Allgemein

PCI-Standard: Anforderungen an Kreditkarten-Transaktionen im Handel

Der Datenmissbrauch im Internet wird in der Politik, Gesellschaft und den Medien momentan weitläufig thematisiert. Besonders beunruhigend sind dabei die Fälle des Diebstahls von Kreditkartendaten und dem damit einhergehenden Missbrauch. Auch Händler, die ihren Kunden die Möglichkeit der Zahlung mit Kreditkarte einräumen, betrifft diese Thematik. Denn Sicherheitslücken im System der Verarbeitung, Speicherung oder Weiterleitung der Kreditkartendaten schaden nicht nur den zahlenden Kunden sondern aufgrund des Vertrauensverlustes auch dem Unternehmen.Die weltweit führenden Kreditkartenunternehmen wie MasterCard, American Express, Visa oder JCB International haben sich im PCI Security Standards Council zusammen geschlossen, um die Sicherheit von Kreditkartendaten bei den Transaktionen zu verbessern und den Schaden, der jährlich durch gestohlene Kreditkartendaten verursacht wird, einzudämmen.

Hierzu haben sie den PCI DSS (Payment Card Industry Data Security Standard) entwickelt. Der PCI ist ein Sicherheitsstandard im Umgang mit sensiblen Kreditkartendaten, der dem Schutz des Zahlungsverkehrs dient. Der Standard enthält verbindliche Regelungen, die sich an alle Händler, Payment-Service-Provider und Acquirer (kreditkartenbetreuende Einrichtung des Händlers) richten, die Kreditkartendaten verarbeiten, speichern oder weiterleiten. Der PCI DSS umfasst 12 Anforderungen:

1. Installation und Wartung einer Firewall-Konfiguration zum Schutz von Karteninhaberdaten.

2. Keine vom Anbieter gelieferten Standardeinstellungen für Systemkennwörter und andere Sicherheitsparameter verwenden.

3. Schutz gespeicherter Karteninhaberdaten.

4. Verschlüsselung bei der Übertragung von Karteninhaberdaten über offene, öffentliche Netze.

5. Verwendung und regelmäßige Aktualisierung von Antivirensoftware.

6. Entwicklung und Wartung sicherer Systeme und Anwendungen.

7. Beschränkung des Zugriffs auf Karteninhaberdaten je nach Geschäftsinformationsbedarf.

8. Zuweisung einer eindeutigen ID für jede Person mit Computerzugriff.

9. Beschränkung des physischen Zugriffs auf Karteninhaberdaten.

10. Verfolgung und Überwachung des gesamten Zugriffs auf Netzwerkressourcen und Karteninhaberdaten.

11. Regelmäßiges Testen der Sicherheitssysteme und -prozesse.

12. Befolgung einer Informationssicherheits-Richtlinie.

Inwiefern ist der PCI-Standard für Händler wichtig?

Grundsätzlich ist jeder Händler (egal ob Online-Handel oder Ladengeschäft), der Umgang mit Kreditkartendaten der Kunden hat, für die Sicherheit der Daten verantwortlich und hat den PCI-Standard zu erfüllen. Durch die Zertifizierung und Einhaltung des PCI-Standards wird der Händler dieser Verantwortung gerecht. Lässt sich der Händler die Einhaltung des PCI-Standards dagegen nicht zertifizieren und werden Kreditkartendaten von Kunden innerhalb des Händler-Systems gestohlen, drohen Strafzahlungen. Nicht zu unterschätzen ist auch der damit einhergehende Image-Verlust.

Wie erfolgt die PCI-Zertifizierung?

Zunächst registriert man sich bei einem entsprechenden Zertifizierungsunternehmen wie z.B. usd oder Acertigo. Dieses wird dann den Händler auf die Umsetzung der PCI-Anforderungen überprüfen und eine Einstufung vornehmen. Die Überprüfung des Händlers erfolgt zum einen durch verschiedene Fragebögen (Self Assessment Questionnaires), die der Händler auszufüllen hat und anschließend vom Zertifizierungsunternehmen ausgewertet werden.

Zum anderen werden sog. Security Scans durchgeführt, die Schwachstellen im System, die die Sicherheit des Kreditkartenverkehrs beeinträchtigen, suchen und analysieren. Das Ergebnis des Security Scans wird dem Händler durch einen Scanreport mitgeteilt. Ist der Scan erfolgreich verlaufen, d.h. es wurden keine Sicherheitslücken im System entdeckt, bekommt der Händler ein PCI-Zertifikat ausgestellt. Wurden jedoch Schwachstellen gefunden, wird der Händler aufgefordert diese zu beheben. Die erfolgreiche Beseitigung der Mängel wird anschließend in einem erneuten Scan überprüft.

Die Händler werden nach dem Umfang der jährlichen Kreditkartentransaktionen von den Kreditkartenunternehmen in verschiedene Kategorien (Level) eingestuft. So haben beispielsweise MasterCard und Visa folgende Regelungen zur Überprüfung der Einhaltung des PCI-Standards festgelegt:

Level 1: Unternehmen mit mehr als sechs Millionen Kartentransaktionen im Jahr und Unternehmen, die in der Vergangenheit bereits Kundendaten verloren haben => 4x pro Jahr muss ein Security Scan und einmal jährlich ein Security Audit (Ortsbegehung mit Besichtigung der Serverräume, Mitarbeitergesprächen etc.) durchgeführt werden.

Level 2: Unternehmen mit ein bis sechs Millionen Kartentransaktionen im Jahr => einmal pro Jahr muss ein Self Assessment und 4x pro Jahr ein Security Scan sowie teilweise einmal jährlich ein Security Audit (Ortsbegehung mit Besichtigung der Serverräume, Mitarbeitergesprächen etc.) durchgeführt werden.

Level 3: Unternehmen mit 20.000 bis 1 Million Kartentransaktionen im Jahr => einmal pro Jahr muss ein Self Assessment und 4x pro Jahr ein Security Scan durchgeführt werden.

Level 4: alle anderen Unternehmen => einmal pro Jahr muss ein Self Assessment und teilweise 4x pro Jahr ein Security Scan durchgeführt werden.

Weitere Informationen zum PCI DSS:

PCI Security Standards Council

TÜV Rheinland

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (Noch keine Bewertungen)