PCI-DSS: Alles, was Sie dazu wissen müssen!

Die PCI-DSS-Zertifizierung oder “Payment Card Industry Data Security Standard” bezeichnet einen weltweiten Standard für die Sicherheit von Bankdaten. Dabei handelt es sich um eine Reihe von Mindestanforderungen, die die Sicherheit von Verbraucherdaten im Internet verbessern sollen, um das Vertrauen in digitale Zahlungssysteme zu fördern. Welche Kriterien müssen für den Erhalt einer PCI-DSS-Zertifizierung erfüllt werden? Reicht diese aus, um sich komplett vor Cyberkriminalität zu schützen? Hier gibt es Antworten.

Was ist PCI-DSS?

Mit dem Aufkommen des E-Commerce und dem jüngsten Aufschwung der Marktplätze ging auch ein wachsendes Risiko von Bankdatenmissbrauch einher. Um dieser Bedrohung zu begegnen, gründeten fünf Kreditkartenherausgeber (American Express, Discover, JCB, Mastercard und Visa) im Jahr 2006 das Payment Card Security Council: das PCI-SSC. Dadurch wurden die verschiedenen damals gültigen Sicherheitsstandards vereinheitlicht und ein gemeinsamer Standard geschaffen: PCI-DSS. Diese Zertifizierung hat sich seitdem zu einem echten Maßstab für den Verbraucherschutz entwickelt. Sobald eine Website den Umgang mit Bankkarten beinhaltet, ist eine PCI-DSS-zertifizierte Zahlungslösung von entscheidender Bedeutung. In Deutschland ist der PCI-DSS-Standard noch nicht gesetzlich vorgeschrieben, da er aber von den wichtigsten Marktteilnehmern vertraglich festgelegt wird, ist es äußerst ratsam, ihn einzuhalten.

Wie wird man PCI-DSS-konform?

Die offizielle Dokumentation, die vom PCI-SSC-Council herausgegeben wird, umfasst rund 1.800 Seiten, die sich in drei Hauptregeln zusammenfassen lassen:

1. Erfassung und sichere Übermittlung von Kreditkartendaten der Nutzer (Name des Karteninhabers, Kartennummer, Ablaufdatum, CVV-Sicherheitscode).
2. Sichere Speicherung sämtlicher Daten, insbesondere mithilfe von Verschlüsselungstechnologien.
3. Gewährleistung der jährlichen Durchführung hunderter von Sicherheitskontrollen, die im PCI-DSS beschrieben sind.

Im Einzelnen bedeuten diese Maßnahmen zum Beispiel:

• Über eine Firewall in allen Schichten des Netzwerks verfügen.
• Nicht einfach nur die Standardkonfigurationen und -passwörter der Hersteller und Dienstleister verwenden, da hier sehr oft in ein Netzwerk eingedrungen werden kann.
• Die Kartennummer unleserlich machen oder teilweise maskieren, um die gespeicherten Daten zu schützen.
• Die Datenübertragung verschlüsseln, um die Lesbarkeit durch Cyberkriminelle zu verhindern.
• Sich vor Malware und Viren schützen, indem die Software regelmäßig aktualisiert wird.
• Hohe Sicherheitsniveaus der Infrastruktur und der damit verbundenen Anwendungen gewährleisten, um Sicherheitslücken zu vermeiden.
• Sicherstellen, dass jede operative Schicht nur Zugang zu den Informationen hat, die sie zur Erfüllung ihrer Aufgabe benötigt, um den Zugang zu Daten von Karteninhabern zu beschränken.
• Eine starke Rückverfolgbarkeit gewährleisten, indem jedem Akteur in der Zahlungskette eine eindeutige Kennung zugewiesen wird.
• Den physischen Zugang zu Systemen, die Daten über Karteninhaber beherbergen, beschränken.
• Regelmäßiges Testen und Überwachen der eingesetzten Sicherheitsverfahren, um das Auftreten von Sicherheitslücken zu verhindern.
• Teams regelmäßig schulen, um die Einhaltung der Maßnahmen zur Informationssicherheit zu gewährleisten.

In der Praxis bedeutet dies für eine E-Commerce-Website oder einen Marktplatz massive Investitionen in Sicherheitssysteme und deren Wartung. Und das, obwohl die Bankdaten nur sehr kurz über die Server des Unternehmens laufen …

Der PSP als Garant für die Einhaltung von PCI-DSS

Um die Verarbeitung sensibler Kreditkartendaten und die Aufwendung erheblicher finanzieller und materieller Ressourcen zu vermeiden, haben Unternehmen die Möglichkeit, einen Zahlungsdienstleister (Payment Service Provider, PSP) zu beauftragen. Dieser vertrauenswürdige Partner kümmert sich um alle Aspekte der Transaktionssicherheit, sodass das Unternehmen nur noch eine Handvoll einfacher Kontrollen durchführen muss, wie z. B. die Verwendung starker Passwörter.

Mithilfe einer robusten und innovativen Technologie schützt und verwahrt Lemonway seit 2012 die Gelder von Tausenden von Plattformen. Alle Daten werden in Rechenzentren in Frankreich gehostet, die dem PCI-DSS-Standard entsprechen. Als zugelassener Zahlungsdienstleister garantiert Lemonway seinen Nutzern ein Höchstmaß an Sicherheit. Eine Frage? Ein Projekt? Erzählen Sie uns davon!