news-pci-3.1_teil-1.png

PCI 3.0 – Was ist neu? Teil 1

In unserer Reihe „PCI 3.0 – Was ist neu?“ stellen wir Ihnen in regelmäßigen Abständen Neuerungen aus dem Payment Card Data Security Standard (PCI DSS) vor. Wir hoffen, Ihnen damit wertvolle Hinweise für mehr Sicherheit zu geben.

Teil 1: E-Commerce Händler und der Einsatz von Payment Pages

Als E-Commerce Händler muss das Rad nicht neu erfunden werden, wenn es um die Abwicklung von Bezahlungen geht. Ein großer Teil der E-Commerce Händler setzt heute bereits sogenannte Payment Pages ein oder plant die Umstellung darauf.

Diese webbasierten Bezahlseiten, bieten eine einfache und sichere Akzeptanz verschiedener Zahlungsverfahren. Endkunden geben in die in der Regel vom Acquirer gehostete sichere Internetseite ihre Daten zur Online-Zahlung ein, die dann verarbeitet werden können.

Aber auch beim Einsatz von Payment Pages können Risiken entstehen, die je nach Implementierung der Lösungen in den Webshop unterschiedlich aussehen. Ein typisches Angriffsszenario sind bspw. sogenannte „Man-in-the-Middle- Attacken“. Hierbei steht der Angreifer zwischen den beiden Kommunikationspartnern, also dem Webshop und der Payment Page, täuscht den Kommunikationspartnern aber vor, das jeweilige Gegenüber zu sein. So können Bezahltransaktionen manipuliert oder mitgelesen werden.

Mit dem PCI 3.0 Standard reagiert das PCI Security Standards Council nun auf diese Gefahr, in dem es unterschiedliche Sicherheitsanforderungen an E-Commerce Händler stellt, je nachdem in welcher Art die Payment Page Lösung eingebunden wurde. Sollte zum Beispiel mit Hilfe eines Re-Direct oder eines iFrames auf den Payment Service Provider und dessen Payment Page zugegriffen werden, fordert der Standard speziell auf dieses Szenario abgestimmte Sicherheitsmaßnahmen. Sollte jedoch das Eingabeformular oder Teile der Bezahlseite (wie zum Beispiel das Firmenlogo) vom Web- bzw. Applikations-Server des Händlers bereitgestellt werden und lediglich der POST zum Payment Service Provider erfolgen, oder sollte die Webseite des Händlers ein Script für den Browser bereitstellen (bspw. Java-Script), welches die Bezahldaten zum Payment Processor weiterleitet, dann wird hierfür wiederum ein anderes Set an Sicherheitsanforderungen verpflichtend, um Risiken von Angriffen zu minimieren.

Für viele Unternehmen ist es nicht immer leicht, diese Fragen für sich zu beantworten und Risiken valide abzuschätzen. Unsere Sicherheitsexperten beraten Sie daher individuell rund um das Thema Payment Security. Sprechen Sie uns gerne an.

Related Posts