Payment Card Industry (PCI) Datensicherheitsstandard für Zahlungsanwendungen

Transkript

1 Payment Card Industry (PCI) Datensicherheitsstandard für Zahlungsanwendungen Anforderungen und Sicherheitsbeurteilungsverfahren Version 2.0 Oktober 2010

2 Dokumentänderungen Datum Version Beschreibung Seiten 1. Oktober Juli Oktober Angleichen von Inhalten an den neuen PCI-DSS v1.2 und Implementieren kleinerer Änderungen an der Ursprungsversion v1.1. Angleichen von Inhalten an den PA-DSS-Programmleitfaden in Beziehungen des PA-DSS, v1.2.1, um zu verdeutlichen, für welche Anwendungen PA-DSS gilt. Korrektur der Schreibweise von OWASP in Laboranforderung Aktualisieren der Funktionalität der Zahlungsanwendung in der Validierungsbestätigung, Teil 2a, um diese an die im PA-DSS-Programmleitfaden aufgeführten Anwendungsarten anzupassen und die Verfahren in Teil 3b für die jährliche erneute Validierungsbestätigung zu verdeutlichen. Aktualisieren und Implementieren kleinerer Änderungen seit der Version und Angleichung an den neuen PCI-DSS v2.0. Für ausführliche Informationen siehe PA-DSS Änderungsübersicht von PA-DSS Version auf 2.0. v, vi 32, 33 PCI PA-DSS-Anforderungen und Sicherheitsbeurteilungsverfahren, v2.0 Seite 2

3 Inhalt Dokumentänderungen... 2 Einleitung.4 Zweck dieses Dokuments... 4 Beziehung zwischen PCI-DSS und PA-DSS... 4 Umfang des PA-DSS... 5 Anwendbarkeit des PA-DSS auf Zahlungsanwendungen in Hardware-Terminals... 7 Rollen und Verantwortlichkeiten... 8 PA-DSS-Implementierungshandbuch Anforderungen an PA-QSAs Testlabor Informationen zur PCI DSS-Anwendbarkeit Anweisungen und Inhalt für den Validierungsbericht PA-DSS-Schritte zur Fertigstellung PA-DSS-Programmleitfaden PA-DSS-Anforderungen und -Sicherheitsbeurteilungsverfahren Kein Aufbewahren von vollständigen Magnetstreifendaten, Kartenüberprüfungscodes oder -werten (CAV2, CID, CVC2, CVV2) sowie PIN- Block-Daten Schutz gespeicherter Karteninhaberdaten Bereitstellen sicherer Authentifizierungsfunktionen Protokollieren der Aktivität von Zahlungsanwendungen Entwickeln sicherer Zahlungsanwendungen Scutz von drahtlosen Übertragungen Testen von Zahlungsanwendungen zur Ermittlung von Schwachstellen Unterstützung einer sicheren Netzwerkntierung Karteninhaberdaten dürfen nie auf einem mit dem Internet verbundenen Server gespeichert werden Ermöglichen eines sicheren Remote-Zugriffs auf Zahlungsanwendungen Verschlüsseln von sensiblem Datenverkehr in öffentlichen Netzwerken Verschlüsseln des gesamten konsolen-verwaltungszugriffs Pflegen von Anleitungen und Schulungsprogrammen für Kunden, Wiederverkäufer und Integratoren Anhang A: Inhaltszusammenfassung für das PA-DSS-Implementierungshandbuch Anhang B: Bestätigung der Testlabor-Konfiguration für die PA-DSS-Auswertung PCI PA-DSS-Anforderungen und Sicherheitsbeurteilungsverfahren, v2.0 Seite 3

4 Einleitung Zweck dieses Dokuments Dieses Dokument wurde für qualifizierte Sicherheitsprüfer von Zahlungsanwendungen ( Payment Application-Qualified Security Assessors, kurz PA-QSAs) entwickelt, die sich mit der Überprüfung von Zahlungsanwendungen befassen. Es soll dabei helfen, sicherzustellen, dass die Zahlungsanwendungen von Softwareanbietern den Datensicherheitsstandard der PCI für Zahlungsanwendungen ( PCI Payment Application Data Security Standard, kurz PA-DSS) erfüllen. Ferner kann dieses Dokument von PA-QSAs auch als Vorlage zur Erstellung von Validierungsberichten genutzt werden. Weitere Ressourcen, einschließlich Validierungsbestätigungen, Häufig gestellte Fragen (FAQs) und der PCI-DSS sowie dem PA-DSS-Glossar, Abkürzungen und Akronyme sind auf der Website des PCI Security Standards Council (PCI SSC) verfügbar Beziehung zwischen PCI-DSS und PA-DSS Die Nutzug einer PS-DSS-konformen Anwendung allein macht eine Einheit noch nicht PCI-DSS-konform, zumal diese Anwendung in einer PCI- DSS-konformen Umgebung und im Sinne des von dem Zahlungsanwendungsanbieter bereitgestellten PS-DSS-Implementierungshandbuchs werden muss (gemäß PA-DSS-Anforderung 13.1). Die Anforderungen für den PA-DSS leiten sich aus den PCI-DSS-Anforderungen und -Sicherheitsbeurteilungsverfahren ( Payment Card Industry Data Security Standard (PCI DSS) Requirements and Security Assessment Procedures ) ab. In diesem Dokument, das unter zur Verfügung steht, wird detailliert ausgeführt, welche Anforderungen hinsichtlich einer PCI-DSS-Erfüllung bestehen (und damit, welche Vorgaben eine Zahlungsanwendung erfüllen muss, um Kunden die Einhaltung des PCI-DSS zu ermöglichen). Die übliche Einhaltung des PCI-Datensicherheitsstandards gilt unter Umständen nicht direkt für Anbieter von Zahlungsanwendungen, da die meisten von ihnen Karteninhaberdaten nicht speichern, verarbeiten oder weitergeben. Da allerdings die betreffenden Zahlungsanwendungen von Kunden genutzt werden, um Karteninhaberdaten zu speichern, zu verarbeiten und weiterzugeben, und Kunden den PCI-Datensicherheitsstandard einhalten müssen, sollten Zahlungsanwendungen die Einhaltung des Standards durch die Kunden begünstigen und nicht behindern. Hier einige Beispiele dafür, wie Zahlungsanwendungen der Einhaltung des Standards im Wege stehen können: 1. Speicherung von Magnetstreifendaten und/oder ähnliche Daten auf dem Chip im Kundennetzwerk nach der Autorisierung; 2. Anwendungen, die Kunden dazu auffordern, andere laut PCI-Datensicherheitsstandard erforderliche Funktionen, wie Antivirensoftware oder Firewalls, zu deaktivieren, um eine ordnungsgemäße Funktion der Zahlungsanwendung sicherzustellen; und 3. die Nutzung unsicherer Methoden durch den Anbieter, um den Kunden einen Online-Support für die Anwendung anzubieten. Sichere Zahlungsanwendungen minimieren bei einer Implementierung in einer PCI-DSS-konformen Umgebung das Potenzial von Sicherheitsverletzungen, die zu einer Kompromittierung von Magnetstreifendaten, von Kartenüberprüfungscodes und -werten (CAV2, CID, CVC2, CVV2) sowie PINs und PIN-Blöcken führen, und verhindern somit Schädigungen durch Betrug, der auf diese Sicherheitsverletzungen zurückzuführen ist. PCI PA-DSS-Anforderungen und Sicherheitsbeurteilungsverfahren, v2.0 Seite 4

5 Umfang des PA-DSS Der PA-DSS gilt für Softwareanbieter und andere Entwickler von an Dritte verkauften, vertriebenen oder lizenzierten Zahlungsanwendungen, bei denen Karteninhaberdaten im Zuge der Autorisierung oder Verrechnung gespeichert, verarbeitet oder weitergegeben werden. Der folgende Leitfaden hilft bei der Bestimmung, ob der PA-DSS für eine gegebene Zahlungsanwendung gilt: Der PA-DSS gilt für Zahlungsanwendungen, die üblicherweise von der Stange verkauft und installiert werden, also ohne individuelle Anpassung durch Softwareanbieter. Der PA-DSS gilt für Zahlungsanwendungen, die in Modulen bereitgestellt werden, zu deren Lieferumfang üblicherweise ein Basis -Modul und weitere spezifisch auf Kundentypen oder - anforderungen zugeschnittene Module gehören. Der PA-DSS gilt eventuell lediglich für das Basis- Modul, wenn dieses als einziges Modul Zahlungsfunktionen durchführt (nach Bestätigung durch einen PA-QSA). Wenn weitere Module Zahlungsfunktionen übernehmen, gilt der PA-DSS auch für diese Module. Beachten Sie, dass es sich für Softwareanbieter bewährt hat, Zahlungsfunktionen isoliert auf einem einzigen Modul oder einer geringen Zahl von Basis-Modulen anzubieten und andere Module für andere Funktionen vorzubehalten. Diese bewährte Methode kann (wenngleich sie kein unbedingtes Muss ist) dabei helfen, die Anzahl der Module, für die der PA-DSS Gültigkeit hat, zu begrenzen. Der PA-DSS gilt aus den folgenden Gründen NICHT für Zahlungsanwendungen, die von Anwendungs- oder Dienstanbietern ausschließlich als ein Dienst angeboten werden (es sei denn, solche Anwendungen werden auch an Dritte verkauft, lizenziert oder vertrieben): 1) Die Anwendung ist ein Dienst, der den Kunden geboten wird (gewöhnlich Großhändler) und die Kunden können die Anwendung bzw. deren Umgebung nicht verwalten, installieren oder steuern; 2) Die Untersuchung der Anwendung erfolgt durch die PCI DSS-Überprüfung des Anwendungs- bzw. Dienstanbieters (diese Tatsache sollte vom Kunden bestätigt werden); und/oder 3) Die Anwendung wird nicht an Dritte verkauft, lizenziert oder vertrieben. Beispiele für derartige Zahlungsanwendungen ( Software als ein Dienst ) sind u. a.: Hinweis: Validierte Zahlungsanwendungsprodukte dürfen grundsätzlich keine Beta-Versionen sein. 1) Die von Anwendungsdienstanbietern (Application Service Provider, kurz ASP) angebotenen Anwendungen, die den Kunden auf ihrer Site eine Zahlungsanwendung zur Verfügung stellen. Beachten Sie, dass der PA-DSS jedoch gilt, falls die Zahlungsanwendung des ASPs auch an eine Website Dritter verkauft bzw. dort wurde und von keiner PCI DSS-Prüfung des ASPs betroffen ist. 2) Virtual-Terminal-Anwendungen, die sich auf der Website eines Dienstleisters befinden und von den Großhändlern zur Eingabe der Zahlungstransaktionen verwendet werden. Beachten Sie, dass der PA-DSS gelten würde, falls ein Teil dieser Virtual-Terminal- Anwendung an die Website des Großhändlers geliefert und dort wurde, jedoch von keiner PCI DSS-Prüfung des Anwenders betroffen ist. Der PA-DSS gilt NICHT für andere Anwendungen, die zu einer Zahlungsanwendungs-Suite gehören. Derartige Anwendungen (wie z. B. eine zur Suite gehörende Anwendung zur Überwachung, Einstufung oder Erkennung von Betrug) können u. U. durch PA-DSS geprüft werden, falls die gesamte Suite beurteilt wird. Sollte eine Zahlungsanwendung jedoch zu einer Suite gehören, die sich bei der Einhaltung der PA-DSS-Anforderungen auf andere Anwendungen der Suite verlässt, sollte eine einzelne PA-DSS-Bewertung der PCI PA-DSS-Anforderungen und Sicherheitsbeurteilungsverfahren, v2.0 Seite 5

6 Zahlungsanwendung sowie der damit verbundenen anderen Anwendungen durchgeführt werden. Diese Anwendungen sollten nicht getrennt bewertet werden, da sie die PA-DSS-Anforderungen nicht alleine erfüllen. Der PA-DSS gilt NICHT für Zahlungsanwendungen, die ausschließlich für den Gebrauch durch einen einzigen Kunden entwickelt und verkauft wurden, da diese Anwendungen im Rahmen der üblichen Überprüfung zur Einhaltung des PCI-DSS beim Kunden abgedeckt sind. Beachten Sie, dass solche Anwendungen (oft auch als Maßanfertigungen bezeichnet) nur an einen einzigen Kunden verkauft werden (für gewöhnlich ein Großhändler oder Dienstanbieter) und entsprechend der vom Kunden bereitgestellten Spezifikationen entworfen und entwickelt werden. Der PA-DSS gilt NICHT für Zahlungsanwendungen, die von Großhändlern und Dienstanbietern ausschließlich zur internen Verwendung entwickelt wurden (und nicht an Dritte vertrieben werden), da diese intern entwickelten Zahlungsanwendungen im Rahmen der normalen Prüfung hinsichtlich der PCI-DSS-Einhaltung beim betreffenden Großhändler oder Dienstanbieter ebenfalls geprüft werden. Beispiel für die letzten beiden Punkte: Unabhängig davon, ob die intern entwickelte oder maßgefertigte Zahlungsanwendung verbotene sensible Authentifizierungsdaten speichert oder komplexe Kennwörter zulässt, wäre sie im Rahmen der üblichen Verfahrensweise des Großhändlers bzw. Dienstanbieters zur Einhaltung des PCI-DSS abgedeckt, sodass keine separate PA-DSS-Prüfung erforderlich ist. In der folgenden (nicht alle Punkte umfassenden) Liste werden Anwendungen aufgeführt, die KEINE Zahlungsanwendungen gemäß PA-DSS sind (und deshalb auch nicht hinsichtlich einer PA-DSS-Einhaltung geprüft werden müssen): Betriebssysteme, unter denen eine Zahlungsanwendung installiert wird (z. B. Windows, Unix) Datenbanksysteme, in denen Karteninhaberdaten gespeichert sind (z. B. Oracle) Back-Office-Systeme, in denen Karteninhaberdaten gespeichert sind (z. B. zur Berichterstellung oder für den Kundenservice) Die PA-DSS-Prüfung sollte Folgendes umfassen: Hinweis: PCI SSC listet AUSSCHLIESSLICH Zahlungsanwendungen auf. Untersuchung aller Funktionen von Zahlungsanwendungen, darunter: 1.) End-to-End-Zahlungsfunktionen (Autorisierung und Verrechnung), 2.) Eingabe und Ausgabe, 3.) Fehlerzustände, 4.) Schnittstellen und Verbindungen zu anderen Dateien, Systemen, Zahlungsanwendungen oder Anwendungskomponenten, 5.) den vollständigen Verkehr von Kundeninhaberdaten, 6.) Verschlüsselungsmechanismen und 7.) Authentifizierungsmechanismen. Untersuchung der Anleitungen, die der Anbieter der Zahlungsanwendung an Kunden und Wiederverkäufer/Integratoren weitergeben muss (siehe auch das PA-DSS-Implementierungshandbuch an späterer Stelle), um sicherzustellen, dass 1.) der Kunde weiß, wie die Zahlungsanwendung auf PCI-DSS-konforme Weise wird, und 2.) dem Kunden klar gemacht wird, dass gewisse Einstellungen der Zahlungsanwendung bzw. deren Umgebung die PCI-DSS-Konformität beeinträchtigen können. Beachten Sie, dass vom Anbieter der Zahlungsanwendung eventuell selbst dann erwartet wird, solche Hilfestellungen anzubieten, wenn die jeweilige Einstellung 1.) nicht vom Anbieter der Zahlungsanwendung nach erfolgter Installation beim Kunden kontrolliert werden kann oder 2.) in der Verantwortung des Kunden und nicht des Anbieters der Zahlungsanwendung liegt. Prüfung aller ausgewählten Plattformen für die zu prüfende Version der Zahlungsanwendung (die geprüften Plattformen sollten dokume werden). Prüfung der Tools, die von oder innerhalb der Zahlungsanwendung genutzt werden, um Karteninhaberdaten abzurufen und/oder anzuzeigen (Reportingtools, Protokollierungstools usw.) PCI PA-DSS-Anforderungen und Sicherheitsbeurteilungsverfahren, v2.0 Seite 6

7 Anwendbarkeit des PA-DSS auf Zahlungsanwendungen in Hardware-Terminals Zahlungsanwendungen, die für den Einsatz auf Hardware-Terminals konzipiert wurden (auch bekannt als eigenständige oder spezielle POS- Terminals), könnten auf ihre PA-DSS-Einhaltung geprüft werden, wenn der Anbieter deren Validierung anstrebt und die PA-DSS- Konformitätsanforderungen erfüllt werden können. Gründe, warum ein Anbieter eine PA-DSS-Validierung für eine Zahlungsanwendung auf Hardware-Terminals anstrebt, sind unter anderem Unternehmensanforderungen und Compliance-Vorschriften. Dieser Abschnitt bietet einen Leitfaden für Anbieter, die eine PA-DSS-Validierung für eigene Zahlungsanwendungen auf Hardware-Terminals anstreben. Es gibt zwei Wege, die PA-PSS-Validierung für eine eigene Zahlungsanwendung auf einem Hardware-Terminal zu erreichen: 1. Die eigene Zahlungsanwendung erfüllt direkt alle PA-DSS-Anforderungen und wird entsprechend den Standard-PA-DSS-Verfahren validiert. 2. Die eigene Zahlungsanwendung erfüllt nicht alle PA-DSS-Anforderungen, doch die Hardware, auf der die Anwendung gespeichert ist, ist auf der Liste zugelassener PTS-Geräte (PIN Transaction Security, zu deutsch PIN-Transaktionssicherheit ) des PCI-SSC als ein aktuell PCI-PTS-zugelassenes POI-Gerät (Point of Interaction, zu deutsch Interaktionspunkt ) gelistet. In diesem Szenario wäre es möglich, dass die Anwendung die PA-DSS-Anforderungen mittels einer Kombination aus den PA-DSS und PTS-validierten Kontrollen erfüllt. Der restliche Teil dieses Abschnitts gilt ausschließlich für Zahlungsanwendungen, die auf einem validierten PCI-PTS-zugelassenen POI-Gerät gespeichert sind. Falls die Zahlungsanwendung einer oder mehreren PA-DSS-Anforderungen nicht direkt entspricht, können diese indirekt im Zuge von Kontrollen der PCI-PTS-Validierung erfüllt werden. Damit eine Hardwareeinheit in einer PS-DSS-Überprüfung einbezogen werden kann, MUSS die Hardwarereinheit als ein PCI-PTS-zugelassenes POI-Gerät validiert und auf der Liste zugelassener PTS-Geräte des PCI-SSC gelistet sein. Das PTS-validierte POI-Gerät, das eine sichere Datenverarbeitungsumgebung darstellt, wird zu einer benötigten Abhängigkeit für die Zahlungsanwendung und die Kombination aus Anwendung und Hardware werden zusammen in der Liste der PA-DSS-validierten Zahlungsanwendungen erfasst. Während der PA-DSS-Auswertung muss der PA-QSA die Zahlungsanwendung sowie die ihr zugrunde liegende Hardware auf alle PA-DSS- Anforderungen überprüfen. Sollte der PS-QSA zu dem Schluss kommen, dass eine oder mehrere PA-DSS-Anforderungen von der eigenen Zahlungsanwendung nicht erfüllt werden können, sie jedoch PCI-PTS-validierten Kontrollen entspricht, muss der PA-QSA Folgendes tun: 1. Klar dokumentieren, welche PS-DSS-Anforderungen erfüllt werden (wie gewöhnlich); 2. Klar dokumentieren, welche PCI-PTS-Anforderung im Impleme -Feld für diese Anforderung erfüllt wurde; 3. Angabe einer ausführlichen Erklärung, warum die Zahlungsanwendung der PA-DSS-Anforderung nicht entsprach; 4. Dokumentation der angewandten Verfahren, um zu bestimmen, wie diese Anforderung über eine PCI-PTS-validierte Kontrolle optimal erfüllt wurde; 5. Erfassen des PCI-PTS-validierten Hardware Terminals als eine erforderliche Abhängigkeit in der Zusammenfassung für die Geschäftsleitung des Validierungsberichts. Sobald die Validierung der Zahlungsanwendung durch den PA-QSA abgeschlossen und durch den PCI-SSC akzeptiert wurde, wird die PTSvalidierte Hardwareeinheit als eine Abhängigkeit der Zahlungsanwendung in den PA-DSS-validierten Anwendungen erfasst. PCI PA-DSS-Anforderungen und Sicherheitsbeurteilungsverfahren, v2.0 Seite 7

8 Eigene Zahlungsanwendungen auf Hardware Terminals, die mittels einer Kombination aus PS-DSS und PCI-PTS-Kontrollen validiert werden, müssen folgende Kriterien erfüllen: 1. Beide Elemente müssen dem Kunden zusammen geliefert werden (d. h. Hardware Terminal und Anwendung) ODER, wenn sie getrennt geliefert werden, muss der Anwendungsanbieter und/oder der Wiederverkäufer/Integrator die Anwendung für den Vertrieb so verpacken, dass sie ausschließlich auf dem Hardware Terminal läuft, für das sie validiert wurde. 2. Sie müssen standardmäßig aktiviert sein, um die PCI-Konformität eines Kunden zu unterstützen. 3. Sie müssen einen laufenden Support sowie Updates zur Aufrechterhaltung der PCI-DSS-Konformität bieten. 4. Wenn die Anwendung separat an Kunden verkauft, vertrieben oder lizenziert wird, muss der Anbieter im Einverständnis mit der PA-DSS- Validierungsliste der Anwendung detaillierte Informationen zu der zugehörigen Hardware liefern. Rollen und Verantwortlichkeiten In der Branche für Zahlungsanwendungen gibt es mehrere wichtige Entscheidungsträger. Einige von ihnen sind unmittelbar in PA-DSS- Prüfverfahren involviert, nämlich Anbieter, PA-QSAs und PCI SSC. Andere Mitglieder der Branche, die nicht direkt in Prüfverfahren involviert sind, sollten dennoch die allgemeinen Verfahrensweisen kennen, um selbst fundierte Geschäftsentscheidungen in diesem Bereich treffen zu können. Im Folgenden werden die Rollen und Verantwortlichkeiten der Entscheidungsträger aus der Branche für Zahlungsanwendungen beschrieben. Für die Entscheidungsträger, die in Prüfverfahren involviert sind, sind entsprechende Verantwortlichkeiten aufgelistet. Zahlungsmarken American Express, Discover Financial Services, JCB International, MasterCard Worldwide und Visa Inc. sind die Zahlungsmarken, die für die PCI SSC-Gründung verantwortlich zeichneten. Diese Marken sind für die Entwicklung und Durchsetzung sämtlicher Programme in Bezug auf PA- DSS-Konformität verantwortlich, darunter die folgenden: Sämtliche Anforderungen, Mandate oder Daten zur Verwendung von PA-DSS-konformen Zahlungsanwendungen; Jegliche Gebühren oder Pönalen, die bei der Verwendung nicht konformer Zahlungsanwendungen erhoben werden. Die Zahlungsmarken können Konformitätsprogramme, Mandate, Daten usw. unter Verwendung des PA-DSS und den validierten und durch den PCI SSC aufgelisteten Zahlungsanwendungen definieren. Über diese Konformitätsprogramme fördern die Zahlungsmarken die Nutzung der aufgelisteten, validierten Zahlungsanwendungen. Der Payment Card Industry Security Standards Council (PCI SSC) Der PCI SSC ist eine Körperschaft der Zahlungskartenbranche zur Überwachung der Branchenstandards, darunter des PCI-DSS und des PA- DSS. Im Bezug auf den PA-DSS nimmt der PCI SSC folgende Aufgaben wahr: Zentrale Archivierung von PA-DSS-Validierungsberichten ( Reports of Validation, kurz ROVs); Durchführung von Qualitätssicherungsprüfungen von PA-DSS-ROVs zur Sicherstellung der Konsistenz und Qualität von Berichten; Auflistung PA-DSS-validierter Zahlungsanwendungen auf der Website; PCI PA-DSS-Anforderungen und Sicherheitsbeurteilungsverfahren, v2.0 Seite 8

9 Ausbildung und Schulung von PA-QSAs für die Durchführung von PA-DSS-Prüfungen; Pflege und Aktualisierung des PA-DSS Standards und betreffender Dokumentationen entsprechend eines Lebenszyklus-Management- Prozesses für den Standard. Beachten Sie, dass der PCI SSC keine Berichte aus Validierungsperspektive bestätigt. Die Rolle der PA-QSAs besteht darin, die PA-DSS- Konformität von Zahlungsanwendungen am jeweiligen Prüfdatum zu dokumentieren. Darüber hinaus führt der PCI SSC Qualitätssicherungsmaßnahmen durch, um sicherzugehen, dass die PA-QSAs ihre PA-DSS-Auswertungen akkurat und gründlich dokumentieren. Softwareanbieter Softwareanbieter ( Anbieter ) entwickeln Zahlungsanwendungen, die Karteninhaberdaten im Zuge einer Autorisierung oder Verrechnung speichern, verarbeiten oder weitergeben, und verkaufen, vertreiben oder lizenzieren diese Zahlungsanwendungen dann an Dritte (Kunden oder Wiederverkäufer/Integratoren). Anbieter sind verantwortlich für: Die Erstellung PA-DSS-konformer Zahlungsanwendungen, die die PCI-DSS-Konformität ihrer Kunden befördern und nicht behindern (die Anwendung darf keine Implementierungs- oder Konfigurationseinstellungen erfordern, die gegen PCI-DSS-Voraussetzungen verstoßen); PA-QSAs Die Einhaltung von PCI-DSS-Anforderungen, wenn Karteninhaberdaten durch den Anbieter gespeichert, verarbeitet oder weitergegeben werden (z. B. während einer Fehlerbehebung beim Kunden); Die Erstellung eines PA-DSS-Implementierungshandbuchs für die jeweilige Zahlungsanwendung, entsprechend den in diesem Dokument erwähnten Anforderungen; Auskünfte gegenüber Kunden, Wiederverkäufern und Integratoren zur Installation und Konfiguration von Zahlungsanwendungen auf PCI- DSS-konforme Art und Weise; Die Sicherstellung, dass Zahlungsanwendungen den PA-DSS erfüllen und hierfür erfolgreich eine PA-DSS-Prüfung, wie in diesem Dokument beschrieben, bestehen; PA-QSAs sind QSAs, die vom PCI-SSC für die Durchführung von PA-DSS-Überprüfungen qualifiziert und geschult worden sind. PA-QSAs sind verantwortlich für: Die Durchführung von Auswertungen zu Zahlungsanwendungen in Übereinstimmung mit den Sicherheitsbeurteilungsverfahren und den PA-QSA-Validierungsanforderungen; Die Abgabe einer Beurteilung, ob eine Zahlungsanwendung die PA-DSS-Anforderungen erfüllt; Die Bereitstellung geeigneter Dokumentationen innerhalb der ROVs, die die PA-DSS-Konformität der Zahlungsanwendung demonstrieren; Das Einreichen der ROVs beim PCI-SSC, zusammen mit der Validierungsbestätigung (unterzeichnet vom PA-QSA und vom Anbieter); Die Pflege eigener Qualitätssicherungsmaßnahmen; Hinweis: alle QSAs sind auch PA-QSAs. Ein PA-QSA verfügt gegenüber einem QSA über zusätzliche Qualifikationen. PCI PA-DSS-Anforderungen und Sicherheitsbeurteilungsverfahren, v2.0 Seite 9

10 Der PA-QSA ist dafür verantwortlich, zu bestätigen, ob die Zahlungsanwendung konform ist oder nicht. Der PCI SSC bestätigt ROVs nicht hinsichtlich der technischen Konformität, sondern führt Qualitätssicherungsprüfungen an den ROVs durch, um sicherzustellen, dass die Konformität in den Berichten ordnungsgemäß demonstriert wird. Wiederverkäufer und Integratoren Wiederverkäufer und Integratoren verkaufen, installieren und/oder bieten Service für Zahlungsanwendungen im Namen von Softwareanbietern oder anderen an. Sie sind für Folgendes verantwortlich: Implementieren einer PA-DSS-konformen Zahlungsanwendung in einer PCI-DSS-konformen Umgebung (oder Bereitstellung entsprechender Anweisungen für den betreffenden Händler); Konfigurieren der Zahlungsanwendung (sofern Konfigurationsoptionen bereitstehen) entsprechend dem vom Anbieter bereitgestellten PA-DSS-Implementierungshandbuch; Konfigurieren der Zahlungsanwendung auf PCI-DSS-konforme Art und Weise (bzw. entsprechende Anweisung für den Händler); Bereitstellen von Services für die Zahlungsanwendungen (etwa Fehlerbehebung, Bereitstellung von Remote-Updates und Remote- Support) entsprechend dem PA-DSS-Implementierungshandbuch und dem PCI-DSS; Wiederverkäufer und Integratoren sind nicht dafür zuständig, Zahlungsanwendungen zur Überprüfung einzureichen. Produkte dürfen nur vom Anbieter eingereicht werden. PCI PA-DSS-Anforderungen und Sicherheitsbeurteilungsverfahren, v2.0 Seite 10

11 Kunden Kunden sind Großhändler, Dienstanbieter und andere Käufer oder Nutzer von Drittanbieter- Zahlungsanwendungen zum Speichern, Verarbeiten oder Weitergeben von Karteninhaberdaten im Zuge einer Autorisierung oder der Verrechnung bei Zahlungstransaktionen. Kunden, die PA-DSS-konforme Anwendungen nutzen möchten, sind für Folgendes verantwortlich: Implementieren einer PA-DSS-konformen Zahlungsanwendung in einer PCI-DSS-konformen Umgebung; Konfigurieren der Zahlungsanwendung (sofern Konfigurationsoptionen bereitstehen) entsprechend dem vom Anbieter bereitgestellten PA-DSS-Implementierungshandbuch; Konfigurieren der Zahlungsanwendung auf PCI-DSS-konforme Art und Weise; Hinweis: Eine PA-DSSkonforme Zahlungsanwendung allein ist noch keine Garantie für PCI-DSS-Konformität. Aufrechterhalten des PCI-DSS-Konformitätsstatus sowohl für die Umgebung als auch für die Konfiguration der Zahlungsanwendung; PA-DSS-Implementierungshandbuch Validierte Zahlungsanwendungen müssen auf PCI-DSS-konforme Art und Weise werden können. Softwareanbieter sind verpflichtet, ein PA-DSS-Implementierungshandbuch bereitzustellen, das ihre Kunden und Wiederverkäufer/Integratoren über eine sichere Produktntierung informiert. In diesem Dokument müssen die individuellen Hinweise zur sicheren Konfiguration enthalten sein, außerdem muss der Anbieter die eigenen Verantwortlichkeiten ebenso wie die des Wiederverkäufers/Integrators und des Kunden zur Einhaltung der PCI- DSS-Anforderungen klar erläutern. Es sollte detailliert erklärt werden, wie der Kunde und/oder der Wiederverkäufer/Integrator Sicherheitseinstellungen innerhalb des Kundennetzwerks einzurichten hat. Beispielsweise sollten im PA-DSS-Implementierungshandbuch die Verantwortlichkeiten und grundlegenden Merkmale zur PCI-DSS-Kennwortsicherheit angesprochen werden, selbst wenn diese nicht durch die Zahlungsanwendung gesteuert wird. Der Grund: Der Kunde oder Wiederverkäufer/Integrator soll verstehen, wie sichere Kennwörter für eine PCI- DSS-Konformität werden. Zahlungsanwendungen, die entsprechend dem PA-DSS-Implementierungshandbuch und in einer PCI-DSS-konformen Umgebung werden, sollten die PCI-DSS-Konformität beim Kunden fördern und unterstützen. Siehe Anhang A: Inhaltszusammenfassung für das PA-DSS-Implementierungshandbuch für einen Vergleich der Verantwortungsbereiche für die Implementierung der im PA-DSS-Implementierungshandbuch spezifizierten Kontrollen. Anforderungen an PA-QSAs Nur PA-QSAs (Payment Application Qualified Security Assessors), die von QSA-Unternehmen beschäftigt werden, sind berechtigt, PA-DSS- Auswertungen durchzuführen. Eine Liste aller Unternehmen, die für die Durchführung von PA-DSS-Auswertungen qualifiziert sind, finden Sie in der QSA-Liste unter Der PA-QSA muss die in diesem PA-DSS-Dokument genannten Testverfahren nutzen. Der PA-QSA muss Zugriff auf ein Labor haben, in dem der Validierungsprozess abläuft. PCI PA-DSS-Anforderungen und Sicherheitsbeurteilungsverfahren, v2.0 Seite 11

12 Testlabor Testlabore sind an zwei Orten vorzufinden: an einem PA-QSA-Standort oder in den Einrichtungen des Softwareanbieters. Das Testlabor sollte reale Nutzungen der Zahlungsanwendung simulieren können. Der PA-QSA muss die korrekte Installation der Laboreinrichtung bestätigen, um sicherzustellen, dass die Umgebung tatsächlich eine reale Situation simuliert und dass der Anbieter die Umgebung nicht auf irgendeine Weise modifiziert oder verfälscht hat. Weitere Informationen finden Sie in Anhang B: Bestätigung der Testlabor-Konfiguration für die PA-DSS-Auswertung in diesem Dokument mit detaillierten Anforderungen für Labor- und verwandte Prozesse. Der PA-QSA muss Anhang B für das zur Prüfung der jeweiligen Zahlungsanwendung genutzte Labor ausfüllen und als Teil des vollständigen PA-DSS-Berichts einreichen. PCI PA-DSS-Anforderungen und Sicherheitsbeurteilungsverfahren, v2.0 Seite 12

13 Informationen zur PCI DSS-Anwendbarkeit (Auszug aus dem PCI-DSS) Der Payment Card Industry Data Security Standard (PCI-DSS) ist immer gültig, wenn Kontodaten gespeichert, verarbeitet oder übertragen werden. Kontodaten bestehen aus folgenden Karteninhaberdaten und vertraulichen Authentifizierungsdaten. Zu den Karteninhaberdaten zählen: Zu den vertraulichen Authentifizierungsdaten zählen: Primmäre Kontonummer (Primary Account Number, kurz: PAN) Name des Karteninhabers Ablaufdatum Servicecode Vollständige Magnetstreifendaten oder ähnliches auf einem Chip CAV2/CVC2/CVV2/CID PINs/PIN-Block Die primäre Kontonummer (PAN) stellt den definierenden Faktor in Bezug auf die Anwendbarkeit der PCI-DSS-Anforderungen sowie von PA-DSS dar. Die PCI-DSS Anforderungen gelten, wenn eine primäre Kontonummer (PAN) gespeichert, verarbeitet oder übertragen wird. Wird die PAN nicht gespeichert, verarbeitet oder übertragen, finden PCI-DSS und PA-DSS keine Anwendung. Wenn der Name des Inhabers, der Servicecode und/oder das Ablaufdatum zusammen mit der PAN gespeichert, verarbeitet oder übertragen werden, oder anderweitig innerhalb der Karteninhaberdaten-Umgebung gegenwärtig sind, müssen diese Daten im Sinne der PCI-DSS- Anforderungen geschützt werden, mit Ausnahme der Anforderungen 3.3 und 3.4, die nur bezüglich der PAN Anwendung finden. Der PCI-DSS stellt eine Mindestkontrollrichtlinie dar, die von lokalen, regionalen oder brancheneigenen Gesetzen und Vorschriften erweitert werden kann. Ferner können die gesetzlichen oder regulatorischen Anforderungen spezifische Schutzmaßnahmen personenbezogener Informationen oder anderer Datenelemente (z. B, der Name des Karteninhabers) fordern oder die Offenlegungspraktiken von Verbraucherdaten einer Organisation definieren. Beispiele hierfür sind Gesetzgebungen bezüglich des Schutzes von Verbraucherdaten, Datenschutz, Identitätsdiebstahl oder Datensicherheit. Der PCI-DSS ersetzt keine lokalen oder regionalen Gesetze, behördliche Regulierungen oder andere gesetzliche Bestimmungen. In der folgenden Tabelle aus dem PCI-DSS (Payment Card Industry Data Security Standard) sind häufig verwendete Elemente von Karteninhaberdaten und vertraulichen Authentifizierungsdaten aufgeführt. Außerdem wird angegeben, ob es zulässig oder verboten ist, Daten zu speichern und ob die Daten geschützt werden müssen. Diese Tabelle erhebt keinen Anspruch auf Vollständigkeit, sondern dient dazu, die verschiedenen Arten von Anforderungen darzustellen, die für jedes Datenelement gelten. PCI PA-DSS-Anforderungen und Sicherheitsbeurteilungsverfahren, v2.0 Seite 13

14 Kontodaten Karteninhaberdaten Vertrauliche Authentifizierungsdaten 1 Datenelement Speichern zulässig Machen gespeicherte Kontodaten gemäß der PCI-DSS-Anforderung 3.4 unleserlich. Primäre Kontonummer (PAN) Ja Ja Name des Karteninhabers Ja Nein Servicecode Ja Nein Ablaufdatum Ja Nein Vollständige Magnetstreifendaten 2 Nein Kann gemäß Anforderung 3.2 nicht gespeichert werden CAV2/CVC2/CVV2/CID PIN/PIN-Block Nein Nein Kann gemäß Anforderung 3.2 nicht gespeichert werden Kann gemäß Anforderung 3.2 nicht gespeichert werden Die PCI-DSS-Anforderungen 3.3 und 3.4 finden nur bezüglich der PAN Anwendung. Wenn die PAN zusammen mit anderen Elementen der Karteninhaberdaten gespeichert wird, muss nur die PAN gemäß der PCI-DSS-Anforderung 3.4 unleserlich gemacht werden. Der PCI-DSS gilt nur, wenn PANs gespeichert, verarbeitet und/oder übertragen werden. 1 2 Vertrauliche Authentifizierungsdaten dürfen nach der Autorisierung nicht gespeichert werden (auch wenn sie verschlüsselt wurden). Vollständige Verfolgungsdaten vom Magnetstreifen, gleichwertige Daten auf dem Chip oder einem anderen Speicherort. PCI PA-DSS-Anforderungen und Sicherheitsbeurteilungsverfahren, v2.0 Seite 14

15 Anweisungen und Inhalt für den Validierungsbericht Dieses Dokument soll PA-QSAs als Vorlage zur Erstellung von Validierungsberichten dienen. Alle PA-QSAs müssen hinsichtlich des Berichtinhalts und -formats beim Ausfüllen eines Validierungsberichts die folgenden Anweisungen beachten. Der Validierungsbericht sollte die folgenden Informationen als Vorwort zu den detaillierten Anforderungen und Sicherheitsbeurteilungsverfahren enthalten: 1. Beschreibung des Prüfumfangs Beschreibung des Prüfumfangs mithilfe des Abschnitts Umfang des PA-DSS weiter oben Zeitrahmen der Validierung Zur Bewertung genutzte PA-DSS-Version Liste der geprüften Dokumentation 2. Zusammenfassung für die Geschäftsleitung Nehmen Sie folgende Punkte auf: Produktname Geprüfte Produktversion und verwandte Plattformen Liste der Wiederverkäufer und/oder Integratoren für dieses Produkt Betriebssystem(e), für welche(s) die Zahlungsanwendung getestet wurde Datenbanksoftware, die von der Zahlungsanwendung genutzt oder unterstützt wird Kurze Beschreibung der Zahlungsanwendung/Produktreihe (2 bis 3 Sätze) Netzwerkdiagramm einer typischen Implementierung der Zahlungsanwendung (nicht notwendigerweise eine spezifische Implementierung beim Kunden). Dieses Diagramm sollte im Allgemeinen folgende Punkte beinhalten: - Verbindungen in und aus einem Kundennetzwerk - Komponenten im Kundennetzwerk, einschließlich POS-Geräte, Systeme, Datenbanken und Webserver (falls zutreffend) - Andere erforderliche Zahlungsanwendungen/-komponenten (falls zutreffend) Beschreibung oder Diagramm jedes Teils des Kommunikations-Links, darunter (1) LAN, WAN oder Internet, (2) Host-zu-Host- Softwarekommunikation und der (3) Host, auf dem die Software bereitgestellt wird (erläutern Sie z. B., wie zwei verschiedene Prozesse auf demselben Host miteinander kommunizieren) Ein Datenflussdiagramm, das die Verarbeitung von Karteninhaberdaten, einschließlich Autorisierung, Erfassung, Verrechnung, Ausgleichsbuchungen und anderer Abläufe, darstellt PCI PA-DSS-Anforderungen und Sicherheitsbeurteilungsverfahren, v2.0 Seite 15

16 Eine kurze Beschreibung der Dateien und Tabellen, in denen Karteninhaberdaten gespeichert sind, unterstützt von einem erstellten (oder vom Softwareanbieter abgerufenen) und vom PA-QSA in den Arbeitspapieren verwalteten Bestand. Dieser Bestand sollte für sämtliche Speicherorte von Karteninhaberdaten (Datei, Tabelle usw.) folgende Punkte enthalten: - Liste aller Elemente gespeicherter Karteninhaberdaten - Angabe, wie gespeicherte Daten gesichert werden - Angabe, wie der Zugriff auf Datenspeicher protokolliert wird Eine Liste aller mit der Zahlungsanwendung in Zusammenhang stehenden Softwarekomponenten, inklusive der Anforderungen und Abhängigkeiten von Drittanbieter-Software Eine Beschreibung der End-to-End-Authentifizierungsmethoden der Zahlungsanwendung, inklusive des Mechanismus zur Anwendungsauthentifizierung, der Authentifizierungsdatenbank und Angaben zur Datenspeichersicherheit Eine Beschreibung der Rolle der Zahlungsanwendung in einer typischen Implementierung und Angaben dazu, welche weiteren Arten von Zahlungsanwendungen für eine vollständige Implementierung erforderlich sind Eine Beschreibung der typischen Kunden, an die dieses Produkt verkauft wird (beispielsweise große oder kleine Unternehmen, branchenspezifische Angaben, Internet- oder Ladengeschäfte) und des Kundenstamms des Anbieters (zum Beispiel Marktsegment und Namen von Großkunden) Eine Definition der Versionierungsmethode des Anbieters, in der beschrieben wird, wie der Anbieter größere und kleinere Versionsänderungen mithilfe der Versionsnummern anzeigt, und um festzulegen, welche Arten von Änderungen der Anbieter bei kleinen oder großen Versionsüberarbeitungen vornimmt. 3. Ergebnisse und Beobachtungen Alle PA-QSAs müssen die folgende Vorlage verwenden, um detaillierte Berichtbeschreibungen- und -ergebnisse bereitzustellen Beschreiben Sie durchgeführte Tests, die nicht unter den aufgeführten Tests in der Spalte für Testverfahren enthalten sind. Wenn der Prüfer bestimmt hat, dass eine Anforderung für eine bestimmte Zahlungsanwendung nicht anwendbar ist, muss für diese Anforderung eine Erklärung in der Spalte Impleme angegeben werden. 4. Kontaktinformationen und Berichtsdatum Hinweis: Anhang B: Die Bestätigung der Testlabor- Konfiguration für die PA- DSS-Auswertung muss ebenfalls ausgefüllt und mit dem vollständigen PA- DSS-Bericht eingereicht werden. Kontaktinformationen des Softwareanbieters (URL, Telefonnummer und -Adresse) Kontaktinformationen des PA-QSA (Name, Telefonnummer und -Adresse) Hauptkontaktdaten der PA-QSA-Qualitätssicherung (Name des Hauptverantwortlichen in der Qualitätssicherung, Telefonnummer und -Adresse) Datum des Berichts PCI PA-DSS-Anforderungen und Sicherheitsbeurteilungsverfahren, v2.0 Seite 16

17 PA-DSS-Schritte zur Fertigstellung Dieses Dokument enthält die Tabelle zu den Anforderungen und Sicherheitsbeurteilungsverfahren sowie den Anhang B: Bestätigung der Testlabor-Konfiguration für die PA-DSS-Auswertung. Die Anforderungen und Sicherheitsbeurteilungsverfahren enthalten detaillierte Informationen zu den Vorgehensweisen, die der PA-QSA durchzuführen hat. Anhang B: Bestätigung der Testlabor-Konfiguration für die PA-DSS-Auswertung muss vom PA-QSA ausgefüllt werden, um den Status und die Fähigkeiten des für die Durchführung dieser PA-DSS-Bewertung genutzten Testlabors zu bestätigen. Der PA-QSA muss die folgenden Schritte durchführen: 1. Ausfüllen des Validierungsberichts mithilfe dieses Dokuments als Vorlage: a. Ausfüllen des Vorworts für den Validierungsbericht entsprechend dem Abschnitt Anweisungen und Inhalt für den Validierungsbericht b. Ausfüllen und Dokumentieren aller in den Anforderungen und Sicherheitsbeurteilungsverfahren aufgeführten Schritte, inklusive kurzer Beschreibungen der vorgenommenen Kontrollen in der Spalte Impleme sowie Aufnahme sonstiger Kommentare. Beachten Sie, dass ein Bericht mit -Angaben nicht an den PCI SSC eingereicht werden sollte, bis sämtliche Elemente als Impleme bezeichnet werden. 2. Ausfüllen von Anhang B: Bestätigung der Testlabor-Konfiguration für die PA-DSS-Auswertung. 3. Ausfüllen und Unterzeichnen einer Validierungsbestätigung (sowohl durch den PA-QSA als auch den Softwareanbieter) Die Validierungsbestätigung ist verfügbar auf der PCI-SSC-Website ( 4. Einreichen sämtlicher oben aufgeführter Dokumente nach Fertigstellung an den PCI-SSC, entsprechend dem PA-DSS- Programmleitfaden. PA-DSS-Programmleitfaden Im PA-DSS-Programmleitfaden finden Sie Informationen über das PA-DSS-Programmmanagement, unter anderem mit folgenden Themen: Einreich- und Annahmeverfahren für PA-DSS-Berichte Jährliche Aktualisierung von Zahlungsanwendungen auf der Liste PA-DSS-validierter Anwendungen Übergang von PABP-validierten Anwendungen zur Liste der PA-DSS-validierten Zahlungsanwendungen Verantwortlichkeiten zur Benachrichtigung im Fall, dass eine Zahlungsanwendung sich als fehlerhaft herausstellt. Der PCI SSC behält sich das Recht vor, bei wichtigen Änderungen am PA-DSS und/oder aufgrund festgestellter Verletzungen in einer aufgelisteten Zahlungsanwendung eine Neuvalidierung zu fordern. PCI PA-DSS-Anforderungen und Sicherheitsbeurteilungsverfahren, v2.0 Seite 17

18 PA-DSS-Anforderungen und -Sicherheitsbeurteilungsverfahren PA-DSS-Anforderungen Prüfverfahren Impleme 1. Kein Aufbewahren von vollständigen Magnetstreifendaten, Kartenüberprüfungscodes oder -werten (CAV2, CID, CVC2, CVV2) sowie PIN-Block-Daten 1.1 Kein Speichern vertraulicher Authentifizierungsdaten nach der Autorisierung (auch wenn diese verschlüsselt sind): Vertrauliche Authentifizierungsdaten umfassen die Daten, die in den folgenden Anforderungen bis aufgeführt sind. Hinweise: Durch Verbot einer Speicherung sensibler Authentifizierungsdaten nach der Autorisierung 1.1.a Wenn diese Zahlungsanwendung vertrauliche Authentifizierungsdaten speichert, stellen Sie sicher, dass die Anwendung nur für Kartenemittenten und/oder Unternehmen, die Ausstellungsdienste unterstützen, gedacht ist. 1.1.b Im Falle aller anderen Zahlungsanwendungen, wenn sensible Authentifizierungsdaten (siehe nachfolgend bis 1.1.3) vor der Autorisierung gespeichert und dann gelöscht werden, nutzen und prüfen Sie die Methode zum Löschen der Daten, um sicherzustellen, dass die Daten nicht wiederhergestellt werden können. PCI PA-DSS-Anforderungen und Sicherheitsbeurteilungsverfahren, v2.0 Seite 18

19 PA-DSS-Anforderungen Prüfverfahren Impleme wird davon ausgegangen, dass der Autorisierungsprozess durch die Transaktion abgeschlossen wurde und dass der Kunde die endgültige Transaktionsbestätigung erhalten hat. Nach Ende der Autorisierung dürfen diese sensiblen Authentifizierungsdaten nicht gespeichert werden. 1.1.c Für jedes Element der unten aufgeführten sensiblen Authentifizierungsdaten sind nach Abschluss zahlreicher Testtransaktionen, mit denen sämtliche Funktionen der Zahlungsanwendung geprüft werden, die folgenden Schritte durchzuführen, um die Erzeugung von Fehlerbedingungen und Protokolleinträgen mit einzubeziehen. Kartenemittenten und Unternehmen, die Ausstellungsdienste unterstützen, dürfen vertrauliche Authentifizierungsdaten speichern, wenn dafür eine Begründung vorliegt und die Daten sicher gespeichert werden. Im Sinne der PCI-DSS-Anforderung Speichern Sie nicht den gesamten Inhalt einer Spur auf dem Magnetstreifen (auf der Kartenrückseite, in einem Chip oder an anderer Stelle). Diese Daten werden auch als Full Track, Track, Track 1, Track 2 und Magnetstreifendaten bezeichnet. Hinweis: Beim normalen Geschäftsverlauf müssen evtl. folgende Datenelemente aus dem Magnetstreifen gespeichert werden: Der Name des Kontoinhabers, Primäre Kontonummer (PAN), Ablaufdatum und Servicecode Um das Risiko zu minimieren, speichern Sie nur die für das Geschäft erforderlichen Datenelemente. Im Sinne der PCI-DSS-Anforderung Nutzen Sie forensische Tools und/oder Methoden (kommerziell vertriebene Tools, Skripte usw.) 3, um sämtliche von der Zahlungsanwendung ausgegebenen Informationen zu untersuchen und sicherzustellen, dass der gesamte Inhalt sämtlicher Spuren des Magnetstreifens auf der Kartenrückseite oder gleichwertige Daten auf einem Chip nach der Autorisierung nicht gespeichert werden. Nehmen Sie mindestens die folgenden Dateitypen auf (ebenso wie sämtliche anderen von der Zahlungsanwendung ausgegebenen Informationen): Eingehende Transaktionsdaten Alle Protokolle (z. B. Transaktion, Verlauf, Fehlerbehebung, Fehler) Verlaufsdateien Trace-Dateien flüchtige Arbeitsspeicherdaten inklusive nicht flüchtiger Cache-Inhalte Datenbankschemata Datenbankinhalt 3 Forensisches Werkzeug oder Methode: Ein Werkzeug oder eine Methode zur Erkennung, Analyse und Präsentation forensischer Daten, mit dem bzw. der Hinweise auf Computern schnell und gründlich authentifiziert, durchsucht und wiederhergestellt werden können. Im Fall, dass forensische Werkzeuge oder Methoden von PA-QSAs verwendet werden, sollten diese Werkzeuge oder Methoden jegliche sensiblen Authentifizierungsdaten, die von der PCI PA-DSS-Anforderungen und Sicherheitsbeurteilungsverfahren, v2.0 Seite 19

20 PA-DSS-Anforderungen Speichern Sie nach der Autorisierung nicht den Kartenüberprüfungscode oder -wert (dreioder vierstellige Zahl auf der Vorder- oder Rückseite einer Zahlungskarte), der zur Verifizierung bei Transaktionen verwendet wird, bei denen die Karte nicht physisch vorliegt. Im Sinne der PCI-DSS-Anforderung Prüfverfahren Nutzen Sie forensische Tools und/oder Methoden (kommerziell vertriebene Tools, Skripte usw.), um sämtliche von der Zahlungsanwendung ausgegebenen Informationen zu untersuchen und sicherzustellen, dass der drei- oder vierstellige Kartenüberprüfungscode auf der Kartenvorderseite oder im Unterschriftenfeld (CVV2-, CVC2-, CID-, CAV2-Daten) nach der Autorisierung nicht gespeichert wird. Nehmen Sie mindestens die folgenden Dateitypen auf (ebenso wie sämtliche anderen von der Zahlungsanwendung ausgegebenen Informationen): Eingehende Transaktionsdaten Alle Protokolle (z. B. Transaktion, Verlauf, Fehlerbehebung, Fehler) Verlaufsdateien Trace-Dateien flüchtige Arbeitsspeicherdaten inklusive nicht flüchtiger Cache-Inhalte Datenbankschemata Datenbankinhalt Impleme Zahlungsanwendung geschrieben wurden, präzise lokalisieren können. Bei den Tools kann es sich um kommerziell vertriebene, Open-Source oder intern durch den PA-QSA entwickelte Tools handeln. PCI PA-DSS-Anforderungen und Sicherheitsbeurteilungsverfahren, v2.0 Seite 20

21 PA-DSS-Anforderungen Speichern Sie nach der Autorisierung keine persönlichen Identifizierungsnummern (PIN) oder verschlüsselten PIN-Blocks. Im Sinne der PCI-DSS-Anforderung Prüfverfahren Nutzen Sie forensische Tools und/oder Methoden (kommerziell vertriebene Tools, Skripte usw.) um sämtliche von der Zahlungsanwendung ausgegebenen Informationen zu untersuchen und sicherzustellen, dass PINs und verschlüsselte PIN-Blöcke nach der Autorisierung nicht gespeichert werden. Nehmen Sie mindestens die folgenden Dateitypen auf (ebenso wie sämtliche anderen von der Zahlungsanwendung ausgegebenen Informationen). Eingehende Transaktionsdaten Alle Protokolle (z. B. Transaktion, Verlauf, Fehlerbehebung, Fehler) Verlaufsdateien Trace-Dateien flüchtige Arbeitsspeicherdaten inklusive nicht flüchtiger Cache-Inhalte Datenbankschemata Datenbankinhalt Impleme Löschen Sie sicher sämtliche Magnetstreifendaten, Kartenüberprüfungswerte oder -codes sowie PINs oder PIN-Block-Daten, die von vorherigen Versionen der Zahlungsanwendung gespeichert wurden, in Übereinstimmung mit den branchenweit geltenden Standards für sicheres Löschen, wie sie beispielsweise in der Liste genehmigter Produkte der National Security Agency oder anderen staatlichen oder nationalen Standards oder Regelungen vorgegeben werden. Hinweis: Diese Anforderung gilt nur, wenn vorherige Versionen der Zahlungsanwendung sensible Authentifizierungsdaten speicherten. Im Sinne der PCI-DSS-Anforderung a Überprüfen Sie das vom Anbieter vorbereitete PA- DSS-Implementierungshandbuch, und stellen Sie sicher, dass die folgenden Anweisungen für Kunden und Wiederverkäufer/Integratoren in der Dokumentation enthalten sind: Hinweis, dass Verlaufsdaten entfernt werden müssen (Magnetstreifendaten, Kartenüberprüfungscodes, PINs oder PIN-Blöcke, die von vorherigen Versionen der Zahlungsanwendung gespeichert wurden) Anweisungen zum Löschen von Verlaufsdaten Hinweis, dass das Entfernen für die PCI-DSS- Konformität absolut erforderlich ist b Stellen Sie sicher, dass der Anbieter ein sicheres Tool zum Löschen oder Entfernen der Daten bereitstellt c Stellen Sie mithilfe forensischer Tools und/oder Methoden sicher, dass das Tool bzw. die Verfahrensweise zum sicheren Löschen, das bzw. die vom Anbieter bereitgestellt wurde, Daten auch wirklich entsprechend den Branchenstandards löscht. PCI PA-DSS-Anforderungen und Sicherheitsbeurteilungsverfahren, v2.0 Seite 21

22 PA-DSS-Anforderungen Löschen Sie sicher sämtliche sensiblen Authentifizierungsdaten (Prä- Authentifizierungsdaten), die zum Debuggen oder für Fehlerbehebungszwecke genutzt wurden, aus Protokoll- und Debugging-Dateien und weiteren von Kunden empfangenen Datenquellen, um sicherzugehen, dass Magnetstreifendaten, Kartenüberprüfungscodes oder -werte sowie PINs oder PIN-Block-Daten nicht auf Softwaresystemen beim Anbieter gespeichert werden. Diese Datenquellen dürfen nur in begrenztem Umfang und nur dann gesammelt werden, wenn ein Problem gelöst werden muss. Ferner sind sie während der Speicherung zu verschlüsseln und müssen nach der Verwendung umgehend gelöscht werden. Im Sinne der PCI-DSS-Anforderung 3.2 Prüfverfahren a Untersuchen Sie die Verfahrensweisen des Softwareanbieters bei der Fehlerbehebung beim Kunden, und stellen Sie sicher, dass die Verfahrensweisen folgende Punkte enthalten: Erhebung sensibler Authentifizierungsdaten nur zur Lösung spezifischer Probleme Speicherung dieser Daten an speziellen, bekannten Speicherorten mit eingeschränktem Zugriff Erhebung lediglich begrenzter Datenmengen, die zur Lösung eines spezifischen Problems benötigt werden Verschlüsselung sensibler Authentifizierungsdaten während der Speicherung Sicheres Löschen der Daten unmittelbar nach der Verwendung b Machen Sie eine Stichprobe einer kürzlich erfolgten Fehlerbehebungsanfrage von Kunden, und überprüfen Sie, ob die unter a aufgeführten Punkte eingehalten wurden c Überprüfen Sie das vom Anbieter vorbereitete PA- DSS-Implementierungshandbuch, und stellen Sie sicher, dass die folgenden Anweisungen für Kunden und Wiederverkäufer/Integratoren in der Dokumentation enthalten sind: Erhebung sensibler Authentifizierungsdaten nur zur Lösung spezifischer Probleme Speicherung dieser Daten an speziellen, bekannten Speicherorten mit eingeschränktem Zugriff Erhebung lediglich begrenzter Datenmengen, die zur Lösung eines spezifischen Problems benötigt werden Verschlüsselung sensibler Authentifizierungsdaten während der Speicherung Sicheres Löschen der Daten unmittelbar nach der Verwendung Impleme PCI PA-DSS-Anforderungen und Sicherheitsbeurteilungsverfahren, v2.0 Seite 22

23 PA-DSS-Anforderungen Prüfverfahren Impleme 2. Schutz gespeicherter Karteninhaberdaten 2.1 Der Softwareanbieter muss Kunden Anweisungen zum Entfernen von Karteninhaberdaten nach Ende der vom Kunden festgelegten Aufbewahrungsphase zur Verfügung stellen. Im Sinne der PCI-DSS-Anforderung Maskieren Sie die PAN bei der Anzeige (es dürfen maximal die ersten sechs und die letzten vier Stellen angezeigt werden). Hinweise: Diese Anforderung gilt nicht für Mitarbeiter und andere Parteien, die die vollständige PAN aus rechtmäßigen geschäftlichen Gründen einsehen müssen. Diese Anforderung ersetzt nicht strengere Anforderungen im Hinblick auf die Anzeige von Karteninhaberdaten z. B. für POS- Belege. 2.1 Überprüfen Sie das vom Anbieter vorbereitete PA-DSS- Implementierungshandbuch, und stellen Sie sicher, dass die folgenden Anweisungen für Kunden und Wiederverkäufer/Integratoren in der Dokumentation enthalten sind: Die Anweisung, dass Karteninhaberdaten, die die vom Kunden festgelegte Aufbewahrungsfrist überschritten haben, gelöscht werden müssen; Eine Liste aller Speicherorte, an denen die Zahlungsanwendung Karteninhaberdaten aufbewahrt (sodass der Kunde weiß, wo die zu löschenden Daten sich befinden); Anweisungen zur Konfiguration der zugrunde liegenden Software oder Systeme (z. B. Betriebssysteme, Datenbanken usw.), um einer unbeabsichtigten Erfassung oder Aufbewahrung der Karteninhaberdaten vorzubeugen. Zum Beispiel durch System-Backups oder Wiederherstellungspunkte. 2.2 Überprüfen Sie die Art der Darstellung von Kreditkartendaten, unter anderem auf POS-Geräten, Bildschirmen, in Protokollen und auf Belegen, um sicherzugehen, dass die vollständigen Kreditkartennummern bei der Anzeige von Karteninhaberdaten ausschließlich für diejenigen einsehbar sind, die durch geschäftliche Verbindungen dazu legitimiert sind. Im Sinne der PCI-DSS-Anforderung 3.3 PCI PA-DSS-Anforderungen und Sicherheitsbeurteilungsverfahren, v2.0 Seite 23