Was ist PCI-Konformität und muss ich PCI-konform sein?

PCI-Compliance: Was ist das?

Kreditkartenunternehmen müssen sich an die PCI-Compliance halten, um die Sicherheit von Kreditkartentransaktionen im Finanzsystem zu schützen. Die Compliance der Zahlungskartenindustrie bezieht sich auf die technischen und betrieblichen Anforderungen von Unternehmen zum Schutz und zur Aufbewahrung von Karteninhaberdaten, die während der Kartenverarbeitungsvorgänge bereitgestellt werden. Das PCI Security Standards Council entwickelt und verwaltet PCI-Compliance-Standards.

PCI-Compliance verstehen

Die Kreditkartenverarbeitung wird von der Federal Trade Commission (FTC) reguliert, da sie unter Verbraucherschutz und -regulierung fällt. Obwohl es keinen gesetzlichen Zwang zur PCI-Compliance gibt, wird sie nach Präzedenzfällen als erforderlich angesehen.

Die PCI-Compliance ist im Allgemeinen eine entscheidende Komponente des Sicherheitsprozesses jedes Kreditkartenunternehmens. Kreditkartenunternehmen verlangen es oft und es wird in Kreditkarten-Netzwerkvereinbarungen erwähnt.

Das PCI Requirements Council ist für die Entwicklung von PCI-Compliance-Standards verantwortlich. Diese Standards gelten für die Verarbeitung durch Händler und wurden um Anforderungen für verschlüsselte Internettransaktionen erweitert. Weitere wichtige Institutionen, die am Standardsetzungsprozess der Kreditkartenbranche beteiligt sind, sind das Card Association Network und das National Automated Clearing House (NACHA).

Was ist, wenn ich nicht PCI-konform bin?

Obwohl die PCI-Compliance obligatorisch ist, fragen sich einige Firmeninhaber, ob sie die Standards umgehen können – dies ist eine unethische und möglicherweise katastrophale Idee. Wenn Sie nicht PCI-konform sind, riskieren Sie die Sicherheit Ihrer Kunden und Ihres Unternehmens. Ohne die Sicherheitsvorkehrungen der PCI-Compliance kann Ihr Unternehmen teuren Angriffen und Datenschutzverletzungen ausgesetzt sein.

Wenn ein Datenschutzverstoß auftritt und Ihr Unternehmen nicht PCI-konform ist, können Ihnen Strafen und Bußgelder in Höhe von 5.000 bis 500.000 US-Dollar auferlegt werden. Strafen sind jedoch nur der Anfang des Schadens, der durch Nichteinhaltung verursacht wird. Wenn Sie nicht PCI-konform sind, riskieren Sie den Verlust Ihres Händlerkontos, was Sie daran hindern würde, Kreditkartenzahlungen insgesamt zu akzeptieren. Darüber hinaus kann Ihr Unternehmen in die MATCH-Liste (Member Alert to Control High-Risk Merchants) aufgenommen werden, wodurch Sie für viele Jahre nicht berechtigt sind, ein neues Händlerkonto einzurichten.

Darüber hinaus kann eine Datenschutzverletzung zu Schäden in Höhe von Tausenden von Dollar, einem Verlust des Respekts und Vertrauens der Verbraucher und einem Verlust Ihrer Marke führen. Aufgrund der Vielzahl von Sanktionen, die mit einer Nicht-PCI-Compliance verbunden sind, ist es immer ratsam, so vollständig wie möglich konform zu sein, um kostspielige Bußgelder und andere Schäden zu vermeiden.

Was sind die 12 Anforderungen für die PCI DSS-Konformität?

Installieren und warten Sie Firewalls

Firewalls verweigern externen oder unbekannten Organisationen effektiv den Zugriff auf private Daten. Diese Vorsichtsmaßnahmen sind oft der erste Schutz vor Hackern (bösartig oder anderweitig). Aufgrund ihrer Fähigkeit, unbefugten Zugriff zu verhindern, sind Firewalls für die PCI-DSS-Konformität erforderlich.

Effektiver Passwortschutz

Router, Modems, Point-of-Sale (POS)-Systeme und andere Produkte von Drittanbietern enthalten oft generische Passwörter und Sicherheitsmechanismen, die für die breite Öffentlichkeit leicht zugänglich sind. Unternehmen versäumen es oft, diese Schwachstellen zu schützen. Die Aufrechterhaltung der Compliance in diesem Bereich beinhaltet das Führen einer Liste aller passwortgeschützten Geräte und Anwendungen (oder anderer Sicherheitsmaßnahmen für den Zugriff). Mit einer Geräte-/Passwort-Inventarisierung sollten wesentliche Schutzmaßnahmen und Einstellungen (z. B. Ändern des Passworts) durchgeführt werden.

Schützen Sie die Daten des Karteninhabers

Die dritte PCI-DSS-Compliance-Verpflichtung besteht darin, Karteninhaberdaten auf zwei Arten zu sichern. Karteninhaberdaten müssen mit einem bestimmten Algorithmus verschlüsselt werden. Diese Verschlüsselungen werden mithilfe von Verschlüsselungsschlüsseln implementiert, die ebenfalls zu Compliance-Zwecken verschlüsselt werden müssen. Das regelmäßige Pflegen und Scannen von Primärkontonummern (PAN) ist notwendig, um sicherzustellen, dass keine unverschlüsselten Daten vorhanden sind.

Übertragene Daten verschlüsseln

Karteninhaberdaten werden über verschiedene herkömmliche Wege gesendet (z. B. Zahlungsabwickler, Heimbüros von örtlichen Geschäften usw.). Wenn diese Daten an diese bekannten Ziele übertragen werden, müssen sie verschlüsselt werden. Außerdem sollten Kontonummern niemals an unbekannte Websites weitergegeben werden.

Verwenden und pflegen Sie Anti-Virus

Außerhalb der PCI-DSS-Compliance ist die Verwendung von Antivirensoftware eine intelligente Vorgehensweise. Auf allen Geräten, die mit PAN interagieren und diese speichern, muss jedoch eine Antivirensoftware installiert sein. Diese Software sollte regelmäßig gepatcht und aktualisiert werden. Darüber hinaus sollte Ihr Point-of-Sale-Lieferant einen Virenschutz in Bereichen einsetzen, in denen er nicht direkt eingesetzt werden kann.

Aktualisierte Software

Firewalls und Antivirensoftware müssen regelmäßig aktualisiert werden. Darüber hinaus ist es ratsam, die gesamte Software in einem Unternehmen auf dem neuesten Stand zu halten. Die meisten Softwareprogramme integrieren Sicherheitsmaßnahmen wie Patches zur Behebung neu identifizierter Schwachstellen als Teil ihrer Updates und bieten so eine zusätzliche Schutzebene. Diese Upgrades sind für jede Software von Bedeutung, die auf Geräten ausgeführt wird, die mit Karteninhaberdaten interagieren oder diese speichern.

Beschränken Sie den Zugriff auf Daten

Karteninhaberinformationen müssen strikt „need to know“ sein. Allen Mitarbeitern, Führungskräften und Dritten, die diese Informationen nicht benötigen, sollte der Zugriff verweigert werden. Die Verantwortlichkeiten, die sensible Daten benötigen, sollten gut dokumentiert und regelmäßig aktualisiert werden, wie es PCI DSS erfordert.

Eindeutige Zugangscodes

Mitarbeiter, die Zugriff auf Karteninhaberdaten haben, sollten identifiziert werden und jeder hat seine eigenen Zugangsdaten. Beispielsweise sollte der Zugriff auf die verschlüsselten Daten nicht über eine einzige Anmeldung erfolgen, bei der mehrere Mitarbeiter den Benutzernamen und das Passwort kennen. Eindeutige Identifikatoren reduzieren die Anfälligkeit und sorgen für eine schnellere Reaktionszeit, wenn Daten kompromittiert werden.

Beschränken Sie den Zugriff auf physischer Ebene

Alle Daten über Karteninhaber müssen physisch in einem sicheren Bereich gespeichert werden. Physisch geschriebene oder getippte Daten und digital gespeicherte Daten (z. B. auf einer Festplatte) sollten in einem sicheren Raum, einer Schublade oder einem Schrank gesichert werden. Der Zugriff sollte nicht nur eingeschränkt werden, sondern wenn auf sensible Daten zugegriffen wird, sollte eine Aufzeichnung geführt werden, um die Einhaltung zu gewährleisten.

Zugriffsprotokolle verwalten

Alle Transaktionen mit Karteninhaberdaten und primären Kontonummern (PANs) müssen aufgezeichnet werden. Das vielleicht am weitesten verbreitete Problem bei Verstößen ist ein Mangel an ausreichender Aufzeichnung und Dokumentation für den Zugriff auf sensible Daten. Compliance erfordert die Nachverfolgung des Datenflusses, der in Ihr Unternehmen gelangt, sowie die Häufigkeit, mit der ein Zugriff erforderlich ist. Darüber hinaus sind Softwaretools erforderlich, die den Zugriff verfolgen, um die Genauigkeit zu gewährleisten.

Schwachstellen scannen und testen

Jedes der vorstehenden zehn Konformitätskriterien erfordert die Verwendung vieler Softwareprodukte, physischer Standorte und Mitarbeiter. Zahlreiche Elemente funktionieren möglicherweise nicht richtig, veralten oder unterliegen menschlichen Fehlern. Wir können diese Risiken mindern, indem wir die PCI-DSS-Kriterien für regelmäßige Scans und Schwachstellentests einhalten.

Richtlinien zu Dokumenten

Die Einhaltung erfordert eine Dokumentation der Ausrüstung, Software und Mitarbeiter, die Zugang haben. Darüber hinaus müssen Aufzeichnungen über den Zugriff auf Karteninhaberdaten dokumentiert werden. Es muss auch aufgezeichnet werden, wie Informationen in Ihr Unternehmen gelangen, wo sie aufbewahrt und über die Verkaufsstelle hinaus verwendet werden.

Vorteile der PCI-Konformität

Zu den Compliance-Vorteilen zählen ein verringertes Risiko von Datenschutzverletzungen, der Schutz von Karteninhaberdaten und die Vermeidung von Identitätsdiebstahl. Compliance ist eine bewährte Methode für Unternehmen, da sie Strafen im Zusammenhang mit Datenschutzverletzungen minimiert, dem Markenruf eines Unternehmens zugute kommt und sicherstellt, dass die Verbraucher zufrieden und zuversichtlich sind, dass sie mit einem verantwortungsbewussten Unternehmen Geschäfte machen, was zu Markentreue führt.

Alle Unternehmen, die Kreditkarteninformationen akzeptieren, sind im Rahmen ihrer Kartenverarbeitungsvereinbarungen verpflichtet, die PCI-Konformität aufrechtzuerhalten. PCI-Compliance ist der Industriestandard, und Unternehmen, die sich nicht daran halten, riskieren erhebliche Strafen für Vertragsverletzungen und Fahrlässigkeit. Unternehmen, die nicht PCI-konform sind, sind außerdem Diebstahl, Betrug und Datenschutzverletzungen stark ausgesetzt.

Bei Fixed.net empfehlen wir dringend, niemals Kartendaten anzufassen. Das heißt, verwenden Sie einen Anbieter wie Stripe oder Braintree, bei dem die Kartendaten tokenisiert werden. Kartendaten werden nicht von Ihnen gespeichert und sind für Sie nicht einmal sichtbar . Ein Kunde gibt die Details über ein eingebettetes Widget von der Website des Zahlungsanbieters ein.

PCI-Konformität und WordPress

WordPress ist Open-Source-Software und hat kein integriertes Zahlungssystem. Stattdessen werden Zahlungssysteme mit Plugins wie WooCommerce gebündelt. Diese Plugins haben normalerweise die Fähigkeit, Gateways von Drittanbietern wie Stripe zuzuordnen. Wenn Sie sich für ein Gateway entscheiden, bei dem Sie die Kartendaten nicht anfassen, müssen Sie nicht PCI-konform sein.

PCI-Konformität und WooCommerce

WooCommerce wird mit einer Reihe gebündelter Zahlungsoptionen geliefert und Sie können es mit Plugins von Drittanbietern erweitern. Wir gehen in verschiedenen anderen Leitfäden in diesem Blog auf Zahlungsoptionen ein. Die überwiegende Mehrheit der Fixed-Abonnenten neigt jedoch dazu, eine Kombination aus Stripe und PayPal zu verwenden.