PCI DSS Der Payment Card Industry Data Security Standard

Transkript

1 PCI DSS Der Payment Card Industry Data Security Standard

2 Schützen Sie sich und Ihre Kunden Die Zahl professioneller Hackerangriffe auf Unternehmen steigt rapide an. Kriminelle suchen gezielt Opfer aus, bei denen sie wenig Widerstand erwarten 2018 trafen laut Studien 58% der Angriffe kleine Unternehmen. Im Fokus stehen dabei insbesondere Händler, die Kartenzahlungen akzeptieren. Ein erfolgreicher Angriff kann hohe Kosten sowie Image- und Vertrauensverlust zur Folge haben und somit schnell zur Existenzbedrohung werden. Was ist PCI DSS? PCI DSS (Payment Card Industry Data Security Standard) ist ein von VISA, mastercard, American Express, Diners und JCB gemeinsam entwickelter, international gültiger Sicherheitsstandard für den Schutz von Kreditkartendaten. Dieser stellt sicher, dass die im Bezahlvorgang verarbeiteten, sensiblen Kreditkartendaten nicht entwendet und zu kriminellen Zwecken missbraucht werden. Jeder Händler, der Kartenzahlungen akzeptiert oder Kreditkartendaten speichert, verarbeitet oder übermittelt, ist verpflichtet, die Sicherheitsvorgaben von PCI DSS einzuhalten. Diese Verpflichtung besteht unabhängig von Unternehmensgröße und Anzahl der jährlich abgewickelten Kreditkartentransaktionen. Die vollständige Einhaltung der Sicherheitsvorgaben wird auch als Konformität oder Compliance bezeichnet. Einmal jährlich muss die PCI DSS Compliance durch einen Nachweisprozess belegt werden. 2

3 Die 12 PCI DSS Anforderungen PCI DSS umfasst sowohl technische als auch organisatorische Maßnahmen. Die Einhaltung dieser zwölf Anforderungen ist von allen Akzeptanzstellen und Service Providern sicherzustellen und gegebenenfalls nachzuweisen: 1. Installation und Wartung einer Firewall zum Schutz von Kartendaten 2. Keine vom Anbieter gelieferten Standardeinstellungen für Systemkennwörter und andere Sicherheitsparameter verwenden 3. Schutz gespeicherter Kartendaten 4. Verschlüsselung bei der Übertragung von Kartendaten über offene und/oder öffentliche Netze 5. Schutz sämtlicher Systeme vor Malware und regelmäßige Aktualisierung von Antivirensoftware und Programmen 6. Entwicklung und Wartung sicherer Systeme und Anwendungen 7. Beschränkung des Zugriffs auf Kartendaten je nach Geschäftsinformationsbedarf 8. Zugriff auf Systemkomponenten identifizieren und authentifizieren 9. Physischen Zugriff auf Kartendaten beschränken 10. Verfolgung und Überwachung des gesamten Zugriffs auf Netzwerkressourcen und Karteninhaberdaten 11. Regelmäßiges Testen der Sicherheitssysteme und -prozesse 12. Verwaltung einer Informationssicherheitsrichtlinie für das gesamte Personal 3

4 Anforderungen der Kartenorganisationen Um den Standard einzuhalten, müssen Händler und Service Provider den Zertifizierungsprozess durchlaufen. Über Art und Umfang des Zertifizierungsablaufs entscheiden die jährliche Anzahl der durchgeführten Transaktionen, der Transaktionskanal (POS, E-Commerce oder MoTo) und die Tatsache, inwiefern Kartendaten gespeichert werden. In Abhängigkeit folgender Level-Einstufung muss die Zertifizierung durch ein Audit von einem durch das PCI Security Standards Council (SSC) akkreditierten Unternehmen durchgeführt werden. Level Transaktionen SAQ * Security Scan Level 1 Level 2 Level 3 Level 4 * Self-Assessment Questionnaire > 6 Mio. Transaktionen p.a. und Marke über alle Vertriebskanäle sowie jeder, der bereits angegriffen wurde, gleich wie viele Transaktionen p.a. 1 Mio. bis 6 Mio. Transaktionen p.a. und Marke über alle Vertriebskanäle bis 1 Mio. E-Commerce Transaktionen p.a. und Marke Alle anderen Händler (bis E-Commerce-Transaktionen/Jahr Bis 1 Mio. MoTo/POS Transaktionen/Jahr) Audit - Quartalsweise 1x pro Jahr 1x pro Jahr 1x pro Jahr 1x pro Jahr Quartalsweise - ggf. Quartalsweise ggf. Quartalsweise - - 4

5 Bin ich betroffen? Ja, da Sie Ihren Kunden als Händler die Zahlung mittels Kreditkarte anbieten, sind Sie dazu verpflichtet, die PCI DSS Anforderungen zu erfüllen. Die Verpflichtung besteht auch dann, wenn Sie die Abwicklung aller Kartentransaktionen vollständig an externe Dienstleister ausgelagert haben. In diesem Fall ist der Nachweis Ihrer Konformität mit PCI DSS jedoch mit vergleichsweise geringem Aufwand verbunden. Warum ist PCI DSS für mich wichtig? Die Einhaltung der PCI DSS Sicherheitsvorgaben dienen nicht nur dem Schutz Ihrer Kunden, sondern auch Ihrem eigenen: Im Fall eines Diebstahls von Kartendaten haften Sie für alle Schäden und Verluste, die sich daraus ergeben. Darüber hinaus haften Sie unter anderem für: Rechtskosten Kosten für den Austausch von Kreditkarten Kosten für forensische Untersuchungen Zusätzlich können Ihnen Strafzahlungen sowie weitreichende Sicherheitsmaßnahmen und -prüfungen bis hin zum Akzeptanzentzug von den Kreditkartenorganisationen auferlegt werden. Bitte bedenken Sie, dass im Fall eines Diebstahls von Kartendaten bei Nichterbringung des PCI DSS Nachweises die Haftung für die Schäden bei Ihnen liegt. Der Nachweis der eigenen Konformität mit dem PCI DSS kann bei Bekanntwerden von Zahlungskartendiebstahl die Haftungsfrage erheblich zu Ihren Gunsten beeinflussen. 5

6 Welche konkreten Vorteile habe ich? Durch die Einhaltung von PCI DSS schützen Sie Ihr Unternehmen und Ihre Kunden vor kriminellen Angriffen. Diese Sicherheit werden auch Ihre Kunden schätzen und mit Vertrauen belohnen. Nicht nur deshalb lohnt sich PCI DSS für Sie: Erhöhte Datensicherheit und Schutz vor Angriffen und Missbrauch aus dem Internet für Sie und Ihre Kunden Gesteigertes Kundenvertrauen, die Basis jeden Zahlungskarteneinsatzes Erhöhter Schutz vor finanziellen Schäden und möglichen Schadenersatzansprüchen aufgrund von Sicherheitsverletzungen Reduzierung von Haftungsrisiken Schutz von Unternehmensimage und Reputation Prüfsiegel zur Einbindung in Ihren Onlineshop oder auf Ihrer Website 6 Wie weise ich meine Compliance nach? Ihre PCI DSS Konformität (Compliance) bestätigen Sie durch einen vollständig ausgefüllten Selbstbeurteilungsfragebogen. Da je nach Abwicklung organisatorische, prozessuale und technische Prozesse zu prüfen und zu beurteilen sind, wird empfohlen, zur Ermittlung und Beantwortung des Fragebogens die mit dem Abwicklungsprozess betrauten Mitarbeiter einzubeziehen. Die Compliance muss einmal jährlich nachgewiesen werden. Das gilt auch, wenn sich an Ihren Prozessen zur Zahlungskartenabwicklung zwischenzeitlich nichts verändert hat.

7 Wir unterstützen Sie Um den Nachweis softwareunterstützt erbringen zu können, stellen wir für Sie kostenlos die 1cs PCI DSS Plattform zur Verfügung. Hier werden Sie Schritt für Schritt zur PCI DSS Compliance geführt. Die Plattform unterstützt Sie bei der Ermittlung und Beantwortung des für Ihr Unternehmen gültigen Selbstbeurteilungsfragebogens. Nach erfolgtem Nachweis können Sie sich Ihre Bescheinigung der PCI DSS Compliance und das Prüfsiegel unseres Sicherheitspartners usd AG herunterladen und in Ihre Website integrieren. So zeigen Sie Ihren Kunden, dass Sie Sicherheit ernst nehmen. Falls Sie selbst Kreditkartendaten auf Ihren IT Systemen speichern, verarbeiten oder übermitteln, müssen Sie gegebenenfalls zusätzlich vierteljährlich Schwachstellen-Scans durch ein zugelassenes Unternehmen durchführen lassen. Durch die Kooperation mit unserem Sicherheitspartner usd AG erhalten Sie dabei besonders günstige Konditionen. Wo bekomme ich Hilfe? Wünschen Sie weitere Informationen zur PCI DSS Compliance? Benötigen Sie Unterstützung bei einzelnen Anforderungen? Ihre Selbstauskunft ergibt, dass Sie nicht compliant sind? Wir helfen Ihnen, wenn Sie Unterstützung brauchen - zusammen mit unserem Sicherheitspartner usd AG. Kontaktieren Sie uns per an support@pci.1cs.de oder wenden Sie sich telefonisch an das 1cs PCI Competence Center:

8 Was sind meine nächsten Schritte? 1. Loggen Sie sich ein Gehen Sie auf die 1cs PCI DSS Plattform unter und loggen Sie sich mit den Zugangsdaten ein, die Sie per erhalten haben. 2. Ermitteln Sie den Fragebogen Starten Sie den Auswahl-Assistenten und beantworten Sie die Fragen entsprechend Ihrer Abwicklungsprozesse. 3. Füllen Sie den Fragebogen aus Prüfen Sie anhand der Sicherheitsanforderungen, ob Ihr Unternehmen gemäß den Vorgaben der Kartenorganisationen aufgestellt ist. Laden Sie sich nach Ihrer Zertifizierung das Compliance-Siegel für Ihren Webshop herunter und zeigen Sie Ihren Kunden so, dass die Daten bei Ihnen gut aufgehoben sind. Wo finde ich weitere Informationen? Antworten auf häufig gestellte Fragen zum PCI DSS finden Sie hier: pci.1cs.de/content/faq Alles rund um den PCI DSS können Sie auf der offiziellen Website des PCI Security Standards Council nachlesen: de.pcisecuritystandards.org/index.php 8

9 Zertifizierte Dienstleister, Anwendungen und Terminals Die großen Kreditkartengesellschaften führen eigene Listen, in denen die PCI-DSS-Konformität von Dienstleistern und Herstellern rund um das Kreditkartengeschäft nachvollziehbar ist. Diese werden auf den jeweiligen Websites zur Verfügung gestellt und können von jedem eingesehen werden. Insbesondere wenn Sie Kreditkartendaten mit Zahlungsanwendungen verarbeiten und damit in den Anwendungsbereich des SAQ C fallen, können Sie auf den Websites des PCI Councils nachverfolgen, ob die von Ihnen eingesetzte Software dem PCI Payment Application Data Security Standard (PCI PA-DSS) genügt. Ob eine und welche Version einer Zahlungsanwendung nach PCI PA-DSS zertifiziert ist, können Sie auf der Website des PCI Councils überprüfen. Ob das von Ihnen eingesetzte Kartenterminal zertifiziert ist, können Sie ebenfalls auf der Website des PCI Councils herausfinden. 9

10 Kontakt usd AG Frankfurter Straße 233, Haus C Neu-Isenburg PCI Plattform der 1cs PCI Competence Center Telefon: +49 (0) Erreichbarkeit Montag bis Freitag: 08:00-18:00 Uhr First Cash Solution GmbH Okenstraße Offenburg Telefon: +49 (0) Fax: +49 (0) mail@1cs.de 10

11