PCI FAQ

Fragen & Antworten zum Standard

Nicht bearbeiten!

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Was ist der PCI DSS?

Die PCI Data Security Standards (PCI DSS) sind aus Sicherheitsstandards von VISA und MasterCard hervorgegangen und mittlerweile von allen namhaften Kreditkartenorganisationen als verbindlich anerkannt. Sie definieren spezifische Anforderungen für die verschiedenen Bereiche der Speicherung, Verarbeitung und Übermittlung von Karteninhaberdaten, um den sorgfältigen und geschützten Umgang mit Kreditkartendaten sicherzustellen. Diese Anforderungen gelten für Händler, Service Provider, Softwareanbieter von Payment Applikationen, Acquirer und Prozessoren. Weitere Informationen finden Sie beim PCI Security Standards Council

Welche Ziele verfolgen die Sicherheitsanforderungen des Standards?

Der Standard umfasst Sicherheitsanforderungen, die folgende Ziele verfolgen.:

  1. Einrichtung und Betrieb eines geschützten Netzwerks
  2. Schutz von aufbewahrten und übermittelten Karteninhaberdaten
  3. Einrichtung und Betrieb eines Schwachstellen-Management-Systems
  4. Umsetzung effektiver Richtlinien zur Zugriffskontrolle
  5. Regelmäßige Überwachung und Überprüfung der IT-Infrastruktur
  6. Formulierung und Durchsetzung einer Richtlinie zur Informationssicherheit
Welche Anforderungen stellt der PCI DSS?

PCI DSS umfasst zwölf Sicherheitsanforderungen. Als PCI-konform gelten Organisationen, die folgende Vorgaben einhalten:

 

  1. Installation und Wartung einer Firewall-Konfiguration zum Schutz von Karteninhaberdaten
  2. Änderung der von Herstellern vorgegebenen Standardpasswörter und Sicherheitseinstellungen
  3. Schutz gespeicherter Kreditkarteninhaberdaten
  4. Verschlüsselte Übertragung der Daten von Kreditkarteninhabern in öffentlichen Netzwerken
  5. Verwendung und regelmäßige Aktualisierung von Antivirensoftware
  6. Entwicklung und Verwendung sicherer Systeme und Anwendungen
  7. Beschränkung des Zugriffs auf Karteninhaberdaten je nach Geschäftsinformationsbedarf
  8. Zuweisung einer eindeutigen ID für jede Person mit Computerzugriff
  9. Einschränkung des physikalischen Zugriffs auf Karteninhaberdaten
  10. Protokollierung und Überwachung aller Zugriffe auf Netzwerk-Ressourcen und Daten von Kreditkarteninhabern
  11. Regelmäßige Überprüfung von Sicherheitssystemen und –abläufen
  12. Einrichtung einer Unternehmensrichtlinie mit Vorgaben zur Informationssicherheit für Mitarbeiter und Vertragspartner
Wer ist an die Einhaltung des PCI DSS gebunden?

Jedes Unternehmen, das Kreditkartenzahlung akzeptiert, muss sich an die Sicherheitsvorgaben der Kreditkartenorganisationen und somit des PCI DSS halten. Dabei sind die Größe des Unternehmens und die Anzahl der Kreditkartentransaktionen pro Jahr unerheblich für die Nachweispflicht des Unternehmens.

Warum muss ich den Nachweis der Kreditkartensicherheit (PCI DSS) einhalten?

Ihr Unternehmen bietet Kreditkartenzahlung an und muss deshalb den PCI DSS nachweislich erfüllen. Daher hat Ihr Acquirer Sie kontaktiert, den Compliance Nachweis zu erbringen.

Wann speichere, verarbeite oder leite ich Kreditkartendaten weiter?

Sie speichern, verarbeiten oder übertragen Kreditkartendaten, wenn Sie vollständige Nummern oder Gültigkeitsdaten von Kreditkarten Ihrer Kunden auf Ihren IT-Systemen empfangen, um sie zu speichern oder an Dritte weiterzuleiten. Die zeitliche Dauer der Verarbeitung (kurzfrisitge oder langfristige Speicherung, Verarbeitung oder Weiterleitung) sowie die Verschlüsselung der Daten spielt dabei keine Rolle. Entscheidend ist der Empfang von kundenspezifischen Kreditkartendaten auf Ihren IT-Systemen. Nur, wenn Sie ausschließlich trunkierte (gekürzte) Kreditkartendaten speichern, verarbeiten oder weiterleiten, müssen Sie sich nicht nach dem PCI Data Security Standard zertifizieren lassen.

Wie erbringe ich den PCI DSS Nachweis?

Das ist abhängig davon, wie Ihr Unternehmen Kreditkartendaten verarbeitet und in welchem Umfang Sie Transaktionen durchführen. Nachweise können je nach Einstufung Ihres Unternehmens in Form von:

 

– einem jährlichen Onsite Audit (Vor Ort Audit) durch einen offiziell vom PCI Security Standards Council zugelassenen Qualified Security Assessor (QSA)

– einem jährlich auszufüllenden Selbstauskunftsfragebogen (SAQ – Self Assessment Questionnaires)
erfolgen.

Die Einstufung des Merchants und/oder Service Providers erfolgt gemäß den Vorgaben der Kreditkartenorganisationen. Ein wesentlicher Faktor zur Einstufung ist das jährliche Transaktionsvolumen. Detaillierte Informationen finden Sie hier: MasterCard / VISA / American Express

Nach welchen Vorgaben erfolgt die Einstufung eines Merchants und/oder Service Providers?

Die Einstufung des Merchants und/oder Service Providers erfolgt gemäß den Vorgaben der Kreditkartenorganisationen. Ein wesentlicher Faktor zur Einstufung ist das jährliche Transaktionsvolumen. Detaillierte Informationen finden Sie hier: MasterCard / VISA / American Express

Welche Kreditkartenorganisationen akzeptieren eine Zertifizierung nach dem PCI Data Security Standard?

Fast alle großen Kartenorganisationen wie VISA, MasterCard, American Express, JCB, Discover akzeptieren eine Zertifizierung nach dem PCI Data Security Standard.

Was bedeutet compliant?

Unternehmen, die alle für sie relevanten Sicherheitsanforderungen des PCI DSS erfüllen, sind PCI DSS compliant.

 

Damit befinden diese Unternehmen sich im Schutz der sogenannten „Safe-Harbour Rule“, solange sie die Anforderungen nachweislich einhalten. Somit kann im Falle eines Datendiebstahls bzw. -missbrauchs nach Analyse durch einen Forensiker das Unternehmen mit einer teilweisen oder vollständigen Befreiung von Geldstrafen seitens der Kreditkartenorganisationen bzw. des Acquirers rechnen.

Nicht bearbeiten!

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Welche Konsequenzen drohen bei Nichteinhaltung des PCI DSS?

Ihr Unternehmen kann seitens der Kreditkartenorganisationen bzw. vom Acquirer (Händlerbank) mit Geldstrafen belegt werden. Des Weiteren ist Ihr Unternehmen haftungspflichtig, wenn Kreditkartendaten Ihrer Kunden gestohlen oder missbraucht werden.

Welche Vorteile hat die Umsetzung des PCI DSS?

Der PCI DSS mit seinen verbindlichen Regeln für mehr IT-Sicherheit soll der Betrugskriminalität einen Riegel vorschieben. Durch verstärkte Schutzmaßnahmen bei der Verarbeitung von Zahlungskartendaten gemäß PCI entstehen Ihnen vor allem folgende Vorteile:

 

  • Erhöhte Datensicherheit und Schutz Ihrer Kunden
  • Gesteigertes Kundenvertrauen und somit ggf. Steigerung des Kreditkarteneinsatzes und –umsatzes
  • Größere Absicherung vor finanziellen Schäden und Schadenersatz aufgrund von Sicherheitsverletzungen
  • Schutz des Unternehmensimage
  • Bewertung des Sicherheitsschutzes von Systemen zur Speicherung, Verarbeitung und/oder Übermittlung von Karteninhaberdaten
  • Datenminimierung und –vermeidung führen zur Reduzierung des Unternehmensrisikos
  • Netzwerkstrukturierung reduziert die Kosten der Aufrechterhaltung der PCI Compliance
Wie oft muss ich den PCI DSS Nachweis erbringen?

Der PCI DSS Nachweis muss mindestens einmal im Jahr erbracht werden. Da durch den PCI DSS Nachweis der aktuelle Stand der Kreditkartenabwicklung in Ihrem Unternehmen dokumentiert wird, ist es notwendig, auf Änderungen der Kreditkartenakzeptanz bzw. Zahlungsabwicklungen auch außerhalb des vorgegebenen Turnus von einem Jahr durch die Aktualisierung Ihres PCI DSS Nachweises zu reagieren. Sie sind verpflichtet, jederzeit die PCI DSS Konformität aufrecht zu erhalten.

Ich arbeite mit einem Payment Service Provider zusammen, der für mich die gesamte Abwicklung übernommen hat. Muss ich mich trotzdem nach dem PCI Security Standard zertifizieren lassen?

Ja, in der Regel müssen Sie sich auch in diesem Fall nach PCI DSS zertifizieren lassen, um zu dokumentieren, dass der gewählte Dienstleister PCI compliant ist und dass Sie regelmäßig den PCI Status des Dienstleisters überprüfen. Häufig ist der Zertifizierungsumfang bei vollständig ausgelagerter Abwicklung von Kreditkartentransaktionen jedoch reduziert – manche Acquirer haben auch eigene Regelungen für diese Fälle. Wenn Sie sich nicht sicher sind, wenden Sie sich bitte an Ihren Acquirer.

Wie kann ich prüfen, ob mein Dienstleister PCI DSS compliant ist?

Die Kreditkartenorganisationen MasterCard und Visa haben unter den folgenden Links eine Liste mit PCI DSS konformen Dienstleistern im Internet veröffentlicht:

Oder Sie sprechen den Dienstleister direkt an und fragen diesen nach seinem PCI-Zertifikat.

Mein Dienstleister gibt mir Auskunft, dass ich mich nicht nach dem PCI DSS zertifizieren muss.

Jedes Unternehmen, das Kreditkartenzahlung anbietet, ist verpflichtet, den PCI DSS einzuhalten und diesen nachzuweisen. Haben Sie Kreditkartenzahlungen an einen PCI DSS konformen Dienstleister übergeben und speichern, verarbeiten oder übertragen Sie keine Kreditkartendaten auf Ihren eigenen IT-Systemen, steht Ihnen ein verkürzter Weg zum Nachweis der PCI-Compliance zur Verfügung.

Warum muss ich auch die Kreditkartenzahlungen über einen anderen Acquirer in meinem PCI DSS Nachweis berücksichtigen?

Der Nachweis der Kreditkartensicherheit wird für das eigene Unternehmen durchgeführt und gilt unabhängig davon, bei welchem Acquirer der Kreditkartenakzeptanzvertrag abgeschlossen wurde. Entsprechend handelt es sich bei der Konformitätsbescheinigung um ein Dokument, welches universell einsetzbar als Nachweis der Kreditkartensicherheit für das Unternehmen vorgelegt werden kann.

Gibt es zum Thema PCI Informationsseiten von MasterCard oder VISA?

Self-Assessment Questionnaire (SAQ)

Nicht bearbeiten!

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Welcher SAQ ist korrekt für mich?

Ihr Acquirer oder Zahlungsdienstleister gibt Ihnen im Regelfall die schnellste Auskunft über die korrekten SAQs. Die Einstufung ist im Wesentlichen von den Produkten abhängig, die Sie von diesen Dienstleistern zur Abwicklung von Zahlungen nutzen.

Alternativ können Sie folgende Leitlinien verwenden:

  • Als Service Provider wählen Sie stets den SAQ D-SP.
  • Für Händler sind im eCommerce der SAQ A, und A-EP anwendbar.
  • Bei Zahlungen via POS-Terminal finden Händler sich im SAQ B, B-IP oder C wieder.
  • MOTO-Transaktionen werden für Händler über den SAQ A oder C-VT abgedeckt.

Jeder der vorgenannten SAQ-Typen bedarf speziellen technischen Voraussetzungen. Sollten Sie diese nicht erfüllen (beispielsweise indem Sie Kreditkartendaten selbst speichern), ist für Sie der SAQ D korrekt.

Eine Auswahlhilfe stellt das PCI DSS hier (https://de.pcisecuritystandards.org/document_library) in dem Dokument “SAQ Instructions and Guidelines” (insbesondere Seite 18) bereit. Ergänzend verfügt unsere PCI Compliance Plattform (pci.usd.de) über einen SAQ-Auswahlassistenten, den Sie kostenfrei nutzen können.

Nicht bearbeiten!

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Müssen alle Fragen des Self-Assessment Questionnaire beantwortet werden?

Ja, es müssen alle Fragen beantwortet werden, ansonsten wird der Fragebogen nicht akzeptiert. Generell sollten die Fragen mit JA oder NEIN beantwortet werden. Bei einigen Ausnahmefällen besteht die Möglichkeit, eine Frage mit N/A (not applicable) zu beantworten. In diesem Fall muss zwingend eine schriftliche Begründung beigefügt werden. Wenn Sie Verständnisfragen haben oder weitere Unterstützung benötigen, wenden Sie sich an unsere Mitarbeiter im PCI Competence Center.

Welche Themenbereiche umfasst das Self-Assessment Questionnaire?

Der Fragebogen adressiert grundsätzlich die 12 Hauptanforderungen des PCI Data Security Standard (PCI DSS). Es gibt unterschiedliche SAQ-Typen, die im Umfang stark variieren. Welcher SAQ-Typ für Sie relevant ist, hängt davon ab, auf welche Weise Sie Kreditkartenzahlungen akzeptieren, und wie die Daten bei Ihnen verarbeitet werden.

Nicht bearbeiten!

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Kann ich mehrere SAQs ausfüllen?

Grundsätzlich gilt, dass Sie für jeden Ihrer Zahlungskanäle einen separaten SAQ ausfüllen können.

Beispiel: Sind Sie ein Händler, der Zahlungen in einem Webshop und an einem POS-Terminal entgegennimmt, können beispielsweise die SAQs A und B-IP für Sie korrekt sein.

Möchten Sie all Ihre Zahlungskanäle in nur einem, übergreifenden SAQ abdecken, nutzen Sie hierfür den SAQ D. Da der SAQ D jedoch ausführlicher ist als die übrigen SAQ-Typen, setzt dieses Verfahren in der Regel mehr Erfahrung in der Arbeit mit dem PCI DSS voraus.

Nicht bearbeiten!

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Gibt es das Self-Assessment Questionnaire auch in einer deutschen Version?

Das PCI Security Standards Council stellt hier eine deutsche Übersetzung der SAQs („SBF“) zur Verfügung. Um sprachliche Unschärfen zu vermeiden, empfehlen wir jedoch dringend, die Fragen auf Englisch zu beantworten.

Remote Audits

Hier finden Sie die wichtigsten Informationen zu Remote Audits nach den PCI Security Standards. Bitte kontaktieren Sie uns jederzeit, wenn Sie weitere Fragen haben.

Nicht bearbeiten!

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Können Audits nach den PCI-Sicherheitsstandards auch remote durchgeführt werden? Wie steht der PCI Security Standards Council dazu?

In der Regel finden PCI Audits „onsite“, also bei Ihnen vor Ort statt. Aber auch vor den Zeiten des Coronavirus wurden bei unseren Audits die technischen Möglichkeiten zur Durchführung von Remote Assessments, wo immer es sinnvoll war, bereits genutzt. Für uns ist dieses Thema also gar nicht neu. Technisch können Audits nach allen PCI-Standards remote durchgeführt werden, sofern die Prüftiefe erfüllt werden kann und die Integrität des Audits sichergestellt ist. Hierzu wurde vom PCI Council aufgrund der aktuellen Lage ein aktualisierter Leitfaden veröffentlicht, der dem QSA mehr Flexibilität erlaubt. Schwierig wird es bei physischen Prüfungen, beispielsweise von Vor-Ort-Geschäften (Point of Sale) und Rechenzentren.

Was sind die Besonderheiten bei Vor-Ort-Geschäften und Rechenzentren?

PCI-Audits mit der Notwendigkeit von physischen Begehungen sehen in der Regel Sichtprüfungen, beispielsweise von Zahlungsterminals oder Rechenzentrumsräumen, durch einen Auditor vor Ort vor. Derzeit erarbeiten wir Möglichkeiten, diese Prüfungen durch alternative Kontrollmaßnahmen, wie Foto- oder Videodokumentationen, zu ersetzen. Sollten Sie diesbezüglich Fragen haben, wenden Sie sich bitte an Ihren QSA. Dieser wird mit Ihnen ein Vorgehen erarbeiten, welches auf Ihr Unternehmen zugeschnitten ist und dennoch die Integrität des Audits gewährleistet.

Auf welche Veränderungen muss ich mich einstellen?

Grundsätzlich unterscheidet sich die Agenda eines Remote Assessments nicht von der eines vor Ort durchgeführten Assessments. Die vermehrte Arbeit aller am Assessment Beteiligten aus dem Home Office oder isoliert aus Einzelbüros erfordert jedoch einige organisatorische Anpassungen. Unsere QSAs planen gemeinsam mit Ihnen die Assessment-Sessions und nehmen Rücksicht auf die speziellen Gegebenheiten in der aktuellen Situation.

Nicht bearbeiten!

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Welche Technologien werden beim Remote Audit eingesetzt?

Wir sind in der Wahl der genutzten Kommunikationslösungen äußerst flexibel. So können wir Ihnen zur Durchführung Ihres Audits ein breites Spektrum von gängigen Lösungen und Technologien zur Kommunikation anbieten. Natürlich stellen wir uns auch gern auf die von Ihrem Unternehmen bereits eingesetzte oder präferierte Lösung ein. In jedem Fall übernehmen wir gerne die Abstimmung und Organisation aller erforderlichen Termine.

Was passiert, wenn ein Audit nicht rechtzeitig durchgeführt werden kann oder einzelne Requirements aufgrund der aktuellen Situation nicht eingehalten werden können?

Im Normalfall würden Sie hier Ihre PCI Compliance verlieren, da nicht alle PCI DSS Requirements geprüft werden konnten. Wir empfehlen Ihnen, in solchen Fällen den Kontakt zu Ihrem Acquirer bzw. Vertragspartner, der die PCI Compliance fordert, herzustellen, um die Situation zu erläutern und das weitere Vorgehen mit ihm abzustimmen. Auch hierbei unterstützen unsere QSAs Sie natürlich gerne, um gemeinsam eine Lösung zu finden.

Registrierung & Zertifizierung auf der usd PCI DSS Plattform

Nicht bearbeiten!

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Wie lasse ich mich registrieren?

Registrieren Sie sich einfach über die usd PCI DSS Plattform. Nach erfolgreicher Registrierung setzt sich ein Mitarbeiter unseres PCI Competence Center mit Ihnen telefonisch in Verbindung und bespricht mit Ihnen alle weiteren Schritte.

Wie lange dauert die Registrierung auf der PCI DSS Plattform?

Die Registrierung dauert ungefähr 10 Minuten.

Wie läuft die Zertifizierung auf der usd PCI DSS Plattform ab?

Abhängig von der jährlichen Transaktionszahl durchläuft ein Merchant oder Service Provider verschiedene Zertifizierungsmaßnahmen. Zum einen wird der Self-Assessment-Fragebogen ausgefüllt. Zum anderen werden PCI Security Scans auf die extern erreichbaren IT-Systeme des Merchants bzw. Service Providers durchgeführt.

Was kostet die Registrierung?

Die Registrierung auf der usd PCI DSS Plattform ist kostenfrei.

Nicht bearbeiten!

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Was kostet die Zertifizierung?

Die Preise für die Zertifizierung richten sich nach der Level-Einstufung des Merchants bzw. Service Providers und der dadurch festgelegten Anzahl der jährlich durchzuführenden Security Scans. Detaillierte Auskünfte über unsere Leistungen und Preise erteilen wir Ihnen gerne. Sprechen Sie uns einfach an.

Hängen die Kosten für einen Security Scan von der Anzahl meiner IP-Adressen ab?

Detaillierte Auskünfte über unsere Leistungen und Preise erhalten Sie auf unseren Seiten oder direkt beim usd PCI Competence Center.

Entstehen für einen wiederholten Scan, nachdem ich die Sicherheitslücken in meinem System geschlossen habe, zusätzliche Kosten?

Sollte ein Scan keine Compliance ergeben haben, haben Sie die Möglichkeit, innerhalb von vier Wochen unbegrenzt kostenlose Rescans Ihrer IP-Adressen durchzuführen, um gefundene Schwachstellen beseitigen zu können und damit die PCI Compliance zu erreichen.

Technische Voraussetzungen

Nicht bearbeiten!

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Welche technischen Voraussetzungen werden für die Nutzung der PCI DSS Plattform benötigt?

Folgende technische Voraussetzungen sind für die Nutzung der PCI DSS Plattform notwendig: Browser: IE (Internet Explorer), Google Chrome oder Mozilla Firefox in der jeweils aktuellen Version sowie Acrobat Reader in der aktuellen Version. Bitte aktivieren Sie JavaScript. Außerdem empfehlen wir Ihnen die Aktivierung von Cookies.

Wofür werden Cookies verwendet?

Ein Cookie enthält keine Informationen über Sie und Ihr System, die dem Server nicht beim Setzen des Cookies bereits bekannt waren. Die PCI DSS Plattform verwendet ein Cookie mit dem Namen „zenid“, um Sie bei aufeinanderfolgenden Zugriffen wiederzuerkennen. Diese Wiedererkennung ist nötig, damit Sie nach einer Anmeldung auf Ihre Daten zugreifen können. Sie ermöglicht auch das Beibehalten der von Ihnen ausgewählten Sprache und die Arbeit mit Ihrem Warenkorb. Dieses Cookie bleibt nur so lange auf Ihrem System gespeichert, bis Sie Ihren Web-Browser vollständig schließen.

Nicht bearbeiten!

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Welche Systeme müssen bei einem PCI Security Scan untersucht werden?

Im Verlaufe eines PCI Security Scans müssen alle Systeme des Merchants bzw. seines jeweiligen Service Providers, die Kreditkartendaten verarbeiten und über das Internet erreichbar sind, auf Schwachstellen hin untersucht werden. Dies betrifft insbesondere Web-Server, Mail-Server, Router, Firewalls, Applikations-Server, Datenbank-Server und Load-Balancer.

Falls Sie sich unsicher sind, welche Ihrer Systeme betroffen sind, beraten wir Sie gern.

Welche technischen Voraussetzungen müssen gegeben sein, um einen Security Scan durch die usd AG zu ermöglichen?

Während der Durchführung eines Security Scans ist es notwendig, dass diejenigen Systeme, die die Überprüfung vornehmen, uneingeschränkten Zugriff auf die Zielsysteme erhalten. Da ein solcher Security Scan der Vorbereitung eines zielgerichteten Angriffs auf Ihre Systeme ähnelt, ist es zwingend erforderlich, Mechanismen, die der Abwehr solcher Angriffe dienen, wie z.B. Intrusion Detection, bzw. Prevention Systems (IDS/IPS), so zu konfigurieren, dass die Arbeit des Security Scanners nicht behindert wird. Alle Zugriffe, die die usd AG im Rahmen solcher Security Scans auf Ihre Systeme unternimmt, stammen, wenn nicht ausdrücklich anders vereinbart, von den IP-Adressbereichen 64.39.96.1 – 64.39.111.254.

Scanprozess

Nicht bearbeiten!

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Kann ich den Zeitpunkt des Security Scans selbst festlegen?

Ja, Sie können grundsätzlich den Zeitpunkt frei wählen und den Termin über die PCI DSS Plattform selbst festlegen. Wir empfehlen Ihnen, Ihren Security Scan frühzeitig zu planen, damit wir die entsprechenden Ressourcen für Ihren gewünschten Termin frei halten können. Eine verbindliche Anmeldung zum Scannen muss mindestens 3 Tage vor Ihrem geplanten Termin erfolgen.

Welche Informationen erhalte ich nach einem durchgeführten Security Scan?

Nach Abschluss eines Security Scans werden Sie per E-Mail an eine vorher festgelegte Mailaddresse über das Ende des Scans informiert. Danach werden die Reports im PDF-Format (Zusammenfassung und technischer Report) erstellt, die Sie sich von der Plattform herunterladen können.

Wie lange dauert der eigentliche Scan Prozess?

Die Dauer eines Security Scans ist von der Anzahl und Art der auf dem Zielsystem erreichbaren Dienste abhängig. Im Allgemeinen dauert ein Security Scan jedoch etwa 1 Stunde pro IP-Adresse.

Wie werden meine Systeme über das Internet geprüft?

Die usd AG untersucht die Architektur und Konfiguration der Internet-Anbindung auf Schwachstellen, die ein Angreifer für Einbrüche in das System nutzen könnte. Das System wird dabei aus dem Internet mit Hilfe von Security-Scannern angesprochen und auf mögliche Schwachstellen hin untersucht.

Nicht bearbeiten!

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Werden beim Security Scan meine Systeme gehackt?

Nein. Die usd AG führt im Rahmen der PCI-Reviews ausnahmslos sogenannte Non-Intrusive-Scans durch, bei denen lediglich analysiert wird, ob Schwachstellen in Ihren Systemen bestehen respektive vom Internet zu erkennen sind. Die so identifizierten, potentiellen Sicherheitslöcher werden auf keinen Fall dazu benutzt, die betroffenen Systeme in ihrer Integrität und Verfügbarkeit zu schädigen, d.h. sie zu „hacken“.

Wird durch den Scan ein Einbruchsversuch auf mein System vorgenommen?

Die von uns angewandte Scan-Methode hat nicht zum Ziel, in das Zielsystem „einzubrechen“, sondern ist lediglich ein Mittel, um über Informationen, die die jeweiligen Zielsysteme selbst übermitteln, Schwachstellen in deren Konfiguration festzustellen. Diese Art der Datenerfassung ähnelt der Vorbereitung eines Angriffs auf Ihre Systeme durch einen externen Angreifer, allerdings erhalten lediglich die von Ihnen autorisierten Personen Zugriff auf dieses Datenmaterial.

Was geschieht, wenn ein Security Scan nicht erfolgreich verlaufen ist?

In diesem Falle informieren wir Sie per Mail über den nicht erfolgreichen Scanverlauf und geben Ihnen im erstellten PDF-Report Empfehlungen, wie in die Konfiguration Ihrer Systeme eingegriffen werden sollte, um einen erfolgreichen Scan zu ermöglichen. Nachdem entsprechende Maßnahmen umgesetzt wurden, kann ein Rescan geplant werden, der alle für den Scan angegebenen IP-Adressen erneut untersucht, um insgesamt ein erfolgreiches Ergebnis zu erzielen.

Bedienung

Nicht bearbeiten!

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Ich habe mein Passwort vergessen!

Auf der Seite „Login“ finden Sie die Funktion „Passwort vergessen“. Wählen Sie diese einfach aus und Sie erhalten per E-Mail ein neues Passwort von uns.

Ich habe bei der Registrierung versehentlich falsche Daten angegeben.

Melden Sie sich auf der usd PCI DSS Plattform an und wählen den Bereich „mein Konto“ aus. Hier können Sie alle Daten ändern, die Ihr Kundenkonto betreffen.

Nicht bearbeiten!

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Meine Firmendaten haben sich geändert, was muss ich tun?

Melden Sie sich auf der usd PCI DSS Plattform an und wählen den Bereich „mein Konto“ aus. Hier können Sie alle Daten ändern, die Ihr Kundenkonto betreffen.

Die Spracheinstellungen verstellen sich, obwohl ich eine bestimmte Sprache ausgewählt habe.

Stellen Sie sicher, dass Sie in Ihrem Internetbrowser Cookies aktiviert haben.

Sie haben weitere Fragen oder benötigen Unterstützung?
Wir helfen Ihnen gerne.

Schicken Sie uns einfach eine Mail an vertrieb@usd.de oder rufen Sie uns unter +49 6102 8631-190 an.

Kontakt

 

Sie haben Fragen oder Interesse? Sprechen Sie uns gerne an.

Telefon: ­ +49 6102 8631-190
E-Mail: vertrieb@usd.de
PGP Key
S/MIME
Kontaktformular

 

Anna-Magdalena Kohl
usd Team Lead Sales,
PCI Professional