Guides und Reports
Wofür PCI steht und was Sie dafür tun müssen
Helen Huyton, Merchant Data Security Analyst bei Adyen, taucht in diesem Beitrag die Welt der PCI DSS ein und erklärt, was Sie tun können, um schnell und einfach PCI-konform zu werden.
Hinweis:Dieser Artikel sollte nur als Leitfaden verwendet werden und ist nicht als endgültiger Ratschlag gedacht. Sie sollten stets Ihren Acquirer oder einen Qualified Security Assessor (QSA) der Payment Card Industry Data Security Standards (PCI DSS) zur Klärung konsultieren. Er ist vor allem für Unternehmen relevant, die weniger als 6 Millionen Transaktionen verarbeiten.
Mit der Zunahme der Bevölkerung wächst auch die Menge der Daten, die täglich verarbeitet werden. Allein in den letzten Jahren wurden über 90% der Daten weltweit generiert, Tendenz steigend.
Laut PCI SSC belaufen sich die durchschnittlichenGesamtkosten von Datenverletzungen auf 3,8 Millionen Dollar. Als wachsendes Unternehmen müssen Sie wissen, wie Sie damit umgehen können, um sich erfolgreich zu etablieren. Es kann schwierig sein den Überblick zu behalten, da Sie sich auf das Wachstum Ihres Unternehmens konzentrieren möchten, anstatt sich über Datenverstöße Gedanken zu machen.
Insbesondere der mangelhafte Umgang mit Kartendaten kann schwerwiegende Auswirkungen haben. Wenn Ihr Unternehmen nicht vertrauenswürdig ist, werden Sie nicht erfolgreich sein. Sie müssen ein paar Dinge beachten und umsetzen, um die Daten Ihrer Kunden sicher zu halten und regularienkonform zu sein.
In diesem Artikel teilen wir unsere Erfahrungen der letzten Jahre, wie wachsende Unternehmen mit Datensicherheit verantwortungsvoll umgehen können, um jetzt und in Zukunft nachhaltig zu wachsen.
Hier die Kurzfassung, wenn Sie es gerade eilig haben
Was ist PCI-Konformität?
Name: Payment Card Industry Data Security Standards (PCI DSS, also die Datensicherheitsstandards der Kartenindustrie)
- Erstellt von: Payment Card Industry Security Standards Council (PCI SSC, also der
- Rat für Sicherheitsstandards der Kartenindustrie)
- Ziel: Verhinderung des Diebstahls von Karteninhaberdaten
Was müssen Sie dafür tun?
Um konform zu sein, müssen Sie die für Ihr Unternehmen geltenden PCI DSS festgelegten Anforderungen umsetzen. Außerdem müssen Sie ein oder zwei Formulare ausfüllen. Im Folgenden werden wir das am häufigsten verwendete Formular, den so genannten "Self-Assessment Questionnaire A" (Selbstbewertungsfragebogen) oder "SAQ A", näher erläutern. Der SAQ A soll Ihnen helfen zu beurteilen, welche Anforderungen Sie umsetzen müssen.
Die Grundlagen bestehen aus drei bewährten Sicherheitspraktiken, die Sie kennen und in die Tat umsetzen müssen:
- Verwenden Sie keine voreingestellten Benutzernamen und Passwörter und verwenden Sie keine Werkseinstellungen.
- Verwenden Sie sichere Passwörter und eindeutige Benutzer-IDs. Passwörter mit mindestens 7 Zeichen (numerische, alphabetische und Sonderzeichen).
- Halten Sie sich über neue Software-Updates auf dem Laufenden, sobald diese veröffentlicht werden.
Wie können wir Ihnen und Ihrem Unternehmen helfen?
Bitte beachten Sie, dass Sie den SAQ A selbst ausfüllen müssen. Wir sind aber immer da, um Sie bei der Einhaltung der Vorschriften und beim Ausfüllen dieser Formulare zu unterstützen. Bitte zögern Sie nichtuns zu kontaktieren und schauen Sie sichunsere PCI-FAQan.
Eine kurze Einführung in PCI DSS
Um die Daten von Karteninhabern zu schützen, Betrug zu reduzieren und die Wahrscheinlichkeit eines Datenverstoßes durch böswillige Angriffe zu minimieren, hat der PCI SSC bestimmte technische und betriebliche Anforderungen herausgegeben. Diese Anforderungen gelten für jedes Unternehmen, das Karteninhaberdaten sammelt, verarbeitet, speichert oder überträgt. Diese werden als PCI DSS bezeichnet, kurz für Payment Card Industry Data Security Standards.
Jedes Unternehmen, das Kreditkartenzahlungen akzeptiert, muss PCI DSS einhalten. Und obwohl PCI DSS nicht Teil eines Gesetzes ist, wird der Standard weltweit angewandt.
Jedes Unternehmen muss jedes Jahr sicherstellen, dass es PCI DSS einhält, indem es eines der offiziellen PCI SSC-Validierungsdokumente ausfüllt. Unternehmen, die die Anforderungen nicht erfüllen, müssen mit Strafen und Kosten rechnen.
Die PCI-Konformität minimiert die Wahrscheinlichkeit einer Datenverletzung durch böswillige Angriffe. Es schließt die Chance eines Verstoßes jedoch nicht vollständig aus. Allerdings können die Kartenanbieter die PCI-Bußgelder deutlich senken oder eliminieren, wenn das betreffende Unternehmen alle notwendigen Schritte unternommen hat, um die PCI DSS-Anforderungen zu erfüllen.
7 Schritte zur Einhaltung von PCI DSS
1. Ablauf der Karteninhaberdaten abbilden
Erstellen Sie ein genaues Datenflussdiagramm, um die Bewegung der Karteninhaberdaten abzubilden. Dies schließt alle Anwendungen, Systeme und Personen ein, die mit Kreditkartendaten arbeiten, einschließlich Service Provider. Hierbei helfen in der Regel Ihre IT-Mitarbeiter.
2. Anwendungsbereich definieren
Der Anwendungsbereich ist die Identifizierung von Personen, Prozessen und Technologien, die mit den Karteninhaberdaten (Cardholder Data = CHD) interagieren oder die Sicherheit dieser Daten anderweitig beeinflussen könnten. Weitere Informationen finden Siehier.
3. Bewertung vornehmen
Bewerten Sie Ihren aktuellen Stand der PCI-Konformität gemäß einem SAQ A. Die Person, die die Bewertung durchführt, sollte über ausreichende Kenntnisse verfügen, um den Anwendungsbereich beurteilen zu können.
4. Nehmen Sie alle notwendigen Änderungen vor
Bei der Unterscuhung könnte herauskommen, dass Ihr Unternehmen mindestens ein Kriterium nicht erfüllt. Nehmen Sie sich in diesem Fall Zeit, um die notwendigen Sicherheitsverbesserungen in Ihrem Unternehmen vorzunehmen.
5. Füllen Sie den Self-Assessment Questionnaire A (SAQ) A aus
Dieses Formular sollte von einem Fachmann ausgefüllt und unterzeichnet werden, der für die Unterzeichnung von sicherheitsrelevanten Angelegenheiten qualifiziert ist. Dies kann Ihr Chief Security Officer oder Ihr Chief Technology Officer sein.
6. Dokumente bei Adyen einreichen
Sobald Sie Ihre Formulare ausgefüllt haben, können Sie sie bei uns einreichen.
7. Regelmäßige Überwachung einrichten
Stellen Sie sicher, dass Sie die Einhaltung des PCI DSS das ganze Jahr über kontinuierlich überwachen, da der PCI DSS kein einmaliges Ereignis, sondern ein kontinuierlicher, fortlaufender Prozess ist.
Manchmal kann Ihre Zahlungsseite übersehen werden
Wenn sich ein Angreifer unbefugten Zugang zu Ihrer Website verschafft, kann er Wege finden, den Käufer zu täuschen. So können Angreifer beispielsweise gefälschte Inhalte für die Drop-in-Felder oder die Komponenten erstellen, oder einen IFrame über den bereits vorhandenen IF-Frame legen. In diesen Szenarien kann die Zahlung zwar noch abgeschlossen werden, aber eine Kopie der Karteninhaberdaten wird an den Angreifer gesendet.
Die mit dieser Integration verbundenen Risiken können durch die Umsetzung der in der SAQ A dargelegten Anforderungen erheblich reduziert werden.
Ausfüllen Ihrer Dokumente
Es mag zunächst etwas überwältigend erscheinen, ist aber gar nicht so kompliziert. Einer der letzten Schritte ist das Ausfüllen eines Fragebogens zur Selbsteinschätzung (SAQ A). Es ist gut, diesen so schnell wie möglich auszufüllen, da Ihr Zahlungsdienstleister dies nicht für Sie tun kann.
Je nach Integration benötigen wir unterschiedliche Dokumente. Wenn Sie ein Kunde von Adyen sind, finden Sie mehr Informationen auf unserer Dokumentationsseite. Dort finden Sie eine vollständige Auflistung der Formulare, die Sie während Ihrer Integration ausfüllen müssen. Wenn Sie weniger als 6 Millionen Transaktionen pro Acquiring-Region pro Jahr verarbeiten, sind Sie berechtigt, den SAQ A Fragebogen auszufüllen.
Da Sie viele Dinge auf Ihrer Liste haben, während Ihr Unternehmen wächst, kann die Datensicherheit manchmal in den Hintergrund treten. Die Einhaltung der Vorschriften ist nicht so schwer, wie Sie vielleicht gedacht haben. Wir bieten eine Vielzahl von Verschlüsselungslösungen zusammen mit unserer sicheren, PCI-kompatiblen Plattform an.
Auf diese Weise werden Sie niemals unverschlüsselte Karteninhaberdaten einsehen und auch keinen Zugriff darauf haben können. Die Einhaltung des PCI DSS ist für Sie so weniger aufwändig, und Sie sind weniger anfällig.
Wie geht es mit PCI weiter?
Wir warten derzeit auf die nächste Version von PCI (Version 4), die im Laufe dieses Jahres veröffentlicht wird. Wir sind bei jeder Änderung und Aktualisierung der Compliance-Standards auf der ganzen Welt auf dem aktuellen Stand. Und wir arbeiten eng mit allen beteiligten Parteien zusammen, um Ihnen, uns und der Welt einen sichereren Zahlungsraum zu bieten.
Lesen Sie dazu auch:
Guide zur Einhaltung von PCI DSS
Alles, was Sie über den Leitfaden zur Einhaltung des PCI DSS wissen müssen, finden Sie auf unserer Dokumentationsseite.
Zum GuideÜber den Autor:Helen Huyton hilft Händlern bei PCI DSS-bezogenen Themen, mit Fachkenntnis über die Risiken, die mit jeder Integration verbunden sind, wie die Risiken gemindert werden können und welche Validierungsdokumentation erforderlich ist, um PCI-konform zu sein.
Holen Sie sich Payment-News direkt in Ihre Inbox.
Ich bestätige, dass ich die Datenschutzbestimmungen von Adyen gelesen habe und stimme der Verwendung meiner Daten im Einklang damit zu.