Information. Produktcharakteristik. Payment Card Industry Data Security Standard. Stand: 07/2015 Postbank P.O.S. Transact GmbH

Transkript

1 Postbank P.O.S. Transact GmbH (nun EVO Kartenakzeptanz GmbH) ist kürzlich von der EVO Payments International Group erworben worden Produktcharakteristik VISA und MasterCard haben unter dem Namen VISA-AIS und Mastercard-SDP verpflichtende ITSecurity Richtlinien erlassen. Im Dezember 2004 wurden diese IT-Security Richtlinien von VISA und MasterCard unter dem Begriff Payment Card Industry (PCI) Data Security Standard (DSS) zusammengeführt. PCI DSS soll den Diebstahl und den Missbrauch von Kartendaten aus IT-Systemen und deren Folgeschäden verhindern und die Kartenzahlung sicherer machen. PCI DSS schreibt technische und organisatorische Maßnahmen zur Sicherstellung der IT Security entsprechend den Transaktionsvolumen vor. Hiervon betroffen sind alle Händler, Payment Service Provider, Processoren und Acquirer, die in der Regel Kartendaten speichern oder Zugang zu solchen haben. Je nach Menge der jährlichen Transaktionen muss ein Händler mehrere Schritte zur Zertifizierung durchlaufen. Die Zertifizierung wird durch akkreditierte IT-Dienstleister vorgenommen. Im Falle der Postbank ist dies die usd AG ( Die Regularien der Kreditkartenorganisationen fordern von Händlern gegenüber ihren Acquirern nachzuweisen, dass sie angemessene technische und organisatorische Sicherheitsmaßnahmen getroffen haben, die eine Kompromittierung von Kartendaten wirksam verhindern. PCI DSS richtet sich dementsprechend an Händler, die Kartendaten speichern oder lokal verarbeiten. Händler, die sich eines Payment Service Providers bzw. einer Data Storage Entity bedienen, sind von der Umsetzung NICHT betroffen, müssen sich jedoch registrieren. Der Nachweis wird in einem oder mehreren Schritten erbracht: 1. Der Händler nimmt eine erste Bewertung seiner Sicherheitsmaßnahmen anhand eines Online- Fragebogens vor (Self-Assessment Questionnaire, SAQ), der nach der Registrierung auf der PCI DSS Plattform der Postbank P.O.S Transact GmbH zugreifbar ist. Der Fragebogen muss jährlich neu ausgefüllt werden. 2. Es wird ein Network Scan der Schnittstellen durchgeführt. Ziel ist es, evtl. Schwächen in der Netzwerk-Infrastruktur des Händlers aufzudecken, die durch Hacker für Angriffe ausgenutzt werden könnten. 3. PCI DSS sieht darüber hinaus für Händler mit mehr als Transaktionen p.a., bei denen zusätzlich ein hohes Risiko für eine Kompromittierung von Kartendaten vorliegt, zusätzlich ein On-Site Review vor. 1

2 Die nachfolgende Tabelle gibt einen Überblick über die Abhängigkeit der durchzuführenden Sicherheitsbewertungen von der Zahl der Transaktionen: Kategorie Händler Self Assessment Security Scan Security Audit Level 1 4 x pro Jahr 1 x pro Jahr Level 2 1 x pro Jahr 4 x pro Jahr 1 x pro Jahr * Level 3 1 x pro Jahr 4 x pro Jahr Level 4 1 x pro Jahr 4 x pro Jahr * Anforderung gilt für MasterCard Der Einstufung von Händlern gemäß MasterCard 1 und Visa 2 liegen folgende Kriterien zu Grunde: Level 1: alle Händler, unabhängig vom Vertriebsweg (POS, MOTO oder E-Commerce), die mehr als 6 Millionen Transaktionen mit MasterCard- oder Visa-Karten pro Jahr abwickeln; alle Händler, die Opfer eines Angriffs und einer Kompromittierung geworden sind; alle Händler, die mit einer anderen Kreditkartenmarke in die Kategorie Level 1 fallen; alle Händler, die nach dem Ermessen von MasterCard oder Visa zur Minderung des Risikos für die Zahlungssysteme in diese Kategorie eingestuft werden. Level 2: alle Händler, unabhängig vom Vertriebsweg (POS, MOTO oder E-Commerce), die zwischen 1 Million und 6 Millionen Transaktionen mit MasterCard- oder Visa-Karten abwickeln; alle Händler, die mit einer anderen Kreditkartenmarke in die Kategorie Level 2 fallen. Level 3: alle Händler, die zwischen und 1 Million Transaktionen mit MasterCard- oder Visa-Karten abwickeln; alle Händler, die mit einer anderen Kreditkartenmarke in die Kategorie Level 3 fallen. Level 4: alle Händler, die weniger als Transaktionen mit MasterCard- oder Visa-Karten abwickeln und nicht in eine der Kategorien Level 1, 2 oder 3 eingestuft sind MasterCard und Visa schreiben für Händler der Kategorien Level 1 bis 3 die Erbringung des Nachweises über die Umsetzung der PCI Standards, Version 1.2, vor. 1 gemäß MasterCard Global Security Bulletin No. 1, 14 January gemäß Visa Member Letter EU 06/05, 2 February

3 Allgemeine Produktfragen Vorfall aufzeigen, dass das Sicherheitsniveau des Händlers den Standards der Kartenorganisationen entspricht. 1. Wozu dient das Programm PCI DSS? Dieser Standard dient der Datensicherheit bei der Abwicklung von Kartenzahlungen. In den letzten drei Jahren berichten die Kartenorganisationen von rund 100 Vorfällen, in denen Daten von ca Karteninhabern bei Einbruchsversuchen über das Internet gestohlen und teilweise später betrügerisch eingesetzt wurden (Datenkompromittierung). Die Folgeschäden dieser Vorfälle betreffen alle an der Kartenabwicklung beteiligten Partner wie z.b. Issuer (kartenausgebende Bank), Händler, aber auch die Marken VISA und MasterCard selbst. Der Standard soll die Datensicherheit bei Händlern und Acquirern (kartenakzeptierende Bank) erhöhen, um Hacker-Angriffen vorzubeugen. 2. Werden alle Acquirer ihre Händler gemäß der Regularien und Richtlinien der Kreditkartenorganisationen zertifizieren lassen? Die Zertifizierung wird von den Kreditkartenorganisationen vorgeschrieben und ist daher weltweit für alle Acquirer und deren Händler verpflichtend. 3. Warum sollte ich als Händler die Zertifizierung durchführen lassen? Händler haften für Schäden, die ein Diebstahl vertraulicher Kartendaten aus ihrem Verantwortungsbereich verursacht. Mit Hilfe der Sicherheitszertifikate lässt sich nach einem solchen 4. Warum bin ich als Händler verpflichtet, an der Zertifizierung teilzunehmen? Für Händler ergibt sich aus den Regularien der Kreditkartenorganisationen sowie aus dem Händlervertrag mit der Postbank eine Pflicht zur Teilnahme an den Sicherheitsprogrammen der Kartenorganisationen. 5. Was geschieht, wenn sich Händler weigern, die Zertifizierung durchzuführen? Eine Weigerung an der Teilnahme ist eine ernste Verletzung der Verpflichtungen aus dem Händlervertrag, die eine außerordentliche Kündigung nach sich ziehen kann. 6. Was passiert mit Händlern, die Anforderungen zur Zertifizierung im Rahmen des Assessments nicht direkt erfüllen? Im Rahmen des Self-Assessment Questionnaire werden zunächst mögliche Mängel identifiziert. Dem Händler werden im Nachgang geeignete Maßnahmen zur Behebung der Mängel vorgeschlagen, und ein Zeitfenster für die Nachbesserung wird definiert. Der Händler sollte die Mängel im geplanten Zeitfenster beheben. Bei geringen Mängeln wird die Nachbesserung in die Verantwortung des Händlers gelegt. Bei gravierenden Mängeln ist eine erneute Prüfung im Anschluss an die Nachbesserung erforderlich. 3

4 Informationen zum Prozess der Zertifizierung 4. In meinen Systemen werden keinerlei vertrauliche Kartendaten verarbeitet oder gespeichert. Muss ich mich trotzdem zertifizieren lassen? 1. Was muss ich als Erstes tun? Alle Händler, Payment Service Provider oder sonstige Unternehmen müssen sich auf der PCI DSS Plattform der Postbank P.O.S Transact GmbH mit einem einfachen Registrierungsformular registrieren lassen. Aus dieser Registrierung ergeben sich alle weiteren Schritte. Wenn die Kartendaten ausschließlich durch einen Service Provider verarbeitet und gespeichert werden, ist für den Händler in der Regel nach der Registrierung der Zertifizierungsprozess abgeschlossen. 5. Welche Teilprüfungen können für Händler im Rahmen der eigentlichen Zertifizierung anfallen? 2. Wozu dient die Registrierung? Die Registrierung dient der Einstufung der Händler und Service Provider nach Größe (siehe Tabelle Seite 2) und dem daraus abgeleiteten Risikopotenzial. Je nach Größe eines Händlers sind unterschiedliche Vorgaben der Kartenorganisationen für den Zertifizierungsprozess zu berücksichtigen. Dadurch werden die Aufwände für die Zertifizierung dem Risiko des Händlers angepasst. Nach Abschluss der Registrierung ist bekannt, welche Prüfungsschritte ein Händler durchführen muss, um für die von ihm akzeptierten Kartentypen zertifiziert zu werden. 3. Wie aufwändig ist die Registrierung? Die Zertifizierung kann abhängig vom Geschäftsprozess und dem Risikoprofil des Händlers maximal aus vier Teilprüfungen bestehen: Registrierung Ausfüllen des Online-Fragebogens zur Selbsteinschätzung (Self-Assessment Questionnaire) Kontrollierte Überprüfung der Internetanbindung des Händlers mit Hilfe spezieller Werkzeuge über das Internet (non-intrusive security scan) Durchführung einer Vor-Ort-Untersuchung beim Händler (On-Site Review) Die Registrierung besteht aus einem kompakten Online- Formular. Die Bearbeitung dauert ca. 10 Minuten. 4

5 6. Wie lange dauert eine Zertifizierung? 9. Kann der Zeitpunkt der Scans abgesprochen werden? Die Dauer der Zertifizierung hängt von den Gegebenheiten bzw. der technischen Infrastruktur und der Größe des Händlers ab. Die Registrierung dauert ca. zehn Minuten, das Ausfüllen des Fragebogens zur Datensicherheit erfordert einen Zeitaufwand von zirka einer Stunde. Zeit- und Aktionsplan für die Durchführung der Scans wird in Abstimmung mit dem Auftraggeber erstellt. 10. Wird durch den Scan ein Einbruchsversuch auf meinen Systemen vorgenommen? 7. Kann es sein, dass ich die Anforderungen der Zertifizierung für die eine Kartenorganisation bereits erfülle, für die andere aber noch nicht? Ja, denn aufgrund der unterschiedlichen Kriterien und Prüfungsvorgaben kann ein weitergehender Prüfungsschritt nur für eine der beiden Kartenorganisationen erforderlich sein. In diesem Fall erhält der Händler bereits das Zertifikat für die Marke, deren Anforderungen erfüllt sind. Bei der durch die usd AG angewandten Scan-Methode wird nicht versucht, in das Zielsystem einzudringen, sondern nur die Information gesammelt, die zum Eindringen auf das Zielsystem benötigt würde (non-intrusive Scan). 11. Wieviel Zeit hat der Händler wenn Nachbesserungsmaßnahmen erforderlich sein sollten? 8. Woraus besteht die Überprüfung meiner Systeme über das Internet? Sofern die Prüfung Sicherheitsdefizite in den Systemen aufdeckt, sollte der Händler im eigenen Interesse Nachbesserungen unverzüglich umsetzen. Unser Kooperationspartner usd AG oder ein anderer zugelassener Approved Scanning Vendor (ASV) untersucht, ob Architektur oder Konfiguration der Internet-Anbindung Schwachstellen aufweist, die ein Angreifer für die Vorbereitung und Durchführung von Einbrüchen nutzen kann. Das System wird dabei aus dem Internet mit Hilfe von Security- Scannern und manueller Analysen auf mögliche Schwächen hin untersucht. Bei Rückfragen zum Postbank Servicevertrag zur Kartenakzeptanz wenden Sie sich bitte an: Postbank Service Kartenakzeptanz Nürnberg Tel.: Fax: