Fragen und Antworten zu PCI

Unsere Experten des PCI Competence Centers stehen Ihnen gerne für Fragen zur Verfügung. Nachfolgend haben wir aber auch die wichtigsten Fragen und Antworten rund um den PCI DSS Standard, den Zertifizierungs- und Scanprozess sowie zu unserer PCI DSS Plattform für Sie zusammengestellt.


Allgemeines zu PCI DSS

Die PCI Data Security Standards (PCI DSS) sind aus Sicherheitsstandards von VISA und MasterCard hervorgegangen und mittlerweile von allen namhaften Kreditkartenorganisationen als verbindlich anerkannt. Sie definieren spezifische Anforderungen für die verschiedenen Bereiche der Speicherung, Verarbeitung und Übermittlung von Karteninhaberdaten, um den sorgfältigen und geschützten Umgang mit Kreditkartendaten sicherzustellen. Diese Anforderungen gelten für Händler, Service Provider, Softwareanbieter von Payment Applikationen, Acquirer und Prozessoren. Weitere Informationen finden Sie beim PCI Security Standards Council.
Der Standard umfasst Sicherheitsanforderungen, die folgende Ziele verfolgen.:
1. Einrichtung und Betrieb eines geschützten Netzwerks
2. Schutz von aufbewahrten und übermittelten Karteninhaberdaten
3. Einrichtung und Betrieb eines Schwachstellen-Management-Systems
4. Umsetzung effektiver Richtlinien zur Zugriffskontrolle
5. Regelmäßige Überwachung und Überprüfung der IT-Infrastruktur
6. Formulierung und Durchsetzung einer Richtlinie zur Informationssicherheit
PCI DSS umfasst zwölf Sicherheitsanforderungen. Als PCI-konform gelten Organisationen, die folgende Vorgaben einhalten:
1. Installation und Wartung einer Firewall-Konfiguration zum Schutz von Karteninhaberdaten
2. Änderung der von Herstellern vorgegebenen Standardpasswörter und Sicherheitseinstellungen
3. Schutz gespeicherter Kreditkarteninhaberdaten
4. Verschlüsselte Übertragung der Daten von Kreditkarteninhabern in öffentlichen Netzwerken
5. Verwendung und regelmäßige Aktualisierung von Antivirensoftware
6. Entwicklung und Verwendung sicherer Systeme und Anwendungen
7. Beschränkung des Zugriffs auf Karteninhaberdaten je nach Geschäftsinformationsbedarf
8. Zuweisung einer eindeutigen ID für jede Person mit Computerzugriff
9. Einschränkung des physikalischen Zugriffs auf Karteninhaberdaten
10. Protokollierung und Überwachung aller Zugriffe auf Netzwerk-Ressourcen und Daten von Kreditkarteninhabern
11. Regelmäßige Überprüfung von Sicherheitssystemen und –abläufen
12. Einrichtung einer Unternehmensrichtlinie mit Vorgaben zur Informationssicherheit für Mitarbeiter und Vertragspartner

Jedes Unternehmen, das Kreditkartenzahlung akzeptiert, muss sich an die Sicherheitsvorgaben der Kreditkartenorganisationen und somit des PCI DSS halten. Dabei sind die Größe des Unternehmens und die Anzahl der Kreditkartentransaktionen pro Jahr unerheblich für die Nachweispflicht des Unternehmens.
Fast alle großen Kartenorganisationen wie VISA, MasterCard, American Express, JCB, Discover akzeptieren eine Zertifizierung nach dem PCI Data Security Standard.
Für E-Commerce Merchants, Service Provider und Acquirer ist die Zertifizierung Ihrer Systeme durch akkreditierte Anbieter von den Kreditorganisationen verpflichtend vorgeschrieben, wenn Kreditkartendaten gespeichert, verarbeitet oder an Dritte weitergeleitet werden.
Sie speichern, verarbeiten oder übertragen Kreditkartendaten, wenn Sie Nummern oder Gültigkeitsdaten von Kreditkarten Ihrer Kunden auf Ihren IT-Systemen empfangen, um sie zu speichern oder an Dritte weiterzuleiten. Die zeitliche Dauer der Verarbeitung (kurzfrisitge oder langfristige Speicherung, Verarbeitung oder Weiterleitung) spielt dabei keine Rolle. Entscheidend ist der Empfang von kundenspezifischen Kreditkartendaten auf Ihren IT-Systemen. Nur wenn Sie mit Sicherheit ausschließen können, dass Sie zu keinem Zeitpunkt Kreditkartendaten Ihrer Kunden auf Ihren IT-Systemen empfangen, verarbeiten oder an Dritte weiterleiten, müssen Sie sich nicht nach dem PCI Data Security Standard zertifizieren lassen.
Wenn Sie Kreditkartendaten auf Ihren Systemen speichern oder über Ihre Systeme weiterleiten, sind Sie verpflichtet, sich zertifizieren lassen. Wenn Sie sich nicht sicher sind, wenden Sie sich bitte an Ihren Acquirer oder an unser PCI Competence Center.

Detaillierte Informationen finden Sie hier: MasterCard: http://www.mastercard.com/us/sdp VISA: http://www.visaeurope.com/aboutvisa/security/ais/main.jsp PCI Security Standards Council: http://www.pcisecuritystandards.org
Die Einstufung des Merchants und/oder Service Providers erfolgt gemäß den Vorgaben der Kreditkartenorganisationen. Ein wesentlicher Faktor zur Einstufung ist das jährliche Transaktionsvolumen. Detaillierte Informationen finden Sie hier: MasterCard / VISA Informationen / American Express
Ihr Unternehmen kann seitens der Kreditkartenorganisationen bzw. vom Acquirer (Händlerbank) mit Geldstrafen belegt werden. Des Weiteren ist Ihr Unternehmen haftungspflichtig, wenn Kreditkartendaten Ihrer Kunden gestohlen oder missbraucht werden.
Der PCI DSS mit seinen verbindlichen Regeln für mehr IT-Sicherheit soll der Betrugskriminalität einen Riegel vorschieben. Durch verstärkte Schutzmaßnahmen bei der Verarbeitung von Zahlungskartendaten gemäß PCI entstehen Ihnen vor allem folgende Vorteile:
• Erhöhte Datensicherheit und Schutz Ihrer Kunden
• Gesteigertes Kundenvertrauen und somit ggf. Steigerung des Kreditkarteneinsatzes und –umsatzes
• Größere Absicherung vor finanziellen Schäden und Schadenersatz aufgrund von Sicherheitsverletzungen
• Schutz des Unternehmensimage
• Bewertung des Sicherheitsschutzes von Systemen zur Speicherung, Verarbeitung und/oder Übermittlung von Karteninhaberdaten
• Datenminimierung und –vermeidung führen zur Reduzierung des Unternehmensrisikos
• Netzwerkstrukturierung reduziert die Kosten der Aufrechterhaltung der PCI Compliance

Unternehmen, die nachweislich den PCI DSS einhalten, erhalten eine Konformitätsbescheinigung. Diese Unternehmen haben erfolgreich dokumentiert, dass sie die Sicherheitsanforderungen der Kreditkartenorganisationen im Umgang mit Kreditkartendaten kennen und einhalten. Damit hat das Unternehmen den Status PCI DSS „compliant“ erlangt und befindet sich im Schutz der sogenannten „Safe-Harbour Rule“. Somit kann im Falle eines Datendiebstahls bzw. -missbrauchs nach Analyse durch einen Forensiker das Unternehmen mit einer teilweisen oder vollständigen Befreiung von Geldstrafen seitens der Kreditkartenorganisationen bzw. des Acquirers rechnen.
Ihr Unternehmen bietet Kreditkartenzahlung an und muss deshalb den PCI DSS nachweislich erfüllen. Daher hat Ihr Acquirer Sie kontaktiert, den Compliance Nachweis zu erbringen.
Das ist in Abhängigkeit davon, wie Ihr Unternehmen Kreditkartendaten verarbeitet und in welchem Umfang Sie Transaktionen durchführen, verschieden. Nachweise können je nach Einstufung Ihres Unternehmens in Form von:
– einem jährlichen Onsite Audit (Vor Ort Audit) durch einen offiziell vom PCI Security Standards Council zugelassenen Qualified Security Assessor (QSA)
– vierteljährlichen PCI Security Scans durch einen offiziell vom PCI Security Standards Council zugelassenen Approved Scanning Vendor (ASV)
– einem jährlich auszufüllenden Selbstauskunftsfragebogen (SAQ – Self Assessment Questionnaires)
erfolgen.
Die Einstufung des Merchants und/oder Service Providers erfolgt gemäß den Vorgaben der Kreditkartenorganisationen. Ein wesentlicher Faktor zur Einstufung ist das jährliche Transaktionsvolumen. Detaillierte Informationen finden Sie hier: MasterCard / VISA Informationen / American Express

Der PCI DSS Nachweis muss mindestens einmal im Jahr erbracht werden. Da durch den PCI DSS Nachweis der aktuelle Stand der Kreditkartenabwicklung in Ihrem Unternehmen dokumentiert wird, ist es notwendig, auf Änderungen der Kreditkartenakzeptanz bzw. Zahlungsabwicklungen auch außerhalb des vorgegebenen Turnus von einem Jahr durch die Aktualisierung Ihres PCI DSS Nachweises zu reagieren. Sie sind verpflichtet, jederzeit die PCI DSS Konformität aufrecht zu erhalten.
Der PCI DSS Nachweis muss im Falle einer Auslagerung der Speicherung, Verarbeitung oder Übertragung von Kreditkartendaten an einen Drittdienstleister dennoch erbracht werden, um zu dokumentieren, dass der gewählte Dienstleister PCI compliant ist und dass Sie regelmäßig den PCI Status des Dienstleisters überprüfen. Ihr Acquirer benötigt generell eine Selbstauskunft Ihres Unternehmens gemäß dem PCI DSS, indem die Art und Weise der Kreditkartenabwicklung dokumentiert und die Konformität mit dem Datensicherheitsstandard der Kreditkartenorganisationen nachgewiesen wird.
Die Kreditkartenorganisationen MasterCard und Visa haben unter den folgenden Links eine Liste mit PCI DSS konformen Dienstleistern im Internet veröffentlicht:
• Visa
http://www.visaeurope.com/en/businesses__retailers/payment_security/downloads__resources.aspx
• MasterCard
http://www.mastercard.com/us/company/en/whatwedo/compliant_providers.html
Oder Sie sprechen den Dienstleister direkt an und fragen diesen nach seinem PCI-Zertifikat.

Jedes Unternehmen, das Kreditkartenzahlung anbietet, ist verpflichtet, den PCI DSS einzuhalten und diesen nachzuweisen. Haben Sie Kreditkartenzahlungen an einen PCI DSS konformen Dienstleister übergeben und speichern, verarbeiten oder übertragen Sie keine Kreditkartendaten auf Ihren eigenen IT-Systemen, steht Ihnen ein verkürzter Weg zum Nachweis der PCI-Compliance zur Verfügung.
Der Nachweis der Kreditkartensicherheit wird für das eigene Unternehmen durchgeführt und gilt unabhängig davon, bei welchem Acquirer der Kreditkartenakzeptanzvertrag abgeschlossen wurde. Entsprechend handelt es sich bei der Konformitätsbescheinigung um ein Dokument, welches universell einsetzbar als Nachweis der Kreditkartensicherheit für das Unternehmen vorgelegt werden kann.

 

Wie ist der Ablauf der Registrierung und Zertifizierung?

Registrieren Sie sich einfach über die usd PCI DSS Plattform. Nach erfolgreicher Registrierung setzt sich ein Mitarbeiter unseres PCI Competence Center mit Ihnen telefonisch in Verbindung und bespricht mit Ihnen alle weiteren Schritte.
Die Registrierung dauert ungefähr 10 Minuten.
Abhängig von der jährlichen Transaktionszahl durchläuft ein Merchant oder Service Provider verschiedene Zertifizierungsmaßnahmen. Zum einen wird der Self-Assessment-Fragebogen ausgefüllt. Zum anderen werden PCI Security Scans auf die extern erreichbaren IT-Systeme des Merchants bzw. Service Providers durchgeführt.
Die Registrierung auf der usd PCI DSS Plattform ist kostenfrei.
Die Preise für die Zertifizierung richten sich nach der Level-Einstufung des Merchants bzw. Service Providers und der dadurch festgelegten Anzahl der jährlich durchzuführenden Security Scans. Detaillierte Auskünfte über unsere Leistungen und Preise erhalten Sie auf unseren Seiten oder beim usd PCI Competence Center.
Detaillierte Auskünfte über unsere Leistungen und Preise erhalten Sie auf unseren Seiten oder direkt beim usd PCI Competence Center.
Sollte ein Scan keine Compliance ergeben haben, haben Sie die Möglichkeit, innerhalb von vier Wochen unbegrenzt kostenlose Rescans Ihrer IP-Adressen durchzuführen, um gefundene Schwachstellen beseitigen zu können und damit die PCI Compliance zu erreichen.

 

Technische Voraussetzungen zur Nutzung der usd PCI Plattform

Folgende technische Voraussetzungen sind für die Nutzung der PCI DSS Plattform notwendig: Browser: IE (Internet Explorer) 6.x oder Mozilla Firefox 1.x sowie Acrobat Reader ab 4.x. Bitte aktivieren Sie JavaScript. Außerdem empfehlen wir Ihnen die Aktivierung von Cookies.
Ein Cookie enthält keine Informationen über Sie und Ihr System, die dem Server nicht beim Setzen des Cookies bereits bekannt waren. Die PCI DSS Plattform verwendet ein Cookie mit dem Namen „zenid“, um Sie bei aufeinanderfolgenden Zugriffen wiederzuerkennen. Diese Wiedererkennung ist nötig, damit Sie nach einer Anmeldung auf Ihre Daten zugreifen können. Sie ermöglicht auch das Beibehalten der von Ihnen ausgewählten Sprache und die Arbeit mit Ihrem Warenkorb. Dieses Cookie bleibt nur so lange auf Ihrem System gespeichert, bis Sie Ihren Web-Browser vollständig schließen.
Im Verlaufe eines PCI Security Scans müssen alle Systeme des Merchants bzw. seines jeweiligen Service Providers, die über das Internet erreichbar sind, auf Schwachstellen hin untersucht werden. Dies betrifft insbesondere Web-Server, Mail-Server, Router, Firewalls, Applikations-Server, Datenbank-Server und Load-Balancer.
Während der Durchführung eines Security Scans ist es notwendig, dass diejenigen Systeme, die die Überprüfung vornehmen, uneingeschränkten Zugriff auf die Zielsysteme erhalten. Da ein solcher Security Scan der Vorbereitung eines zielgerichteten Angriffs auf Ihre Systeme ähnelt, ist es zwingend erforderlich, Mechanismen, die der Abwehr solcher Angriffe dienen, wie z.B. Intrusion Detection, bzw. Prevention Systems (IDS/IPS), so zu konfigurieren, dass die Arbeit des Security Scanners nicht behindert wird. Alle Zugriffe, die die usd AG im Rahmen solcher Security Scans auf Ihre Systeme unternimmt, stammen, wenn nicht ausdrücklich anders vereinbart, von den IP-Adressbereichen 64.39.96.1 – 64.39.111.254.

 

Fragen zum Self Assessment Questionnaire

Ja, es müssen alle Fragen beantwortet werden, ansonsten wird der Fragebogen nicht akzeptiert. Generell sollten die Fragen mit JA oder NEIN beantwortet werden. Bei einigen Ausnahmefällen besteht die Möglichkeit, eine Frage mit N/A (not applicable) zu beantworten. In diesem Fall muss zwingend eine schriftliche Begründung beigefügt werden. Wenn Sie Verständnisfragen haben oder weitere Unterstützung benötigen, wenden Sie sich an unsere Mitarbeiter im PCI Competence Center.
Der Fragebogen adressiert die 12 Hauptanforderungen des PCI Data Security Standard (PCI DSS).
Nein, um sprachliche Unschärfen zu vermeiden, sind die Fragen ausschließlich auf Englisch gestellt und zu beantworten.

 

Fragen zum Scanprozess

Ja, Sie können grundsätzlich den Zeitpunkt frei wählen und den Termin über die PCI DSS Plattform selbst festlegen. Wir empfehlen Ihnen, Ihren Security Scan frühzeitig zu planen, damit wir die entsprechenden Ressourcen für Ihren gewünschten Termin frei halten können. Eine verbindliche Anmeldung zum Scannen muss mindestens 3 Tage vor Ihrem geplanten Termin erfolgen.
Nach Abschluss eines Security Scans werden Sie per E-Mail an eine vorher festgelegte Mailaddresse über das Ende des Scans informiert. Danach werden die Reports im PDF-Format (Zusammenfassung und technischer Report) erstellt, die Sie sich von der Plattform herunterladen können.
Die Dauer eines Security Scans ist von der Anzahl und Art der auf dem Zielsystem erreichbaren Dienste abhängig. Im Allgemeinen dauert ein Security Scan jedoch etwa 20 Minuten pro Server.
Die usd AG untersucht die Architektur und Konfiguration der Internet-Anbindung auf Schwachstellen, die ein Angreifer für Einbrüche in das System nutzen könnte. Das System wird dabei aus dem Internet mit Hilfe von Security-Scannern angesprochen und auf mögliche Schwachstellen hin untersucht.
Nein. Die usd AG führt im Rahmen der PCI-Reviews ausnahmslos sogenannte Non-Intrusive-Scans durch, bei denen lediglich analysiert wird, ob Schwachstellen in Ihren Systemen bestehen respektive vom Internet zu erkennen sind. Die so identifizierten, potentiellen Sicherheitslöcher werden auf keinen Fall dazu benutzt, die betroffenen Systeme in ihrer Integrität und Verfügbarkeit zu schädigen, d.h. sie zu „hacken“.
Die von uns angewandte Scan-Methode hat nicht zum Ziel, in das Zielsystem „einzubrechen“, sondern ist lediglich ein Mittel, um über Informationen, die die jeweiligen Zielsysteme selbst übermitteln, Schwachstellen in deren Konfiguration festzustellen. Diese Art der Datenerfassung ähnelt der Vorbereitung eines Angriffs auf Ihre Systeme durch einen externen Angreifer, allerdings erhalten lediglich die von Ihnen autorisierten Personen Zugriff auf dieses Datenmaterial.
In diesem Falle informieren wir Sie per Mail über den nicht erfolgreichen Scanverlauf und geben Ihnen im erstellten PDF-Report Empfehlungen, wie in die Konfiguration Ihrer Systeme eingegriffen werden sollte, um einen erfolgreichen Scan zu ermöglichen. Nachdem entsprechende Maßnahmen umgesetzt wurden, kann ein Rescan geplant werden, der die ursprünglich nicht erfolgreich gescannten Server erneut untersucht, um insgesamt ein erfolgreiches Ergebnis zu erzielen.

 

Fragen zur Bedienung der usd PCI DSS Plattform

Auf der Seite „Login“ finden Sie die Funktion „Passwort vergessen“. Wählen Sie diese einfach aus und Sie erhalten per E-Mail ein neues Passwort von uns.
Melden Sie sich auf der usd PCI DSS Plattform an und wählen den Bereich „mein Konto“ aus. Hier können Sie alle Daten ändern, die Ihr Kundenkonto betreffen.
Melden Sie sich auf der usd PCI DSS Plattform an und wählen den Bereich „mein Konto“ aus. Hier können Sie alle Daten ändern, die Ihr Kundenkonto betreffen.
Stellen Sie sicher, dass Sie in Ihrem Internetbrowser Cookies aktiviert haben.