Stripe-Logo

Seit 2005 wurden über 11 Milliarden Verbraucherdatensätze durch über 8.500 Datenschutzverletzungen kompromittiert. Dies sind die neuesten Zahlen des Privacy Rights Clearinghouse, das über Datenschutzverletzungen und Sicherheitsverletzungen berichtet, die sich auf Verbraucher aus dem Jahr 2005 auswirken.

Um die Sicherheit der Verbraucherdaten und das Vertrauen in das Zahlungsökosystem zu verbessern, wurde ein Mindeststandard für die Datensicherheit geschaffen. Visa, Mastercard, American Express, Discover und JCB gründeten 2006 den Payment Card Industry Security Standards Council (PCI SSC), um Sicherheitsstandards für Unternehmen zu verwalten, die mit Kreditkartendaten umgehen. Vor der Einführung des PCI SSC hatten diese fünf Kreditkartenunternehmen alle ihre eigenen Sicherheitsstandardprogramme – jedes mit ungefähr ähnlichen Anforderungen und Zielen. Sie haben sich im Rahmen des PCI SSC zusammengeschlossen, um sich auf eine Standardrichtlinie, die PCI Data Security Standards (bekannt als PCI DSS), auszurichten, um ein grundlegendes Schutzniveau für Verbraucher und Banken im Internetzeitalter zu gewährleisten.

Das Verständnis von PCI DSS kann komplex und herausfordernd sein

Wenn Ihr Geschäftsmodell den Umgang mit Kartendaten erfordert, müssen Sie möglicherweise alle der über 300 Sicherheitskontrollen in PCI DSS erfüllen. Es gibt über 1.800 Seiten offizielle Dokumentation, veröffentlicht vom PCI Council, über PCI DSS und über 300 Seiten, um zu verstehen, welche Formulare bei der Validierung der Compliance zu verwenden sind. Dies würde über 72 Stunden dauern, nur um zu lesen.

Um diese Belastung zu verringern, finden Sie im Folgenden eine Schritt-für-Schritt-Anleitung zur Validierung und Aufrechterhaltung der PCI-Konformität.

Überblick über den PCI Data Security Standard (PCI DSS)

PCI DSS ist der globale Sicherheitsstandard für alle Unternehmen, die Karteninhaberdaten und/oder sensible Authentifizierungsdaten speichern, verarbeiten oder übertragen. PCI DSS legt ein grundlegendes Schutzniveau für Verbraucher fest und trägt dazu bei, Betrug und Datenschutzverletzungen im gesamten Zahlungsökosystem zu reduzieren. Es gilt für jede Organisation, die Zahlungskarten akzeptiert oder verarbeitet.

PCI-DSS-Compliance beinhaltet 3 Hauptpunkte:

  1. Umgang mit dem Eindringen von Kreditkartendaten von Kunden, nämlich dass sensible Kartendaten sicher gesammelt und übertragen werden
  2. Sichere Speicherung von Daten, die in den 12 Sicherheitsdomänen des PCI-Standards beschrieben sind, wie Verschlüsselung, laufende Überwachung und Sicherheitstests des Zugriffs auf Kartendaten
  3. Jährliche Validierung, dass die erforderlichen Sicherheitskontrollen vorhanden sind, die Formulare, Fragebögen, externe Schwachstellenscan-Dienste und 3rd-Party-Audits umfassen können (siehe die Schritt-für-Schritt-Anleitung unten für eine Tabelle mit den vier Ebenen von anforderungen)

Umgang mit Kartendaten

Einige Geschäftsmodelle erfordern den direkten Umgang mit sensiblen Kreditkartendaten bei der Annahme von Zahlungen, andere nicht. Unternehmen, die Kartendaten verarbeiten müssen (z. B. das Akzeptieren von untokenisierten Zahlungen auf einer Zahlungsseite), müssen möglicherweise jede der über 300 Sicherheitskontrollen in PCI DSS erfüllen. Selbst wenn Kartendaten nur für einen kurzen Moment die Server durchlaufen, müsste das Unternehmen Sicherheitssoftware und -hardware kaufen, implementieren und warten.

Wenn ein Unternehmen nicht mit sensiblen Kreditkartendaten umgehen muss, sollte es dies auch nicht tun. Lösungen von Drittanbietern (z. B. Stripe Elements) akzeptieren und speichern die Daten sicher, wodurch erhebliche Komplexität, Kosten und Risiken vermieden werden. Da Kartendaten niemals ihre Server berühren, müsste das Unternehmen nur 22 Sicherheitskontrollen bestätigen, von denen die meisten unkompliziert sind, z. B. die Verwendung sicherer Kennwörter.

Daten sicher speichern

Wenn eine Organisation Kreditkartendaten verarbeitet oder speichert, muss sie den Umfang ihrer Karteninhaberdatenumgebung (CDE) definieren. PCI DSS definiert CDE als die Personen, Prozesse und Technologien, die Kreditkartendaten speichern, verarbeiten oder übertragen — oder jedes damit verbundene System. Da alle mehr als 300 Sicherheitsanforderungen in PCI DSS für CDE gelten, ist es wichtig, die Zahlungsumgebung ordnungsgemäß vom Rest des Unternehmens zu trennen, um den Umfang der PCI-Validierung einzuschränken. Wenn eine Organisation den CDE-Bereich nicht mit granularer Segmentierung enthalten kann, gelten die PCI-Sicherheitskontrollen für jedes System, jeden Laptop und jedes Gerät in ihrem Unternehmensnetzwerk. Huch!

Jährliche Validierung

Unabhängig davon, wie Kartendaten akzeptiert werden, müssen Organisationen jährlich ein PCI-Validierungsformular ausfüllen. Die Art und Weise, wie die PCI-Konformität validiert wird, hängt von einer Reihe von Faktoren ab, die im Folgenden beschrieben werden. Hier sind 3 Szenarien, in denen eine Organisation aufgefordert werden könnte, nachzuweisen, dass sie PCI-konform ist:

  • Zahlungsabwickler können es als Teil ihrer erforderlichen Berichterstattung an die Zahlungskartenmarken anfordern
  • Geschäftspartner können es als Voraussetzung für den Abschluss von Geschäftsvereinbarungen anfordern
  • Für Plattformunternehmen (diejenigen, deren Technologie Online-Transaktionen zwischen mehreren verschiedenen Benutzergruppen erleichtert) können Kunden es anfordern, um ihren Kunden zu zeigen, dass sie Daten sicher handhaben

Die neuesten Sicherheitsstandards standards, PCI DSS Version 3.2.1, enthält 12 wichtigsten anforderungen mit über 300 sub-anforderungen, dass spiegel sicherheit best practices.

    Aufbau und Pflege eines sicheren Netzwerks und sicherer Systeme

  1. Installation und Pflege einer Firewall-Konfiguration zum Schutz von Karteninhaberdaten
  2. Verwenden Sie keine vom Hersteller bereitgestellten Standardwerte für Systemkennwörter und andere Sicherheitsparameter
  3. Schutz von Karteninhaberdaten

  4. Schutz gespeicherter Karteninhaberdaten
  5. Verschlüsseln der Übertragung von Karteninhaberdaten daten über offene oder öffentliche Netzwerke
  6. Pflegen Sie ein Schwachstellenmanagementprogramm

  7. Schützen Sie alle Systeme vor Malware und aktualisieren Sie regelmäßig Antivirensoftware
  8. Entwickeln und pflegen systeme und Anwendungen
  9. Implementieren strenger Zugriffskontrollmaßnahmen

  10. Beschränken des Zugriffs auf Karteninhaberdaten nach Geschäftsanforderungen
  11. Identifizieren und Authentifizieren des Zugriffs auf Systemkomponenten
  12. Beschränken des physischen Zugriffs auf Karteninhaberdaten
  13. Netzwerke regelmäßig überwachen und testen

  14. Verfolgen und überwachen Sie den gesamten Zugriff auf Netzwerkressourcen und Karteninhaberdaten
  15. Sicherheitssysteme und -prozesse regelmäßig testen
  16. Pflegen Sie eine Informationssicherheitsrichtlinie

  17. Pflegen Sie eine Richtlinie, die sich mit der Informationssicherheit für alle befasst personal

Um es neuen Unternehmen „einfacher“ zu machen, die PCI-Konformität zu validieren, hat der PCI Council neun verschiedene Formulare oder Self-Assessment-Fragebögen (SAQs) erstellt, die eine Teilmenge der gesamten PCI DSS-Anforderung darstellen. Der Trick besteht darin, herauszufinden, was anwendbar ist oder ob es notwendig ist, einen vom PCI Council zugelassenen Auditor zu beauftragen, um zu überprüfen, ob jede PCI DSS-Sicherheitsanforderung erfüllt wurde. Darüber hinaus überarbeitet der PCI-Rat die Regeln alle drei Jahre und veröffentlicht im Laufe des Jahres inkrementelle Updates, wodurch die Komplexität noch dynamischer wird.

Schritt-für-Schritt-Anleitung zur PCI DSS v3.2.1-Konformität

Der erste Schritt zur Erreichung der PCI-Konformität besteht darin, zu wissen, welche Anforderungen für Ihr Unternehmen gelten. Es gibt vier verschiedene PCI-Konformitätsstufen, die in der Regel auf dem Volumen der Kreditkartentransaktionen basieren, die Ihr Unternehmen während eines Zeitraums von 12 Monaten verarbeitet.

Gilt für Anforderungen
Ebene 1
  1. Organisationen, die jährlich mehr als verarbeiten 6 Millionen Transaktionen von Visa oder MasterCard, oder mehr als 2.5 millionen für American Express; oder
  2. Haben eine Datenschutzverletzung erlebt; oder
  3. Gelten als „Level 1“ von jedem Kartenverband (Visa, Mastercard, etc)
  1. Jahresbericht über Compliance (ROC) durch einen Qualified Security Assessor (QSA) — auch allgemein als Level 1 Onsite Assessment bekannt — oder interner Auditor, wenn er von einem leitenden Angestellten des Unternehmens unterzeichnet wurde
  2. Vierteljährlicher Netzwerk-Scan durch Approved Scan Vendor (ASV)
  3. Attestation of Compliance (AOC) für Onsite Assessments – Es gibt spezielle Formulare für Händler und Dienstleister
Level 2 Organisationen, die zwischen 1-6 Millionen Transaktionen pro Jahr
  1. Jährlicher PCI DSS Self-Assessment Questionnaire (SAQ) – Es gibt 9 SAQ-Typen, die in der folgenden Tabelle kurz dargestellt sind
  2. Vierteljährlicher Netzwerk-Scan durch Approved Scan Vendor (ASV)
  3. Konformitätsbescheinigung —AOC) – Jede der 9 SAQs hat ein entsprechendes AOC-Formular
Ebene 3
  1. Organisationen, die jährlich zwischen 20.000 und 1 Million Online-Transaktionen verarbeiten
  2. Organisationen, die jährlich insgesamt weniger als 1 Million Transaktionen verarbeiten
Ebene 4
  1. Organisationen, die weniger als 20.000 Online-Transaktionen pro Jahr verarbeiten; oder
  2. Organisationen, die bis zu 1 Million Transaktionen pro Jahr verarbeiten

Für Level 2-4 gibt es verschiedene SAQ-Typen, abhängig von Ihrer Zahlungsintegrationsmethode. Hier ist eine kurze Tabelle:

SAQ Beschreibung
A

Card-not-present-Händler (E-Commerce oder E-Mail / Telefon-Bestellung), die alle Karteninhaberdatenfunktionen vollständig an PCI DSS-konforme Drittanbieter ausgelagert haben, ohne elektronische Speicherung, Verarbeitung oder Übertragung von Karteninhaberdaten auf den Systemen oder Räumlichkeiten des Händlers.

Gilt nicht für Face-to-Face-Kanäle.

A-EP

E-Commerce-Händler, die die gesamte Zahlungsabwicklung an PCI DSS-validierte Dritte auslagern und über eine Website verfügen, die keine Karteninhaberdaten direkt empfängt, die sich jedoch auf die Sicherheit der Zahlungstransaktion auswirken kann. Keine elektronische Speicherung, Verarbeitung oder Übermittlung von Karteninhaberdaten in den Systemen oder Räumlichkeiten des Händlers.

Gilt nur für E-Commerce-Kanäle.

B

Händler, die nur:

  • Abdruckmaschinen ohne elektronische Karteninhaberdatenspeicherung und/oder
  • Eigenständige Wählterminals ohne elektronische Karteninhaberdatenspeicherung.

Gilt nicht für E-Commerce-Kanäle.

B-IP

Händler, die nur eigenständige, PTS-zugelassene Zahlungsterminals mit einer IP-Verbindung zum Zahlungsprozessor ohne Speicherung elektronischer Karteninhaberdaten verwenden.

Gilt nicht für E-Commerce-Kanäle.

C-VT

Händler, die jeweils eine einzelne Transaktion manuell über eine Tastatur in eine internetbasierte virtuelle Zahlungsterminallösung eingeben, die von einem PCI DSS-validierten Drittanbieter bereitgestellt und gehostet wird. Keine elektronische Karteninhaberdatenspeicherung.

Gilt nicht für E-Commerce-Kanäle.

C

Händler mit Zahlungsantragssystemen, die mit dem Internet verbunden sind, keine elektronische Speicherung von Karteninhaberdaten.

Gilt nicht für E-Commerce-Kanäle.

P2PE

Händler, die nur Hardware-Zahlungsterminals verwenden, die in einer validierten, PCI SSC-gelisteten Punkt-zu-Punkt-Verschlüsselungslösung (P2PE) enthalten sind und über diese verwaltet werden, ohne dass elektronische Karteninhaberdaten gespeichert werden.

Gilt nicht für E-Commerce-Händler.

D

SAQ D für Händler: Alle Händler, die nicht in den Beschreibungen für die oben genannten SAQ-Typen enthalten sind.

SAQ D für Dienstleister: Alle Dienstleister, die von einer Zahlungsmarke als berechtigt zum Ausfüllen eines SAQ definiert werden.

Um die SAQ- und Attestierungsdokumente auszuwählen, die für Ihre Organisation am besten geeignet sind, kann das Flussdiagramm auf Seite 18 dieses PCI-Dokuments hilfreich sein.

Die PCI-DSS-Anforderungen ändern sich im Laufe der Zeit. Eine der besten Möglichkeiten, Updates zu neuen oder sich ändernden Zertifizierungsanforderungen zu erhalten und diese zu erfüllen, besteht darin, eine PCI-teilnehmende Organisation (PO) zu werden.

Ordnen Sie Ihre Datenflüsse zu

Bevor Sie sensible Kreditkartendaten schützen können, müssen Sie wissen, wo sie sich befinden und wie sie dorthin gelangen. Sie möchten eine umfassende Zuordnung der Systeme, Netzwerkverbindungen und Anwendungen erstellen, die mit Kreditkartendaten in Ihrer Organisation interagieren. Abhängig von Ihrer Rolle müssen Sie wahrscheinlich mit Ihren IT- und Sicherheitsteams zusammenarbeiten, um dies zu tun.

  • Identifizieren Sie zunächst jeden verbraucherorientierten Bereich des Unternehmens, der Zahlungsvorgänge umfasst. Sie können beispielsweise Zahlungen über einen Online-Einkaufswagen, Zahlungsterminals im Geschäft oder Bestellungen über das Telefon akzeptieren.
  • Bestimmen Sie als Nächstes die verschiedenen Arten, wie Karteninhaberdaten im gesamten Unternehmen gehandhabt werden. Es ist wichtig, genau zu wissen, wo die Daten gespeichert sind und wer Zugriff darauf hat.
  • Identifizieren Sie dann die internen Systeme oder zugrunde liegenden Technologien, die den Zahlungsverkehr berühren. Dazu gehören Ihre Netzwerksysteme, Rechenzentren und Cloud-Umgebungen.

Überprüfen Sie die Sicherheitskontrollen und -protokolle

Sobald Sie alle potenziellen Berührungspunkte für Kreditkartendaten in Ihrem Unternehmen festgelegt haben, arbeiten Sie mit IT- und Sicherheitsteams zusammen, um sicherzustellen, dass die richtigen Sicherheitskonfigurationen und -protokolle vorhanden sind (siehe die Liste der 12 Sicherheitsanforderungen für PCI DSS oben). Diese Protokolle wurden entwickelt, um die Übertragung von Daten zu sichern, wie Transport Layer Security (TLS).

Die 12 Sicherheitsanforderungen für PCI DSS v3.2.1 ergeben sich aus Best Practices zum Schutz sensibler Daten für jedes Unternehmen. Einige überschneiden sich mit denen, die erforderlich sind, um die DSGVO, HIPAA und andere Datenschutzvorschriften zu erfüllen, sodass einige von ihnen möglicherweise bereits in Ihrer Organisation vorhanden sind.

Überwachen und Pflegen

Es ist wichtig zu beachten, dass die PCI-Konformität kein einmaliges Ereignis ist. Es ist ein fortlaufender Prozess, um sicherzustellen, dass Ihr Unternehmen konform bleibt, auch wenn sich Datenflüsse und Kundenkontaktpunkte weiterentwickeln. Bei einigen Kreditkartenmarken müssen Sie möglicherweise vierteljährliche oder jährliche Berichte einreichen oder eine jährliche Bewertung vor Ort durchführen, um die laufende Einhaltung zu überprüfen, insbesondere wenn Sie jedes Jahr über 6 Millionen Transaktionen verarbeiten.

Die Verwaltung der PCI-Compliance über das ganze Jahr (und Jahr für Jahr) erfordert häufig abteilungsübergreifende Unterstützung und Zusammenarbeit. Wenn dies noch nicht der Fall ist, kann es sich lohnen, intern ein dediziertes Team einzurichten, um die Compliance ordnungsgemäß aufrechtzuerhalten. Während jedes Unternehmen einzigartig ist, wäre ein guter Ausgangspunkt für ein „PCI-Team“ die Vertretung der folgenden Unternehmen:

  • Sicherheit: Der Chief Security Officer (CSO), der Chief Information Security Officer (CISO) und ihre Teams stellen sicher, dass das Unternehmen immer ordnungsgemäß in die erforderlichen Ressourcen und Richtlinien für Datensicherheit und Datenschutz investiert.
  • Technologie / Zahlungen: Der Chief Technology Officer (CTO), der Vice President of Payments und seine Teams stellen sicher, dass die Kerntools, Integrationen und die Infrastruktur bei der Weiterentwicklung der Systeme des Unternehmens konform bleiben.
  • Finanzen: Der Chief Financial Officer (CFO) und sein Team stellen sicher, dass alle Zahlungsdatenströme bei Zahlungssystemen und Partnern berücksichtigt werden.
  • Rechtliches: Dieses Team kann Ihnen helfen, die vielen rechtlichen Nuancen der PCI DSS-Compliance zu verstehen.

Weitere Informationen zur komplexen Welt der PCI-Compliance finden Sie auf der Website des PCI Security Standards Council. Wenn Sie nur dieses Handbuch und einige andere PCI-Dokumente lesen, empfehlen wir, mit diesen zu beginnen: priorisierter Ansatz für PCI DSS, SAQ-Anweisungen und -Richtlinien, FAQ zur Verwendung von SAQ-Zulassungskriterien zur Bestimmung der Anforderungen für die Vor-Ort-Bewertung und FAQ zu Verpflichtungen für Händler, die Apps für Verbrauchergeräte entwickeln, die Zahlungskartendaten akzeptieren.

Wie Stripe Unternehmen hilft, die PCI-Compliance zu erreichen und aufrechtzuerhalten

Stripe vereinfacht die PCI-Belastung für Unternehmen, die Checkout, Elements, mobile SDKs und Terminal SDKs integrieren, erheblich. Stripe Checkout und Stripe Elements verwenden ein gehostetes Zahlungsfeld für die Verarbeitung aller Zahlungskartendaten, sodass der Karteninhaber alle sensiblen Zahlungsinformationen in ein Zahlungsfeld eingibt, das direkt von unseren PCI DSS-validierten Servern stammt. Stripe Mobile und Terminal SDKs ermöglichen es dem Karteninhaber auch, vertrauliche Zahlungsinformationen direkt an unsere PCI DSS-validierten Server zu senden.

Mit sichereren Kartenakzeptanzmethoden wie diesen füllen wir das PCI-Formular (SAQ) im Stripe-Dashboard aus, sodass die PCI-Validierung so einfach ist wie das Klicken auf eine Schaltfläche. Für kleinere Unternehmen kann dies Hunderte von Arbeitsstunden einsparen, für größere Unternehmen Tausende.

Für alle unsere Benutzer, unabhängig vom Integrationstyp, fungiert Stripe als PCI-Anwalt und kann auf verschiedene Arten helfen.

  • Wir analysieren Ihre Integrationsmethode und beraten Sie, welches PCI-Formular Sie verwenden und wie Sie Ihren Compliance-Aufwand reduzieren können.
  • Wir werden Sie im Voraus benachrichtigen, wenn ein wachsendes Transaktionsvolumen eine Änderung der Art und Weise erfordert, wie Sie die Compliance validieren.
  • Für große Händler (Level 1) bieten wir ein PCI-Paket an, das die PCI-Validierungszeit von Monaten auf Tage reduzieren kann. Wenn Sie mit einem PCI QSA arbeiten müssen (weil Sie Kreditkartendaten speichern oder einen komplexeren Zahlungsfluss haben), gibt es über 350 solcher QSA-Unternehmen auf der ganzen Welt, und wir können Sie mit mehreren Auditoren verbinden, die die verschiedenen Stripe-Integrationsmethoden genau verstehen.
Händlerebene von Visa Durchschnittliche Prüfungszeit (jährliche Schätzungen) Durchschnittliche Prüfungszeit mit Stripe Elements, Checkout oder Mobile SDK (jährliche Schätzungen)
Stufe 1 3-5 Monate 2-5 Tage
Stufe 2 1-3 Monate 0 Tage
Stufe 3 1-3 Monate 0 Tage
Stufe 4 1-3 Monate 0 Tage

Weitere Informationen darüber, wie Stripe Ihnen hilft, Ihre PCI-Konformität zu erreichen, lesen Sie unsere Dokumente zur Integrationssicherheit.

Fazit

Die Bewertung und Validierung der PCI-Konformität erfolgt normalerweise einmal im Jahr, aber die PCI—Konformität ist kein einmaliges Ereignis – es ist ein kontinuierlicher und erheblicher Aufwand für die Bewertung und Behebung. Wenn ein Unternehmen wächst, werden sich auch die Kerngeschäftslogik und -prozesse weiterentwickeln, was bedeutet, dass sich auch die Compliance-Anforderungen weiterentwickeln werden. Ein Online-Unternehmen kann beispielsweise beschließen, physische Geschäfte zu eröffnen, neue Märkte zu erschließen oder ein Kundendienstzentrum zu eröffnen. Wenn etwas Neues Zahlungskartendaten betrifft, ist es eine gute Idee, proaktiv zu überprüfen, ob dies Auswirkungen auf Ihre PCI-Validierungsmethode hat, und die PCI-Konformität bei Bedarf erneut zu validieren.

PCI-Konformität hilft. Es reicht einfach nicht.

Die Einhaltung der PCI-DSS-Richtlinien ist ein notwendiger Schutz für Ihr Unternehmen – aber nicht ausreichend. PCI DSS setzt wichtige Standards für den Umgang und die Speicherung von Karteninhaberdaten, bietet aber allein nicht für jede Zahlungsumgebung einen ausreichenden Schutz. Stattdessen ist der Wechsel zu einer sichereren Kartenakzeptanzmethode (wie Stripe Checkout, Elements und Mobile SDKs) eine viel effektivere Möglichkeit, Ihr Unternehmen zu schützen. Der langjährige Vorteil besteht darin, dass Sie sich nicht auf Branchenstandards verlassen müssen oder sich Gedanken über den möglichen Ausfall von Sicherheitskontrollen machen müssen. Dieser Ansatz bietet agilen Unternehmen die Möglichkeit, einen potenziellen Datenverstoß zu mindern und den emotionalen, zeitaufwändigen und kostspieligen historischen Ansatz für die PCI-Validierung zu vermeiden. Ganz zu schweigen davon, dass eine sicherere Integrationsmethode an jedem einzelnen Tag des Jahres zuverlässig ist.

Zurück zu Guides

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

More: