PCI

Datensicherheit

PCI DSS Händler-Information

Datensicherheitsstandard der Zahlungskartenindustrie (PCI DSS)

Alle Händler, die Kartenzahlungen akzeptieren, und Dienstleister, die Einfluss auf die Sicherheit der Karteninhaberdatenumgebung haben könnten, müssen die im Payment Card Industry Data Security Standard (PCI DSS) definierten Sicherheitsanforderungen einhalten.

In den Bedingungen des Nexi-Akzeptanzvertrages ist geregelt, dass ein Händler verpflichtet ist, jederzeit PCI DSS-konform zu sein und auf Verlangen eine entsprechende Dokumentation vorzulegen.

Diese Informationen dienen der technischen und organisatorischen Orientierung im Einklang mit den einschlägigen Anforderungen und dem Akzeptanzvertrag.

Worum geht es bei PCI DSS?

Der Payment Card Industry Data Security Standard (PCI DSS) ist eine Reihe von technischen und betrieblichen Anforderungen, die darauf abzielen, das Zahlungssystem im Allgemeinen und den Schutz von Kartendaten im Besonderen gegen globale Sicherheitsbedrohungen zu sichern.

Er wurde vom Payment Card Industry Security Standards Council (PCI SSC) - einem globalen Forum von Interessenvertretern der Branche, das von den führenden Zahlungsmarken unterstützt wird - entwickelt. Ziel ist es, den zunehmenden Kartendatendiebstahl und die anschließende betrügerische Verwendung gestohlener Kartendaten zu bekämpfen, die damit verbundenen, sich entwickelnden Branchenrisiken einschließlich der finanziellen Haftung für alle beteiligten Parteien anzugehen und den Vertrauensverlust der Verbraucher zu verhindern.

PCI DSS ist der Rahmen für bewährte Sicherheitspraktiken zum Schutz von Händlern, Karteninhabern und Branchenbeteiligten, der sich an die sich entwickelnden Bedrohungen anpasst und sichere Zahlungen weltweit unterstützt.

Im Großen und Ganzen geht es bei PCI DSS um den Schutz von Kartendaten und den Aufbau von Vertrauen bei den Karteninhabern als Grundlage für unser Branchen-Ökosystem.

Was bedeutet die Einhaltung des PCI DSS?

PCI DSS-Compliance bedeutet, dass die PCI DSS-Anforderungen jederzeit erfüllt werden und eine gültige Dokumentation als Nachweis dafür vorliegt. 

Gültige PCI DSS-Compliance-Dokumente sind entweder ein korrekt ausgefüllter PCI DSS Self-Assessment Questionnaire (SAQ) oder Attestation of Compliance (AoC) / Report on Compliance (ROC), die gegebenenfalls von sauberen ASV-Scan-Berichten begleitet werden müssen. 

Die PCI DSS-Validierung muss jährlich erneuert werden. Weitere laufende Sicherheitsmaßnahmen (z. B. vierteljährliche ASV-Scans, regelmäßiges Software-Patching, Netzwerküberwachung, Änderung von Passwörtern usw.) sind vom Händler oder den von ihm beauftragten Dienstleistern zu ergreifen. 

Wird eine Sicherheitsanforderung nicht erfüllt, muss der Händler unverzüglich geeignete Abhilfemaßnahmen ergreifen, um die Sicherheitsstandards zu erfüllen.

Wer muss PCI DSS-konform sein?

Der PCI DSS-Standard gilt für alle Organisationen, die Karteninhaberdaten und/oder sensible Authentifizierungsdaten akzeptieren, speichern, verarbeiten oder übermitteln oder die die Sicherheit der Karteninhaberdatenumgebung beeinflussen könnten. Dazu gehören alle Unternehmen, die an der Verarbeitung von Zahlungskartenkonten und der entsprechenden Umgebung beteiligt sind - einschließlich Händlern, Verarbeitern, Acquirern, Emittenten und anderen Dienstleistern. 

Für Händler, die Kreditkartenzahlungen akzeptieren, ist es von entscheidender Bedeutung, dass sie jederzeit PCI DSS-konform sind und sicherstellen, dass alle von ihnen beauftragten Dienstleister ebenfalls PCI-konform sind. 

Eine Validierung der PCI DSS-Konformität ist auch für Unternehmen erforderlich, die alle Funktionen im Zusammenhang mit Karteninhaberdaten vollständig an PCI-konforme Dienstleister ausgelagert haben.


Warum ist die Einhaltung des PCI DSS für mich als Händler relevant?

PCI DSS compliance is promoted through the card associations (payment brands) who have mandated security programs as a core requirement in their regulations (e.g. Visa AIS, Mastercard SDP) which comprise PCI compliance monitoring, reporting and sanctions. Based on this, the merchant agreement determines PCI DSS compliance as prerequisite for card acceptance with according liabilities.


Protecting payment and customer data as a main asset of the merchant business prevents from severe financial and reputational risks and is also crucial for building customer trust as a foundation for prospering sustainable business.

Recognised as a global standard beyond the payments industry, PCI DSS certification is acknowledged by further instances, insurance companies and industry bodies (e.g. IATA), and consumers, to demonstrate compliance with up-to-date data security standards and might exclude gross negligence.

 

Was sind die Vorteile der PCI DSS-Konformität?


Die Vorteile der PCI DSS-Konformität sind

  • Sicherung Ihres Geschäftsvermögens und Ihrer Kundendaten
  • Sicherstellung einer einwandfreien, unterbrechungsfreien Zahlungsabwicklung
  • Aufrechterhaltung sicherer Systeme auf der Grundlage eines zielgerichteten Best-Practice-Industrierahmens
  • Effizienter Schutz vor Datenverletzungen
  • Verhinderung von Umsatzverlusten, finanziellen Verpflichtungen und Sanktionen durch Abwehr von Datendiebstahl
  • Schutz von Ruf und Marke Ihres Unternehmens
  • Förderung der Datensicherheit und des Vertrauens bei Kunden und Dritten (z. B. Kartenorganisationen und Acquirer, Versicherungen, IATA)
  • Einhaltung der vertraglichen Verpflichtungen

 

Wie überprüfe ich die Einhaltung des PCI DSS?

Die Validierungsanforderungen für Unternehmen, die der PCI DSS-Konformität unterliegen, variieren je nach Art des Geschäfts, der Komplexität und dem Umfang der Umgebung sowie der Anzahl der vom Händler verarbeiteten Transaktionen. 

Die drei wichtigsten Instrumente für die Validierung der PCI DSS-Konformität sind 

Fragebogen zur Selbsteinschätzung (SAQ)¹ 

Erfordert das Ausfüllen und Bestätigen des entsprechenden Fragebogens zur Selbsteinschätzung 

Vor-Ort-Audit³ 

Bewertung der PCI DSS-Konformität vor Ort durch einen vom PCI SSC zugelassenen Qualified Security Assessor (QSA) oder Internal Security Assessor (ISA), der ein offizielles Dokument zur Validierung der PCI-Konformität erstellt und unterzeichnet Report on Compliance (ROC) / Attestation of Compliance (AoC) 

ASV-Netzwerk-Scan⁵ 

Netzwerk-Scan auf Schwachstellen auf vierteljährlicher Basis durch PCI SSC Approved Scanning Vendor (ASV) 

Während die PCI DSS-Konformität jederzeit aufrechterhalten werden muss, ist die Bescheinigung der Konformität eine jährliche Aufgabe. 

Die PCI DSS-Konformität gilt für die jeweils bescheinigte Umgebung. Relevante Änderungen, die sich auf die Kartendatenumgebung auswirken, z. B. Software, Terminals, Website, Dienstanbieter, können eine Erneuerung der Bescheinigung erforderlich machen. 

Einzelheiten zu den PCI DSS-Validierungsanforderungen für Händler finden Sie in der folgenden Tabelle "Welche PCI DSS-Validierungsanforderungen gelten für einen Händler?"


Wer trägt die Kosten für die PCI DSS-Konformität?

Alle Kosten im Zusammenhang mit der Einhaltung des PCI DSS durch den Händler sind von diesem selbst zu tragen. Dazu gehören Validierungsmaßnahmen und Änderungen, die zur Behebung von Mängeln und Schwachstellen erforderlich sind. 

Auch alle Kosten im Zusammenhang mit der Nichteinhaltung des PCI DSS durch den Händler und mit Datenschutzverletzungen sind vom Händler zu tragen.

 

Wie hoch ist das Risiko, dass die PCI-Standards nicht eingehalten werden?

Zu den Auswirkungen und schwerwiegenden Risiken einer Nichteinhaltung der PCI-Richtlinien gehören beispielsweise (nicht vollständige Liste) 

- Verletzung vertraglicher Pflichten, die zu Gebühren für die Nichteinhaltung, Geldbußen und weiteren Sanktionen für die Nichteinhaltung der PCI-Richtlinien führen können 

  • Sicherheitslücken, die für ein potenziell unterschätztes Risiko sorgen 
  • Unbeabsichtigte Offenlegung oder Verlust sensibler Daten 
  • Unbeabsichtigte oder betrügerische Ausnutzung von organisatorischen oder Systemschwachstellen 
  • Böswillige Manipulation der Zahlungsinfrastruktur (Geräte, Systemumgebung, Organisation) 
  • Cyberverletzungen, die den Diebstahl von Kartendaten, Ransomware-Angriffe und Verstöße gegen die Datenschutzgrundverordnung ermöglichen 
  • Geschäftsrisiken und Haftungen infolge von Datenschutzverletzungen (finanzielle, reputationsbezogene und betriebliche Auswirkungen), z. B: 
  • Abrupte Aussetzung der Kartenverarbeitung und damit Umsatzeinbußen nach einer Datenverletzung 
  • Ungeplante Sanierungsarbeiten zur Behebung von Sicherheitslücken 
  • Erzwingung von forensischen Ad-hoc-Untersuchungen und PCI DSS-Audits vor Ort durch QSA 
  • Erhöhte Gebühren, Bußgelder und Wiederherstellungskosten von Kartenverbänden im Zusammenhang mit der Sicherheitsverletzung 
  • Reputationsschaden und Medienaufmerksamkeit 
  • Öffentliche Meldepflichten und finanzielle Sanktionen von Regulierungsbehörden 
  • Verlust des Kundenvertrauens als Grundlage Ihres Unternehmens, des Ökosystems der Branche und der Interessengruppen 

* Hinweis: Die Frage ist nicht, ob Ihr Unternehmen von einem Datensicherheitsvorfall betroffen sein wird, sondern vielmehr, wann dies der Fall sein wird. Seien Sie vorbereitet.

 

Was sind die wichtigsten technischen und organisatorischen Anforderungen des PCI DSS?

Eine Übersicht über die technischen und betrieblichen Anforderungen des PCI DSS finden Sie in der nachstehenden Tabelle:

Die Anforderungen des PCI DSS gelten für alle Systemkomponenten. Im Zusammenhang mit PCI DSS werden "Systemkomponenten" als jede Netzwerkkomponente, jeder Server oder jede Anwendung definiert, die in der Umgebung der Karteninhaberdaten enthalten oder mit dieser verbunden ist. "Systemkomponenten" umfassen auch alle Virtualisierungskomponenten wie virtuelle Maschinen, virtuelle Switches/Router, virtuelle Appliances, virtuelle Anwendungen/Desktops und Hypervisoren. Die Karteninhaberdatenumgebung besteht aus Menschen, Prozessen und Technologien, die Karteninhaberdaten oder sensible Authentifizierungsdaten verarbeiten. (Auszug aus Navigating PCI DSS: Understanding the Intent of the Requirements, PCI Security Standards Council LLC)

Weitere Informationen zur aktuellen Version des Standards finden Sie auf der Website des PCI SSC unter www.pcisecuritystandards.org.

 

Goals

Principal PCI DSS Requirements

Welche PCI-Validierungsanforderungen gelten für einen Händler?

Die Kartenverbände haben festgelegt, welche Validierungsmaßnahmen für den Nachweis der PCI DSS-Konformität erforderlich sind und welche Dokumente je nach PCI-Stufe des Händlers vorgelegt werden müssen. 

Die Klassifizierungskriterien für die PCI-Stufen der Händler sind die Verarbeitungsumgebung des Händlers und die Anzahl der verarbeiteten Transaktionen. Händler, die als Level 1 oder Level 2 eingestuft sind, müssen in der Regel die Einhaltung des PCI DSS durch eine Bewertung durch einen zugelassenen QSA oder ISA nachweisen. Händler, die als Level 3 oder Level 4 eingestuft sind, können die Einhaltung des PCI DSS mit dem entsprechenden PCI Self-Assessment Questionnaire (SAQ)¹ bestätigen.

Merchant PCL Level

Merchant Qualification Criteria Description

Merchant Processing Channels for PCI level assessment (POS, MOTO, Ecom)

Validation Requirements

 

Nexi kann den Händler auffordern, aktuelle PCI DSS-Validierungsdokumente in sein PCI-Portal hochzuladen. Falls die Selbstbewertung mit dem geführten Service des Nexi Merchant PCI-Portals abgeschlossen wird, ist kein weiterer Upload von externen SAQ/AoC- oder ROC-Dokumenten erforderlich. 

¹Einzelheiten zu den Qualifizierungskriterien und Voraussetzungen für die verschiedenen SAQ-Typen finden Sie auf der Website des PCI Security Standard Council (PCI SSC). Dort sind auch Unternehmen aufgeführt, die als qualifizierte Sicherheitsgutachter (Qualified Security Assessor, QSA) tätig sind, wenn sie Unterstützung bei der Identifizierung und Vervollständigung der jeweiligen SAQ benötigen. 

Alternativ bietet Nexi  einen geführten PCI-Validierungsservice für Händler über das Merchant PCI Portal (Security Center) mit umfangreichen Hilfefunktionen und fachkundigem Helpdesk-Support per Telefon und online. (Anfrage für Händler-PCI-Portal über dach-security@nexigroup.com mit Angabe der Nexi GP-Nummer). 

² Gesamtzahl der Händlertransaktionen, die alle Kartenakzeptanzverträge des Händlers umfassen

³ Vor-Ort-Prüfung durch einen qualifizierten Sicherheitsgutachter (QSA) oder einen internen Sicherheitsgutachter (ISA)

⁴ SAQ für Händler der Stufe 2, die von einem zugelassenen ISA oder QSA für SAQ A, A-EP oder D zertifiziert sein müssen 

⁵ Netzwerk-Scan, d. h. Schwachstellen-Scanning durch einen zugelassenen Scanning-Anbieter (ASV), falls zutreffend (Internet-bezogene Systemkomponenten)

Sprache auswählen