PCI DSS – der Payment Card Industry Data Security Standard
PCI DSS steht für Payment Card Industry Data Security Standard. Dies ist ein weltweiter Sicherheitsstandard für Kreditkartendaten. Der PCI DSS wurde vom PCI Security Standards Council (PCI SSC) entwickelt, einem Zusammenschluss der Kreditkartenunternehmen Mastercard, Visa Inc., American Express, JCB International und Discover Financial Services, um Online-Händler wie auch Endkunden vor betrügerischen Attacken, Kartenmissbrauch und Diebstahl bei Kreditkartenzahlungen im Internet zu schützen.
Alle Gründungsmitglieder des PCI SSC haben sich dazu verpflichtet, den Payment Card Industry Data Security Standard als technische Voraussetzung in ihre jeweiligen Konformitätsprogramme zur Datensicherheit zu integrieren. Somit gilt der PCI DSS auch für alle Dienstleister und Unternehmen, die mit Visa, Mastercard & Co. Kreditkartenabwicklungen vornehmen.
Verpflichtend ist der PCI-DSS für sämtliche Einrichtungen, die Kreditkartendaten speichern, übermitteln oder abwickeln. Die Validierung der PCI Compliance erfolgt über einen qualifizierten Sicherheitsgutachter (Qualified Security Assessor, kurz QSA), einen internen Sicherheitsgutachter (Internal Security Assessor, , kurz ISA) oder einen Selbstbewertungsfragebogen (Self-Assessment Questionnaire, kurz SAQ). Letzteres gilt für Unternehmen, die Daten dieser Art nur in geringen Mengen verarbeiten.
Somit unterliegen auch alle Online-Shopbetreiber und E-Commerce-Unternehmen, die die Kreditkartenzahlung anbieten möchten, diesen Konformitätsregelungen. Eine eigene Zertifizierung ist sehr kostenintensiv und kann schnell eine bis zu fünfstellige Summe kosten. Da die technische Umsetzung der Kriterien außerdem sehr aufwendig ist und sich die Zertifizierung für einen einzelnen Shop selten lohnt, ist der gängige Weg der über einen Payment Service Provider, der u.a. PCI-DSS-konforme Payment-Plugins bereitstellt.
Folgen einer fehlenden PCI DSS Zertifizierung
Die PCI DSS Konformität bzw. PCI DSS Compliance ist ein globaler Standard. Sie ist zwar nicht gesetzlich vorgeschrieben, jedoch haben alle Länder eine mehr oder weniger ähnliche Reglementierung bezüglich der Daten von Karteninhabern. Erfüllen Unternehmen diesen Standard nicht, führt dies in den meisten Fällen zu saftigen Geldstrafen von Seiten des Acquirers.
Außerdem besteht die Gefahr, dass Online-Händler die Erlaubnis verlieren, Zahlungen per Kreditkarte zu akzeptieren. Wer davon betroffen ist, wird wohl nie wieder Kartenzahlungen akzeptieren können, da voraussichtlich kein anderer Acquirer einen Akzeptanzvertrag unterschreiben wird. Sollte wiederum in die Händler-Systeme eingebrochen worden sein und es lag keine PCI-Zertifizierung vor, so erhält der betroffene Händler meist die verpflichtende Auflage, sich der PCI-Zertifizierung nach Level 1 zu unterziehen. Die hierfür anfallenden Kosten können sich auf mehrere Tausend Euro belaufen und werden jedes Jahr aufs Neue fällig, weil ab diesem Zeitpunkt die eigenen Systeme in regelmäßigen Abständen überprüft werden müssen.
Was zu tun ist, um PCI DSS-konform zu werden
Den PCI DSS zu erfüllen heißt also, geeignete Maßnahmen zu ergreifen, um die betreffenden Daten vor Cyber-Diebstahl und betrügerischer Nutzung zu schützen. Dieser Punkt hat weitere Auswirkungen für die Unternehmen: Ein erfolgreicher Cyber-Angriff kann für sie folgenschwere Konsequenzen haben, zum Beispiel den potenziellen Verlust von Umsatz, Kunden, Reputation und Vertrauen. Vor diesem Hintergrund ist es wichtiger denn je, Verantwortung für Kundendaten zu übernehmen und sicherzustellen, dass diese ausreichend geschützt sind.
Ein Payment Service Provider mit PCI DSS Zertifizierung der höchsten Stufe ermöglicht im Idealfall eine mühelose Anbindung an eine PCI-konforme Plattform mit vorhandenen Formularen und Checkout-Seiten. Dadurch kommen Online-Händler niemals direkt mit den Kreditkartendaten ihrer Kunden in Berührung, denn sowohl die Verarbeitung als auch – sofern erforderlich – die Speicherung erfolgt nur über den Zahlungsdienstleister.
Sicherheitsanforderungen des PCI-DSS im Überblick
1. Verschlüsselte Übertragung der sensiblen Daten von Kreditkarteninhabern in öffentlichen Netzen
2. Ständige Überprüfung und Protokollierung aller Zugriffe auf Daten von Kreditkarteninhabern
3. Installation, Einrichtung und regelmäßige Aktualisierung einer Firewall, um Karteninhaberdaten zu schützen
4. Entwicklung und Verwendung sicherer Systeme und Anwendungen sowie deren regelmäßige Wartung
5. Schutz der gespeicherten Karteninhaberdaten: Keine unnötige Abspeicherung der Transaktions- und Kreditkartendaten (Kartennummer, CVC2 usw.)
6. Keine Verwendung, sondern Änderung der von Lieferanten/Herstellern im Werkzustand vorgegebenen System-Passwörter und anderer Sicherheits-Parameter
7. Schutz aller Systeme vor Malware durch Nutzung und regelmäßige Aktualisierung von Antivirus-Software
8. Einführen und Einhalten von Richtlinien in Bezug auf Informationssicherheit
9. Zuweisung von eindeutigen Benutzerkennungen für allen Personen mit Zugriff zu einem Computersystem und Karteninhaberdaten
10. Einschränkung von Datenzugriffen nach dem „Need to Know“-Prinzip
11. Laufende Überwachung und regelmäßige Tests der Sicherheitssysteme und -prozesse
12. Beschränkung des physischen Zugriffs auf Karteninhaberdaten