Compliance nach dem Payment Card Industry Data Security Standard

Was Unternehmen hinsichtlich PCI DSS wissen sollten und beachten müssen

05.12.2007 | Autor / Redakteur: Tony Bradley und Peter Riedlberger / Stephan Augsten

Unternehmen müssen einige Anforderungen erfüllen, um PCI-DSS-Compliance zu erreichen.
Unternehmen müssen einige Anforderungen erfüllen, um PCI-DSS-Compliance zu erreichen.

Kreditkartenbetrug und Identitätsdiebstahl wirken sich in der Regel negativ auf die Kundentreue und das Vertrauen in die bargeldlose Zahlung aus. Deshalb haben große Kreditkarten-Unternehmen wie Visa, Mastercard und American Express ihre Ressourcen gebündelt, um einen Security-Standard für ihren Wirtschaftszweig zu entwickeln. Dieser Artikel vermittelt grundlegende Kenntnisse über den Payment Card Industry Data Security Standard (PCI DSS) und soll bei der Umsetzung der Compliance-Vorgaben helfen.

Identitätsmissbrauch und Kreditkartenbetrug sind keine neuen Verbrechen. In der einen oder anderen Weise gab es diese Form von Kriminalität auch schon, ehe Computer und Internet zu etwas Alltäglichem wurden. Was sich aber in der vernetzten, digitalen Welt dramatisch verändert hat, ist der Umfang solcher Betrügereien. Kriminelle können sich heute in Windeseile hunderttausende, ja Millionen von Kreditkarten- oder Kundendaten verschaffen.

Solche Vorfälle schaden dem Geschäft von Kreditkartenausgebern erheblich. Wenn die Daten von Karteninhabern nicht geschützt werden, verlieren die Kunden das Vertrauen in den bargeldlosen Zahlungsverkehr. Und wenn der Ruf von Kreditkarten als sicheres und problemfreies Zahlungsmittel auf dem Spiel steht, dann könnte dies den Niedergang einer ganzen Branche einleiten.

Derzeit beträgt der Jahresnettogewinn aller Kreditkartenunternehmen zusammen knapp drei Milliarden Euro. Es gibt also gewaltiges Interesse daran, die Brands und das Kundenvertrauen in Kreditkarten zu schützen.

Die Entwicklung des PCI DSS

Bereits 1999 erkannten die Verantwortlichen bei Visa, dass die Informationssicherheit und der Schutz von Kundendaten eine lebensnotwendige Voraussetzung für die ganze Branche ist. So wurde das Cardholder Information Security Program (CISP) initiiert, das zwölf Vorschriften (auch: Digital Dozen) umfasste.

Die anderen Kreditkartenausgeber zögerten nicht lange und legten ihre eigenen Datensicherheitsprogramme auf. Schließlich fand die ganze Branche zu einem gemeinsamen Entwurf, dem PCI DSS. Dieser dient heute als standardisierte Richtlinie, um allen Beteiligen die Durchsetzung von Sicherheitsforderungen möglichst einfach zu machen. Die aktuelle Fassung des Standards umfasst nur 17 Seiten und ist in elf Sprachen auf der Internet-Seite des PCI Security Standards Council erhältlich.

Inhalte des PCI DSS

Die Vorschriften des PCI DSS sind keineswegs besonders neu oder originell. Die Zahlkartenbranche läutete also keineswegs ein neues Zeitalter der Informationssicherheit ein. Die zwölf Forderungen des PCI DSS sind eigentlich Selbstverständlichkeiten, an die man sich ohnehin halten sollte – schon allein aus purem Selbstinteresse. Die zwölf Vorschriften kann man als naheliegende Sicherheitsmaßnahmen für Großunternehmen charakterisieren:

1. Installieren und warten Sie eine Firewall-Konfiguration, um die Daten der Karteninhaber zu schützen.

2. Verwenden Sie keine Herstellervorgaben für Systempasswörter oder andere Sicherheitsparameter.

3. Schützen Sie gespeicherte Karteninhaberdaten.

4. Verschlüsseln Sie die Übertragungswege von Karteninhaberdaten über öffentliche Netzwerke.

5. Setzen Sie Antiviren-Software ein, und aktualisieren Sie sie regelmäßig.

6. Entwickeln und warten Sie sichere Systeme und Applikationen.

7. Beschränken Sie den Zugriff auf Karteninhaberdaten auf die Mitarbeiter, die aus geschäftlichen Gründen unbedingt Zugang benötigen.

8. Geben Sie jedem Mitarbeiter mit Computerzugriff eine eindeutige Identifikationsnummer.

9. Sichern Sie die Karteninhaberdaten gegen physikalischen Zugriff ab.

10. Überwachen und protokollieren Sie alle Zugriffe auf Netzwerkressourcen und Karteninhaberdaten.

11. Testen Sie die Sicherheitssysteme und –prozesse regelmäßig.

12. Legen Sie Richtlinien für die Informationssicherheit fest, und setzen Sie sie durch.

Ein Unternehmen, das Kundeninformationen speichert oder Kreditkartenzahlungen durchführt, würde wohl ohnehin nicht lange existieren, wenn es das Netzwerk nicht mit einer Firewall absichert oder den Virenscanner nicht aktualisiert – ganz gleich, was der PCI DSS vorschreibt oder nicht. Der PCI-DSS-Standard skizziert lediglich die Schutzvorrichtungen, die notwendig sind, ohne aber genaue Vorgaben zu konkreten Lösungen oder Konfiguration zu machen. Es gibt also breiten Raum für Interpretationen und verschiedene Möglichkeiten der Implementierung.

Nach dem Stand 30.06.2007 müssen alle Unternehmen, die Kreditkartenzahlungen speichern, verarbeiten oder übermitteln, das Einhalten der PCI-DSS-Richtlinien nachweisen. Übertretungen können zu erhöhten Verarbeitungsentgelten, Verlust des Händlerstatus oder sogar Vertragsstrafen bis 350.000 Euro pro Vorfall führen.

Strategien für PCI-DSS-Compliance entwickeln

Der gesunde Menschenverstand legt nahe, dass ein Netzwerk sicher sein muss. Die PCI-DSS-Richtlinien legen etwas genauer fest, wie diese Sicherheit aussehen soll. Werden die Compliance-Vorgaben nicht eingehalten, kann es zu saftigen Vertragsstrafen oder dem Verlust des Händlerstatus kommen. Ergo sollte man sich besser die Mühe machen, diese Richtlinien zu erfüllen.

Fangen Sie aber bitte jetzt nicht an, einfach Kästchen in einer PCI-DSS-Checkliste abzuhaken. Vergessen Sie nie, dass das eigentliche Ziel im Schutz der Daten und des Netzwerks besteht, und nicht im Bestehen einer PCI-DSS-Prüfung.

Nehmen Sie sich Zeit und entwickeln Sie eine umfassende Strategie für die PCI-DSS-Einhaltung, die Ihre vorhandenen Informationssicherheits-Maßnahmen (Software, Abläufe, Richtlinien) mit einbezieht. Zugleich sollte die Strategie zu weiteren Datensicherheitsvorschriften wie der achten EU-Richtlinie für Unternehmensrecht passen – dies ist das EU-Äquivalent zum amerikanischen Sarbanes-Oxley Act.

Nicht nur Mitarbeiter einbeziehen

Manche Anforderungen können die eigenen Mitarbeiter erledigen. Dabei handelt es sich beispielsweise um die anfängliche Prüfung, inwieweit die PCI-DSS-Forderungen bereits erfüllt werden oder auch um notwendige Veränderungen an der Netzwerksicherheit. Früher oder später kommt aber meist der Punkt, an dem man die Hilfe externer Spezialisten benötigt.

Einzelhändler oder Dienstleister, die mehr als 10.000 Transaktionen im Jahr durchführen, müssen ihre Netzwerksicherheit vierteljährlich von einem ASV (Approved Scanning Vendor) prüfen lassen. Hier finden Sie eine Liste der vom PCI Security Standards Council zugelassenen ASVs.

Die Spezialisten eines ASV führen einen Penetrationstest ihres Netzwerks durch und prüfen, ob Schwachstellen vorliegen. Zudem kann man einen QSA (Qualified Security Assessor) engangieren. QSAs prüfen die Einhaltung des PCI DSS, identifizieren mögliche Verstöße und helfen bei der Beseitigung identifizierter Probleme. In den Download-Links finden Sie ein englisches PDF (225 KB) mit einer aktuellen Liste zertifizierter QSAs.

Die Einhaltung des PCI DSS muss keineswegs ein besonders schwieriges Projekt sein. Es lohnt sich, die Zeit und Ressourcen für die penible Einhaltung seiner Vorschriften zu investieren, denn das zusätzliche Vertrauen von Kunden und Investoren ist viel mehr wert. Außerdem beseitigt man so das Risiko einer hohen Vertragsstrafe oder des Verlusts der Möglichkeit, Kreditkartenzahlungen akzeptieren zu können.

Tony Bradley ist Mitarbeiter unseres Schwesternportals Security-Insider.com.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2009503 / Compliance und Datenschutz )