PCI DSS

Die Deadline zur Umsetzung von PCI DSS (Payment Card Industry Data Security Standard) für Level 1 Unternehmen, die mehr als sechs Millionen Transaktionenvolumen im Jahr verarbeiten, ist abgelaufen. Ab Januar 2008 Jahr gelten diese Compliance-Vorgaben auch für Level 2 Unternehmen zwischen einer und bis zu sechs Millionen Transaktionen-volumen.
Der PCI DSS Standard soll den sorgfältigen und geschützten Umgang mit Karteninhaberdaten sicherstellen. Verschlüsselungen, Einführung unternehmensweiter einheitlicher Sicherheitsrichtlinien sind nur einige der geforderten Maßnahmen.
Sollten die darin enthaltenen Anforderungen nicht eingehalten werden, drohen neben dem Imageverlust, rechtliche und finanzielle Konsequenzen.
Um Ihnen einen Überblick zu verschaffen, haben wir ein Frage – Antwort Dokument erstellt.
Wenn Sie Fragen dazu haben, können Sie uns gerne kontaktieren

1. Wer ist der Gründer von PCI SSC?

Die Payment Card Industrie (PCI) wurde von den 5 großen führenden Kreditkartenherstellern gegründet.
  • Amercian Express
  • DiscoverdCard
  • JCB International
  • MasterCard
  • VISA

Der PCI Data Security Standard wurde gegründet, weil jeder Kartengeber (Issuer) unterschiedlich mit seinem eigenen Program die Datenkarteninformation speicherte. Der Händler musste unterschiedliche Anforderungen abdecken, dazu kommen noch die Sicherheitsbrüche im E-Commerce sowie im POS-Umfeld. Im Jahre 2005 wurde die PCI DSS gegründet und lehnt sich an den ISO 27001:2005 Standard an. (früher ISO 17799).

2. Was ist die Aufgabe von PCI SSC?

  • Erstellen, besitzen und verwalten des PCI-DSS Standard
  • Eine gemeinsame Einstufung von Audit Anforderung zur Prüfung und Zertifizierung des PCI-DSS Standard
  • Überwachung eines Verfahrens zur Zertifizierung von Gutachtern für Sicherheit und Netzwerk-Scanning-Anbieter
  • Instituieren Mindesanforderungen für Qualifikationen
  • Erhalt und zur Veröffentlichung einer Liste der zertifizierten Gutachter und Lieferanten

3. Ist mein Unternehmen dem PCI-DSS verpflichtet?

Jedes Unternehmen oder Organisationen, die Kredit-oder Debitkarten Informationen, einschließlich der Händler und Drittanbieter/Dienstleister, speichert, druckt, verarbeitet oder übermitteln, sind dem PCI-DSS Standard verpflichtet.

4. Was ist der PCI DSS?

Der PCI DSS ist ein Sicherheitsstandard und enthält 12 Sicherheitsanforderungen, die den sorgfältigen und geschützten Umgang mit Karteninhaberdaten sicherstellen sollen.

Einrichtung und Betrieb eines geschützten Netzwerks

1. Installation und Betrieb einer Firewall zum Schutz der Karteninhaberdaten
2. Änderung der von Herstellern vorgegebenen Standardpasswörter und andere Sicherheitseinstellungen

Schutz der Kartendateninhaber

3. Schutz der gespeicherten Karteninhaberdaten
4. Verschlüsselte Übertragung der Karteninhaberdaten in öffentlichen Netzwerken

Betrieb eines Schwachstellen-Management-Systems

5. Einsatz und regelmäßige Aktualisierung von Virenschutzsoftware
6. Entwicklung und Betrieb/Prozess eines sicheren Sicherheitssystems sowie für die Applikationen

Installation eines effektiven Identitiy und Access Management System

7. Einschränkung des Zugriffs auf Karteninhaberdaten nach dem Grundsatz "Nur wenn nötig, dürfen autorisierte Mitarbeiter einen Zugriff erhalten "
8. Zuweisung einer eindeutigen Benutzer-ID mit min. 2-Faktor Authentisierung an jede Person mit Zugang zu Systemkomponenten oder Karteninhaberdaten
9. Einschränkung des physikalischen Zugriffs auf Karteninhaberdaten

Regelmäßige Überwachung und Überprüfung der Netzwerk-Infrastruktur

10. Protokollierung und Überwachung aller Zugriffe auf Netzwerkressourcen und Daten von Karteninhaberdaten
11. Ständige Überprüfung/Überwachung von Sicherheitssystemen und deren Prozesse.

Formulierung und Durchsetzung einer Informationssicherheit Richtlinie

12. Einrichtung einer Informationssicherheit Richtlinie im Unternehmen mit Vorgaben und deren Folgen bei Nichteinhaltung.

Alle Hostinganbieter müssen den PCI-DSS erfüllen. Zusätzlich müssen folgende Leistung erbracht werden.
  • Erfüllung des PCI DSS
  • Mandantentaugliche Einschränkung des physikalischen Zugriffs auf Karteninhaberdaten
  • Protokollierung und Überwachung aller Zugriffe auf Netzwerkressourcen und Daten von Karteninhaberdaten
  • Einführung eines Prozesses zur Einleitung einer kriminaltechnischen Untersuchung

5. Was ist bei VISA CISP und AIS?

Beide Abkürzungen CISP - Cardholder Information Secuirty Program - und AIS - Account Information Security – entsprichen dem PCI  DSS. Visa Europa nennt es AIS und VISA USA nennt es CISP.

6. Was ist bei Mastercard SDP?

SDP bedeutet – Site Data Protection – und entspricht dem PCI DSS. Im SDP ist noch der Zusatz “Händler ist durch den Acquirer erkannt” sowie der Acquirer ist PCI zertifiziert.

PCI Compliance + SDP Compliance = Safe Harbor

MasterCard

7. Was sind Karteninhaberdaten ?

Zu Karteninhaberdaten zählen alle Informationen einer Kredit- oder Debitkarte, die im Rahmen einer Transaktion verwendet werden.
Hierzu gehören – siehe Tabelle 1 - blaue Farbe –

8. Was sind vertrauliche Authentifizierungsdaten ?

Mit vertraulichen Authentifizierungsdaten werden Sicherheitsinformationen bezeichnet, mit denen Karteninhaber sich identifizieren/authentifizieren und Kartentransaktionen autorisieren. – siehe Tabelle 1– orange Farbe

TABELLE 1
  Datenelemente
Speicherung erlaubt
Schutz erforderlich
Verschlüsselung erfoderlich PCI-DSS 3.4
Karteninhaberdaten
 Primary Account Number (PAN)
JA
 JA
JA
Name des Karteninhabers* JA
JA*
 NEIN
Servicecode* JA
JA
 NEIN
Ablaufdatum* JA
JA NEIN
Authentifizierungs
daten**		 Magnetstreifen NEIN - -
CVC2/CVV2/CID NEIN - -
PIN/PIN-Block
NEIN - -

* Diese Datenelemente müssen geschützt werden, in Verbindung mit der PAN. Bitte bechten Sie auch den Verbraucher Datenschutz
** Authentifizierungsdaten dürfen nach der Autorisierung nicht gespeichert werden auch nicht wenn Sie verschlüsselt sind.

9. Wird zwischen unterschiedlichen Arten von Händlern unterschieden?

Ja, alle Unternehmen werden je nach Umfang ihrer jährlichen Kartentransaktionsvolumen in vier Kategorien eingestuft:

  • Level 1: Unternehmen mit mehr als sechs Millionen Kartentransaktionen pro Jahr
  • Level 2: Händler mit ein bis sechs Millionen Kartentransaktionen pro Jahr
  • Level 3: Händler mit 20.000 bis 1 Million E-Commerce Kartentransaktionen pro Jahr
  • Level 4: alle anderen Händler

10. In welche Kategorie wird mein Unternehmen eingestuft ? Wenn ich 5.000.000 Mastercard/Maestro und 4.000.000 Visa Transaktionvolumen realisiere ?

Die 5.000.000 MaterCard und 4.000.000 Visa Transaktionen werden nicht zu 9.000.000 Transaktionsvolumen zusammengerechnet. Es wird immer die höchste Transaktionszahl genommen. In diesem Fall hat Mastercard 5.000.000 und somit gehören Sie in die Kategorie 2

11. Bis wann muss ich PCI DSS zertifiziert sein?

Alle Unternehmen, die im Zeitraum von 2004 bis 2006 Level 1 und Level 3 identifiziert wurden, müssen bis zum 31.06.2005 zertifiziert sein.
Alle Unternehmen, die ab dem Jahre 2007 Level 1 und Level 3 indentifiziert wurden, müssen nach 12 Monaten zertifiziert sein. Alle Unternehmen, die in Level 2 indentifiziert wurden, müssen bis zum 31.12.2008 zertifiziert sein.

12. Findet eine Überprüfung statt?

Ja, abhängig von ihrer Kategorie müssen Händler unterschiedliche externe und interne Audits durchführen.

13. Wie erreiche ich als Händler PCI DSS Compliance?

Der PCI DSS gilt als eingehalten, wenn dessen zwölf Sicherheitsanforderungen umgesetzt und diese Umsetzung nachgewiesen werden kann. Die PCI DSS Implementierung und Einhaltung wird wie folgt kontrolliert:

Abhängig von ihrer Kategorie müssen Händler unterschiedliche externe und interne Audits bestehen, um PCI-Compliance zu erreichen und dauerhaft aufrecht zu erhalten.

  • Level 1: Jährliches Sicherheits-Audit vor Ort vom QSA (Qualified Security Assessor)
    • Pro Quartal ein Scan durch einen ASV (Approved Scanning Provider)
  • Level 2 - Level 4 
    • Pro Quartal ein Scan durch einen ASV (Approved Scanning Provider)
    • Jährliche Beantwortung eines PCI-Fragebogens (Self-Assessment-Questionnaire)

14. Wird zwischen unterschiedlichen Arten von Dienstleistern (Service Provider/TPP – Third Party Processor, DSE – Data Storage Entities ) unterschieden?

Ja, Dienstleister, die Transaktionen verarbeiten, werden in zwei Kategorien eingestuft:

  • Level 1: alle TPP und DSE, Datenverarbeiter von Kartenzahlungen (Payment Processors) und Payment Provider/Gateways, die mehr als eine Million Transaktionsvolumen verarbeiten
  • Level 2: Alle DSE, die jährlich weniger als eine Million Kartenabrechnungen oder Kartentransaktionen verarbeiten.

15. Wie erhalte ich als Dienstleister PCI DSS?

Abhängig von ihrer Kategorie müssen Dienstleister unterschiedliche externe und interne Audits bestehen, um PCI-Compliance zu erreichen und dauerhaft aufrecht zu erhalten.
  • Level 1:
    • Jährliches Sicherheits-Audit vor Ort vom QSA (Qualified Security Assessor)
    • Pro Quartal ein Scan durch einen ASV (Approved Scanning Provider)
  • Level 2:
    • Jährliche Beantwortung eines PCI-Fragebogens (Self-Assessment-Questionnaire)
    • Pro Quartal ein Scan durch einen ASV (Approved Scanning Provider)

16. Was ist ein QSA (Qualified Security Assessor)?

QSAs sind Auditoren, die in ihrer Funktion als professionelle Sicherheitsgutachter im Unternehmen gemäß PCI DSS vor Ort auditieren und bestätigen, dass deren Schutzmaßnahmen die PCI-Anforderungen erfüllen.

17. Was ist ein ASV (Approved Scan Vendor)?

Ein zugelassener Sicherheitsprüfer (ASV) unterstützt an den PCI DSS gebundene Unternehmen, indem er im Rahmen des PCI DSS Schwachstellen und Sicherheits Scans des Netzwerks durchführt.

18. Mit welchem Zeitaufwand ist die Umsetzung des PCI DSS verbunden?

Es gibt keinen Richtwert für den erforderlichen zeitlichen Aufwand zur Umsetzung des PCI DSS, da je nach Größe, Komplexität und vorhandenen Sicherheitsstrukturen eines Netzwerks die Implementierung unterschiedlich verläuft. Wenn Sie ISO 27001 zertifiziert sind, ist der Aufwand geringer.

19. Welche Konsequenzen drohen bei Nichteinhaltung des PCI DSS?

Wird der PCI DSS nicht eingehalten, drohen schwerwiegende Konsequenzen. Unternehmen müssen mit Geldstrafen in sechsstelliger Höhe und ggf. kostspieligen Prozesskosten rechnen. Treten bei Händlern und Dienstleistern der Kategorien 2 bis 4 Sicherheitsverletzungen auf, können sie in Kategorie 1 hochgestuft werden. Eine Einordnung in dieser Kategorie ist mit höheren Kosten verbunden, da umfassendere Compliance-Prüfungen erforderlich sind. Zusätzlich können bekannt gewordene PCI-Verstöße das Ansehen eines Unternehmens nachhaltig schädigen und schwindendes Kundenvertrauen zur Folge haben – mit entsprechenden Geschäftsverlusten.

20. Welche Vorteile hat die Umsetzung des PCI DSS?

Der PCI DSS mit seinen verbindlichen Regeln für mehr IT-Sicherheit soll der Betrugskriminalität einen Riegel vorschieben. Für Organisationen bestehen durch verstärkte Schutzmaßnahmen bei der Verarbeitung von Zahlungskartendaten gemäß PCI vor allem folgende Vorteile:

  • Erhöhte Datensicherheit
  • Gesteigertes Kundenvertrauen
  • Absicherung von finanziellen Schäden und Schadenersatz aufgrund von Sicherheitsverletzungen
  • Schutz des Unternehmens- und Brand-Image
  • Bewertung des Sicherheitsschutzes von Systemen zur Speicherung, Verarbeitung und/oder Übermittlung von Karteninhaberdaten
  • Schutz vor negativen Medienberichten

21. Wann erfolgt nach Sicherheitsverletzung und Einordnung in Kategorie 1 eine Rückstufung in die vorherige Kategorie?

Die Rückstufung in eine vorherige Kategorie erfolgt nach Ablauf von zwei Jahren. Im ersten Jahr müssen sämtliche Verfahrensfehler, die zur Sicherheitsverletzung geführt haben, beseitigt werden. Das zweite Jahr dient als "Bewährungsfrist", in der sich die neuen Sicherheitsmechanismen beweisen müssen und in der keine weiteren Sicherheitsverletzungen auftreten dürfen.

22. Ich speicher bereits heute die CVC2/CVV2/CID!

Dies durfte auch nicht in der Vergangenheit gespeichert werden. Es wird dringend empfohlen sich an den PCI DSS Standard zu halten, sonst drohen heftige Strafen.

Service: