PCI FAQ

Die PCI Data Security Standards (PCI DSS) sind aus Sicherheitsstandards von VISA und MasterCard hervorgegangen und mittlerweile von allen namhaften Kreditkartenorganisationen als verbindlich anerkannt. Sie definieren spezifische Anforderungen für die verschiedenen Bereiche der Speicherung, Verarbeitung und Übermittlung von Karteninhaberdaten, um den sorgfältigen und geschützten Umgang mit Kreditkartendaten sicherzustellen. Diese Anforderungen gelten für Händler, Service Provider, Softwareanbieter von Payment Applikationen, Acquirer und Prozessoren. Weitere Informationen finden Sie beim PCI Security Standards Council

Der Standard umfasst Sicherheitsanforderungen, die folgende Ziele verfolgen.:

1. Einrichtung und Betrieb eines geschützten Netzwerks
2. Schutz von aufbewahrten und übermittelten Karteninhaberdaten
3. Einrichtung und Betrieb eines Schwachstellen-Management-Systems
4. Umsetzung effektiver Richtlinien zur Zugriffskontrolle
5. Regelmäßige Überwachung und Überprüfung der IT-Infrastruktur
6. Formulierung und Durchsetzung einer Richtlinie zur Informationssicherheit

PCI DSS umfasst zwölf Sicherheitsanforderungen. Als PCI-konform gelten Organisationen, die folgende Vorgaben einhalten:

1. Installation und Wartung einer Firewall-Konfiguration zum Schutz von Karteninhaberdaten
2. Änderung der von Herstellern vorgegebenen Standardpasswörter und Sicherheitseinstellungen
3. Schutz gespeicherter Kreditkarteninhaberdaten
4. Verschlüsselte Übertragung der Daten von Kreditkarteninhabern in öffentlichen Netzwerken
5. Verwendung und regelmäßige Aktualisierung von Antivirensoftware
6. Entwicklung und Verwendung sicherer Systeme und Anwendungen
7. Beschränkung des Zugriffs auf Karteninhaberdaten je nach Geschäftsinformationsbedarf
8. Zuweisung einer eindeutigen ID für jede Person mit Computerzugriff
9. Einschränkung des physikalischen Zugriffs auf Karteninhaberdaten
10. Protokollierung und Überwachung aller Zugriffe auf Netzwerk-Ressourcen und Daten von Kreditkarteninhabern
11. Regelmäßige Überprüfung von Sicherheitssystemen und –abläufen
12. Einrichtung einer Unternehmensrichtlinie mit Vorgaben zur Informationssicherheit für Mitarbeiter und Vertragspartner

Jedes Unternehmen, das Kreditkartenzahlung akzeptiert, muss sich an die Sicherheitsvorgaben der Kreditkartenorganisationen und somit des PCI DSS halten. Dabei sind die Größe des Unternehmens und die Anzahl der Kreditkartentransaktionen pro Jahr unerheblich für die Nachweispflicht des Unternehmens.

Ihr Unternehmen bietet Kreditkartenzahlung an und muss deshalb den PCI DSS nachweislich erfüllen. Daher hat Ihr Acquirer Sie kontaktiert, den Compliance Nachweis zu erbringen.

Sie speichern, verarbeiten oder übertragen Kreditkartendaten, wenn Sie vollständige Nummern oder Gültigkeitsdaten von Kreditkarten Ihrer Kunden auf Ihren IT-Systemen empfangen, um sie zu speichern oder an Dritte weiterzuleiten. Die zeitliche Dauer der Verarbeitung (kurzfrisitge oder langfristige Speicherung, Verarbeitung oder Weiterleitung) sowie die Verschlüsselung der Daten spielt dabei keine Rolle. Entscheidend ist der Empfang von kundenspezifischen Kreditkartendaten auf Ihren IT-Systemen. Nur, wenn Sie ausschließlich trunkierte (gekürzte) Kreditkartendaten speichern, verarbeiten oder weiterleiten, müssen Sie sich nicht nach dem PCI Data Security Standard zertifizieren lassen.

Das ist abhängig davon, wie Ihr Unternehmen Kreditkartendaten verarbeitet und in welchem Umfang Sie Transaktionen durchführen. Nachweise können je nach Einstufung Ihres Unternehmens in Form von:

– einem jährlichen Onsite Audit (Vor Ort Audit) durch einen offiziell vom PCI Security Standards Council zugelassenen Qualified Security Assessor (QSA)

– einem jährlich auszufüllenden Selbstauskunftsfragebogen (SAQ – Self Assessment Questionnaires)
erfolgen.

Die Einstufung des Merchants und/oder Service Providers erfolgt gemäß den Vorgaben der Kreditkartenorganisationen. Ein wesentlicher Faktor zur Einstufung ist das jährliche Transaktionsvolumen. Detaillierte Informationen finden Sie hier: MasterCard / VISA / American Express

Die Einstufung des Merchants und/oder Service Providers erfolgt gemäß den Vorgaben der Kreditkartenorganisationen. Ein wesentlicher Faktor zur Einstufung ist das jährliche Transaktionsvolumen. Detaillierte Informationen finden Sie hier: MasterCard / VISA / American Express

Fast alle großen Kartenorganisationen wie VISA, MasterCard, American Express, JCB, Discover akzeptieren eine Zertifizierung nach dem PCI Data Security Standard.

Unternehmen, die alle für sie relevanten Sicherheitsanforderungen des PCI DSS erfüllen, sind PCI DSS compliant.

Damit befinden diese Unternehmen sich im Schutz der sogenannten „Safe-Harbour Rule“, solange sie die Anforderungen nachweislich einhalten. Somit kann im Falle eines Datendiebstahls bzw. -missbrauchs nach Analyse durch einen Forensiker das Unternehmen mit einer teilweisen oder vollständigen Befreiung von Geldstrafen seitens der Kreditkartenorganisationen bzw. des Acquirers rechnen.

Ihr Acquirer oder Zahlungsdienstleister gibt Ihnen im Regelfall die schnellste Auskunft über die korrekten SAQs. Die Einstufung ist im Wesentlichen von den Produkten abhängig, die Sie von diesen Dienstleistern zur Abwicklung von Zahlungen nutzen.

Alternativ können Sie folgende Leitlinien verwenden:

• Als Service Provider wählen Sie stets den SAQ D-SP.
• Für Händler sind im eCommerce der SAQ A, und A-EP anwendbar.
• Bei Zahlungen via POS-Terminal finden Händler sich im SAQ B, B-IP oder C wieder.
• MOTO-Transaktionen werden für Händler über den SAQ A oder C-VT abgedeckt.

Jeder der vorgenannten SAQ-Typen bedarf speziellen technischen Voraussetzungen. Sollten Sie diese nicht erfüllen (beispielsweise indem Sie Kreditkartendaten selbst speichern), ist für Sie der SAQ D korrekt.

Eine Auswahlhilfe stellt das PCI DSS hier (https://www.pcisecuritystandards.org/lang/de-de/) in dem Dokument “SAQ Instructions and Guidelines” (insbesondere Seite 18) bereit. Ergänzend verfügt unsere PCI Compliance Plattform (pci.usd.de) über einen SAQ-Auswahlassistenten, den Sie kostenfrei nutzen können.

Ja, es müssen alle Fragen beantwortet werden, ansonsten wird der Fragebogen nicht akzeptiert. Generell sollten die Fragen mit JA oder NEIN beantwortet werden. Bei einigen Ausnahmefällen besteht die Möglichkeit, eine Frage mit N/A (not applicable) zu beantworten. In diesem Fall muss zwingend eine schriftliche Begründung beigefügt werden. Wenn Sie Verständnisfragen haben oder weitere Unterstützung benötigen, wenden Sie sich an unsere Mitarbeiter im PCI Competence Center.

Der Fragebogen adressiert grundsätzlich die 12 Hauptanforderungen des PCI Data Security Standard (PCI DSS). Es gibt unterschiedliche SAQ-Typen, die im Umfang stark variieren. Welcher SAQ-Typ für Sie relevant ist, hängt davon ab, auf welche Weise Sie Kreditkartenzahlungen akzeptieren, und wie die Daten bei Ihnen verarbeitet werden.

In der Regel finden PCI Audits „onsite“, also bei Ihnen vor Ort statt. Aber auch vor den Zeiten des Coronavirus wurden bei unseren Audits die technischen Möglichkeiten zur Durchführung von Remote Assessments, wo immer es sinnvoll war, bereits genutzt. Für uns ist dieses Thema also gar nicht neu. Technisch können Audits nach allen PCI-Standards remote durchgeführt werden, sofern die Prüftiefe erfüllt werden kann und die Integrität des Audits sichergestellt ist. Hierzu wurde vom PCI Council aufgrund der aktuellen Lage ein aktualisierter Leitfaden veröffentlicht, der dem QSA mehr Flexibilität erlaubt. Schwierig wird es bei physischen Prüfungen, beispielsweise von Vor-Ort-Geschäften (Point of Sale) und Rechenzentren.

PCI-Audits mit der Notwendigkeit von physischen Begehungen sehen in der Regel Sichtprüfungen, beispielsweise von Zahlungsterminals oder Rechenzentrumsräumen, durch einen Auditor vor Ort vor. Derzeit erarbeiten wir Möglichkeiten, diese Prüfungen durch alternative Kontrollmaßnahmen, wie Foto- oder Videodokumentationen, zu ersetzen. Sollten Sie diesbezüglich Fragen haben, wenden Sie sich bitte an Ihren QSA. Dieser wird mit Ihnen ein Vorgehen erarbeiten, welches auf Ihr Unternehmen zugeschnitten ist und dennoch die Integrität des Audits gewährleistet.

Grundsätzlich unterscheidet sich die Agenda eines Remote Assessments nicht von der eines vor Ort durchgeführten Assessments. Die vermehrte Arbeit aller am Assessment Beteiligten aus dem Home Office oder isoliert aus Einzelbüros erfordert jedoch einige organisatorische Anpassungen. Unsere QSAs planen gemeinsam mit Ihnen die Assessment-Sessions und nehmen Rücksicht auf die speziellen Gegebenheiten in der aktuellen Situation.