ihrer Aufgabe benötigt, um den Zugang zu Daten von Karteninhabern zu beschränken.
• Eine starke Rückverfolgbarkeit gewährleisten, indem jedem Akteur in der Zahlungskette eine eindeutige Kennung zugewiesen wird.
• Den physischen Zugang zu Systemen, die Daten über Karteninhaber beherbergen, beschränken.
• Regelmäßiges Testen und Überwachen der eingesetzten Sicherheitsverfahren, um das Auftreten von Sicherheitslücken zu verhindern.
• Teams regelmäßig schulen, um die Einhaltung der Maßnahmen zur Informationssicherheit zu gewährleisten.

In der Praxis bedeutet dies für eine E-Commerce-Website oder einen Online-Marktplatz massive Investitionen in Sicherheitssysteme und deren Wartung. Und das, obwohl die Bankdaten nur sehr kurz über die Server des Unternehmens laufen…

Wann muss die Zertifizierung erneuert werden?

Die Überprüfung und Validierung der PCI-Compliance erfolgt in der Regel jährlich. Allerdings handelt es sich dabei nicht um ein einmaliges Ereignis, sondern um einen fortlaufenden Prozess zur Bewertung und Verbesserung der Sicherheitsmaßnahmen. Da sich Unternehmen weiterentwickeln, ändern sich auch Geschäftslogik und betriebliche Abläufe – und damit die Anforderungen an die Einhaltung der PCI-Vorschriften.

Ein Online-Unternehmen könnte beispielsweise physische Geschäfte eröffnen, neue Märkte erschließen oder ein Kundenservicezentrum einrichten. Jede dieser Änderungen kann Auswirkungen auf die Verarbeitung von Zahlungskartendaten haben. Daher ist es entscheidend, regelmäßig zu überprüfen, ob Anpassungen an der PCI-Validierungsmethode erforderlich sind, und gegebenenfalls die Compliance erneut zu bestätigen.

Der PSP als Garant für die Einhaltung von PCI-DSS

Um die Verarbeitung sensibler Kreditkartendaten und die Aufwendung erheblicher finanzieller und materieller Ressourcen zu vermeiden, haben Unternehmen die Möglichkeit, einen Zahlungsdienstleister (Payment Service Provider, PSP) zu beauftragen. Dieser vertrauenswürdige Partner kümmert sich um alle Aspekte der Transaktionssicherheit, sodass das Unternehmen nur noch eine Handvoll einfacher Kontrollen durchführen muss, wie z. B. die Verwendung starker Passwörter.

Mithilfe einer robusten und innovativen Technologie schützt und verwahrt Lemonway seit 2012 die Gelder von Tausenden von Plattformen. Alle Daten werden in Rechenzentren in Frankreich gehostet, die dem PCI-DSS-Standard entsprechen. Als zugelassener Zahlungsdienstleister garantiert Lemonway seinen Nutzern ein Höchstmaß an Sicherheit. Eine Frage? Ein Projekt? Erzählen Sie uns davon!