Wofür PCI steht und was Sie dafür tun müssen

Mit der Zunahme der Bevölkerung wächst auch die Menge der Daten, die täglich verarbeitet werden. Allein in den letzten Jahren wurden über 90% der Daten weltweit generiert, Tendenz steigend. 

Laut PCI SSC belaufen sich die durchschnittlichenGesamtkosten von Datenverletzungen auf 3,8 Millionen Dollar. Als wachsendes Unternehmen müssen Sie wissen, wie Sie damit umgehen können, um sich erfolgreich zu etablieren. Es kann schwierig sein den Überblick zu behalten, da Sie sich auf das Wachstum Ihres Unternehmens konzentrieren möchten, anstatt sich über Datenverstöße Gedanken zu machen.

Insbesondere der mangelhafte Umgang mit Kartendaten kann schwerwiegende Auswirkungen haben. Wenn Ihr Unternehmen nicht vertrauenswürdig ist, werden Sie nicht erfolgreich sein. Sie müssen ein paar Dinge beachten und umsetzen, um die Daten Ihrer Kunden sicher zu halten und regularienkonform zu sein.

In diesem Artikel teilen wir unsere Erfahrungen der letzten Jahre, wie wachsende Unternehmen mit Datensicherheit verantwortungsvoll umgehen können, um jetzt und in Zukunft nachhaltig zu wachsen.

Was ist PCI-Konformität?

Name: Payment Card Industry Data Security Standards (PCI DSS, also die Datensicherheitsstandards der Kartenindustrie)

Was müssen Sie dafür tun?

Um konform zu sein, müssen Sie die für Ihr Unternehmen geltenden PCI DSS festgelegten Anforderungen umsetzen. Außerdem müssen Sie ein oder zwei Formulare ausfüllen. Im Folgenden werden wir das am häufigsten verwendete Formular, den so genannten "Self-Assessment Questionnaire A" (Selbstbewertungsfragebogen) oder "SAQ A", näher erläutern. Der SAQ A soll Ihnen helfen zu beurteilen, welche Anforderungen Sie umsetzen müssen.

Die Grundlagen bestehen aus drei bewährten Sicherheitspraktiken, die Sie kennen und in die Tat umsetzen müssen:

Wie können wir Ihnen und Ihrem Unternehmen helfen?

Bitte beachten Sie, dass Sie den SAQ A selbst ausfüllen müssen. Wir sind aber immer da, um Sie bei der Einhaltung der Vorschriften und beim Ausfüllen dieser Formulare zu unterstützen. Bitte zögern Sie nichtuns zu kontaktieren und schauen Sie sichunsere PCI-FAQan.

Um die Daten von Karteninhabern zu schützen, Betrug zu reduzieren und die Wahrscheinlichkeit eines Datenverstoßes durch böswillige Angriffe zu minimieren, hat der PCI SSC bestimmte technische und betriebliche Anforderungen herausgegeben. Diese Anforderungen gelten für jedes Unternehmen, das Karteninhaberdaten sammelt, verarbeitet, speichert oder überträgt. Diese werden als PCI DSS bezeichnet, kurz für Payment Card Industry Data Security Standards.

Jedes Unternehmen muss jedes Jahr sicherstellen, dass es PCI DSS einhält, indem es eines der offiziellen PCI SSC-Validierungsdokumente ausfüllt. Unternehmen, die die Anforderungen nicht erfüllen, müssen mit Strafen und Kosten rechnen.

Die PCI-Konformität minimiert die Wahrscheinlichkeit einer Datenverletzung durch böswillige Angriffe. Es schließt die Chance eines Verstoßes jedoch nicht vollständig aus. Allerdings können die Kartenanbieter die PCI-Bußgelder deutlich senken oder eliminieren, wenn das betreffende Unternehmen alle notwendigen Schritte unternommen hat, um die PCI DSS-Anforderungen zu erfüllen.

1. Ablauf der Karteninhaberdaten abbilden

Erstellen Sie ein genaues Datenflussdiagramm, um die Bewegung der Karteninhaberdaten abzubilden. Dies schließt alle Anwendungen, Systeme und Personen ein, die mit Kreditkartendaten arbeiten, einschließlich Service Provider. Hierbei helfen in der Regel Ihre IT-Mitarbeiter.

2. Anwendungsbereich definieren

Der Anwendungsbereich ist die Identifizierung von Personen, Prozessen und Technologien, die mit den Karteninhaberdaten (Cardholder Data = CHD) interagieren oder die Sicherheit dieser Daten anderweitig beeinflussen könnten. Weitere Informationen finden Siehier.

3. Bewertung vornehmen

Bewerten Sie Ihren aktuellen Stand der PCI-Konformität gemäß einem SAQ A. Die Person, die die Bewertung durchführt, sollte über ausreichende Kenntnisse verfügen, um den Anwendungsbereich beurteilen zu können.

4. Nehmen Sie alle notwendigen Änderungen vor

Bei der Unterscuhung könnte herauskommen, dass Ihr Unternehmen mindestens ein Kriterium nicht erfüllt. Nehmen Sie sich in diesem Fall Zeit, um die notwendigen Sicherheitsverbesserungen in Ihrem Unternehmen vorzunehmen.

5. Füllen Sie den Self-Assessment Questionnaire A (SAQ) A aus

Dieses Formular sollte von einem Fachmann ausgefüllt und unterzeichnet werden, der für die Unterzeichnung von sicherheitsrelevanten Angelegenheiten qualifiziert ist. Dies kann Ihr Chief Security Officer oder Ihr Chief Technology Officer sein.

6. Dokumente bei Adyen einreichen

Sobald Sie Ihre Formulare ausgefüllt haben, können Sie sie bei uns einreichen.

7. Regelmäßige Überwachung einrichten

Stellen Sie sicher, dass Sie die Einhaltung des PCI DSS das ganze Jahr über kontinuierlich überwachen, da der PCI DSS kein einmaliges Ereignis, sondern ein kontinuierlicher, fortlaufender Prozess ist.

Wenn sich ein Angreifer unbefugten Zugang zu Ihrer Website verschafft, kann er Wege finden, den Käufer zu täuschen. So können Angreifer beispielsweise gefälschte Inhalte für die Drop-in-Felder oder die Komponenten erstellen, oder einen IFrame über den bereits vorhandenen IF-Frame legen. In diesen Szenarien kann die Zahlung zwar noch abgeschlossen werden, aber eine Kopie der Karteninhaberdaten wird an den Angreifer gesendet.

Die mit dieser Integration verbundenen Risiken können durch die Umsetzung der in der SAQ A dargelegten Anforderungen erheblich reduziert werden.

Es mag zunächst etwas überwältigend erscheinen, ist aber gar nicht so kompliziert. Einer der letzten Schritte ist das Ausfüllen eines Fragebogens zur Selbsteinschätzung (SAQ A). Es ist gut, diesen so schnell wie möglich auszufüllen, da Ihr Zahlungsdienstleister dies nicht für Sie tun kann.

Je nach Integration benötigen wir unterschiedliche Dokumente. Wenn Sie ein Kunde von Adyen sind, finden Sie mehr Informationen auf unserer Dokumentationsseite. Dort finden Sie eine vollständige Auflistung der Formulare, die Sie während Ihrer Integration ausfüllen müssen. Wenn Sie weniger als 6 Millionen Transaktionen pro Acquiring-Region pro Jahr verarbeiten, sind Sie berechtigt, den SAQ A Fragebogen auszufüllen.

Da Sie viele Dinge auf Ihrer Liste haben, während Ihr Unternehmen wächst, kann die Datensicherheit manchmal in den Hintergrund treten. Die Einhaltung der Vorschriften ist nicht so schwer, wie Sie vielleicht gedacht haben. Wir bieten eine Vielzahl von Verschlüsselungslösungen zusammen mit unserer sicheren, PCI-kompatiblen Plattform an.

Auf diese Weise werden Sie niemals unverschlüsselte Karteninhaberdaten einsehen und auch keinen Zugriff darauf haben können. Die Einhaltung des PCI DSS ist für Sie so weniger aufwändig, und Sie sind weniger anfällig.

Wir warten derzeit auf die nächste Version von PCI (Version 4), die im Laufe dieses Jahres veröffentlicht wird. Wir sind bei jeder Änderung und Aktualisierung der Compliance-Standards auf der ganzen Welt auf dem aktuellen Stand. Und wir arbeiten eng mit allen beteiligten Parteien zusammen, um Ihnen, uns und der Welt einen sichereren Zahlungsraum zu bieten.