Egal in welchem Geschäftsfeld, Kunden legen Wert auf Flexibilität für Zahlungsabwicklungen bei Dienstleistungen und Produkten. Ein führender deutscher Automobilhersteller stand deshalb vor der Herausforderung, eine sichere und effiziente Lösung zur Verarbeitung und Speicherung von Kreditkartendaten zu implementieren. Dabei muss der weltweit anerkannte Sicherheitsstandard PCI DSS eingehalten werden. Gemeinsam mit zwei spezialisierten Dienstleistern meisterte die usd AG diese anspruchsvolle Aufgabe und bewies, wie durch eine enge Zusammenarbeit zwischen vier Parteien ein komplexes Projekt erfolgreich realisiert werden kann.
Von der Entwicklung bis zur sicheren Abwicklung von Zahlungen
Für dieses Projekt setzte der deutsche Automobilhersteller unter seiner Aufsicht auf die geballte Kraft von drei Dienstleistern: Exxeta AG und QaiWare Ldt. für die technische Entwicklung sowie auf die usd AG für die Beratung zur PCI DSS-konformen Umsetzung der Lösung. Um Kunden einen direkten Zugang zu digitalen Zahlungsmethoden in den Webshops, Apps und E-Commerce-Portalen des Automobilherstellers zu ermöglichen, musste das Projektteam das bestehende und von Exxeta entwickelte Payment Gateway (PGW) um eine PCI DSS-konforme Komponente erweitern: ein sogenanntes Card Data Repository (CDR). Die Anwendung ist für die Erfassung der Kartendaten von Endkunden verantwortlich, indem sie Händlern ein sicheres Zahlungsformular zur Verfügung stellt und die sensiblen Daten sicher speichert. Sie stellt Händlern und Integratoren Karten-Tokens zur Verfügung, die für Zahlungen verwendet werden können, und stellt sicher, dass ihre Systeme gemäß dem PCI DSS nicht mit sensiblen Daten in Berührung kommen.
Als Softwareentwickler fiel QaiWare die Aufgabe zu, die Applikation für dieses CDR zu entwickeln.
„Die Entwicklung der CDR-Anwendung war aufgrund des kurzen Zeitrahmens eine Herausforderung und erforderte die Erfahrung und das Know-how, das innerhalb des Unternehmens gesammelt wurde - nicht nur im Zusammenhang mit dem gesamten Zahlungsprozess, sondern auch in der Automobilbranche.“
Plamen Pobornikov, Product Owner, QaiWare Ltd.
Der Betrieb des CDR erfolgt in einer Cloud Umgebung, aufgesetzt durch Exxeta als Technologie-Dienstleister.
Die Umgebungen reproduzierbar, skalierbar und PCI konform mit Infrastructure as Code (IaC) im Kundenaccount aufzusetzen war in der gegebenen Zeit eine ziemlich sportliche Leistung.
Julian Stücker, Lead Consultant, Exxeta AG
Raphael Heinlein, zertifizierter QSA der usd AG, stellte dabei sicher, dass sowohl die Applikation als auch die Cloud-Infrastruktur PCI DSS-konform gestaltet wurden und unterstützte bei der Vorbereitung aller Prozesse und Richtlinien auf das PCI DSS Audit.
Gute Kommunikation als Projekt-Booster
Schon beim Projektstart im ersten Quartal 2024 waren sich alle Beteiligten über das gemeinsame Ziel im Klaren: Der Abschluss des PCI DSS Audits bis Ende 2024. Dies bedeutete, dass sowohl die Applikation als auch die cloudbasierte Infrastruktur bis zum Beginn des vierten Quartals 2024 fertiggestellt sein mussten. Ein ehrgeiziger Zeitplan für alle Akteure – bei unverändert höchstem Anspruch an Qualität und Sorgfalt.
Je mehr Beteiligte an einem Projekt mitwirken, desto mehr Abhängigkeiten und Schnittstellen entstehen, die berücksichtigt werden müssen. Umso entscheidender für den Projekterfolg waren die regelmäßigen Abstimmungstermine mit allen Parteien. Sie legten den perfekten Grundstein für eine gute Zusammenarbeit. Aufgrund der hohen technischen Expertise auf allen Seiten und der sorgfältigen Einhaltung des engen Zeitplans konnte die kompetente Umsetzung der PCI DSS-Anforderungen fristgerecht bis zum Audittermin im vierten Quartal 2024 erreicht werden.
Erfolgreiches Audit nach PCI DSS v4.0.1
Zum Ende des Jahres 2024 stand daraufhin die PCI DSS-Zertifizierung an. Ein vom Projekt unabhängiges Auditor*innen-Team der usd AG prüfte das implementierte Card Data Repository gründlich. Das Team bestätigte, dass die entwickelte Lösung allen Anforderungen des PCI DSS v4.0.1 entspricht. Damit steht den Kunden des Automobilherstellers ab sofort ein einheitliches und sicheres Interface für alle Kreditkartenzahlungen zur Verfügung.
Ein spannendes Projekt, welches durch einen geringen Zeitrahmen von unter einem Jahr und vielen Abhängigkeiten und Schnittstellen sehr herausfordernd war. Durch die großartige und äußerst kompetente Zusammenarbeit von Exxeta, QaiWare und usd AG konnte die CDR-Erweiterung für das PGW aber fristgerecht fertiggestellt und nach PCI DSS zertifiziert werden. Ein toller Erfolg und Beitrag für mehr Sicherheit vom gesamten Projektteam.
Raphael Heinlein, Managing Consultant IT Security, usd AG
Weiterführung der erfolgreichen Zusammenarbeit
Auch nach dem erfolgreichen Abschluss der PCI DSS-Zertifizierung begleitet die usd AG den Automobilhersteller weiterhin bei möglichen Änderungen oder Erweiterungen der Lösung. Unter Aufsicht des Automobilherstellers bleibt auch Exxeta weiterhin für den Betrieb verantwortlich und koordiniert im Auftrag somit fortlaufend die weitere Entwicklung. Bereits jetzt arbeiten beide Unternehmen gemeinsam auf die jährliche PCI DSS-Re-Zertifizierung hin, die voraussichtlich Ende 2025 erneut durch die Auditor*innen der usd AG stattfinden wird.
