Mobile Payment Applikationen und PCI – Was ist in puncto Sicherheit zu tun?

20. Januar 2016

Häufig werden wir gefragt, ob das PCI Security Standards Council (PCI SSC) konkrete Anforderungen im Umfeld der mobilen Bezahlapplikationen stellt und wenn ja, welche? Hier haben wir daher die wichtigsten Fakten und weiterführende Quellen für Sie zusammengestellt.
Grundsätzlich unterscheidet das PCI SSC die sogenannten Mobile Payment Acceptance Applications in drei Kategorien, für die jeweils Vorgaben festgelegt sind, oder noch durch das PCI SSC erarbeitet werden:
Kategorie 1
Hierunter fallen alle Payment Applikationen, die ausschließlich auf einem PTS*-zertifizierten, mobilen Endgerät laufen.
Kategorie 2
Payment Applikationen, die alle nachfolgenden Kriterien erfüllen:

  1. Die Payment Applikation wird ausschließlich im Bundle mit dem dazugehörigen mobilen Endgerät angeboten
  2. Das darunterliegende, mobile Endgerät ist speziell angefertigt, um ausschließlich die Bezahlfunktion abzubilden
  3. Die Payment Applikation, sobald auf dem im Bundle befindlichen mobilen Endgerät (wie durch einen Payment Application Qualified Security Assessor (PA-QSA) und explizit im Report on Validation (ROV) der Payment Applikation dokumentiert) installiert, stellt eine Umgebung bereit, die dem Händler erlaubt, die Anforderungen des PCI DSS zu erfüllen.

Kategorie 3
Die Payment Applikation läuft auf einem elektronischen Endgerät des Endkunden, zum Beispiel einem Smartphone oder Tablet, das nicht ausschließlich der Abwicklung von Bezahltransaktionen dient.
Welche Anforderungen gelten für die jeweiligen Kategorien?
Mobile Payment Applikationen der Kategorien 1 und 2 unterliegen den Anforderungen des PCI PA-DSS Standards und können als solche zertifiziert werden. Mobile Bezahlapplikationen der Kategorie 3 unterliegen so lange nicht dem PCI PA-DSS Standard, wie keine geeigneten Anleitungen und/oder gesonderte Standards vorhanden sind, die sicherstellen, dass die PCI DSS Compliance des Händlers gegeben ist. Mobile Bezahlapplikationen der Kategorie 3 können zum jetzigen Zeitpunkt also noch nicht einer PCI PA-DSS Zertifizierung unterzogen werden und werden vom PCI SSC als nicht zertifizierungsfähig abgelehnt.
Was sollten Sie in der Zwischenzeit bei Mobilen Payment Applikationen der Kategorie 3 beachten?
Bis dem soweit ist, empfiehlt das PCI SSC Mobile Payment Applikationen der Kategorie 3 auf Basis der Anforderungen des PCI PA-DSS und in Anlehnung an eine PCI DSS Compliance zum Schutz der Kreditkartendaten zu entwickeln. Händler und Service Provider, die eine solche Mobile Payment Applikation in ihrer Kartendatenumgebung einsetzen möchten, müssen diese in den Scope ihrer jährlichen PCI DSS Compliance Überprüfung aufnehmen.
Auf den Seiten des PCI SSC finden Sie rund um Mobile Payment Applikationen außerdem folgende, weiterführende Dokumente:
PA-DSS Zertifizierung von „Apps“
https://www.pcisecuritystandards.org/documents/pa-dss_mobile_apps-faqs.pdf
https://www.pcisecuritystandards.org/documents/which_applications_eligible_for_pa-dss_validation.pdf
Sicherheitsempfehlungen bei Mobile Payments – Händler
https://www.pcisecuritystandards.org/documents/Mobile%20Payment%20Acceptance%20Security%20Guidelines%20for%20Merchants%20v1%201%20.pdf
Sicherheitsempfehlungen bei Mobile Payments – Entwickler
https://www.pcisecuritystandards.org/documents/Mobile%20Payment%20Acceptance%20Security%20Guidelines%20for%20Developers%20v1%201%20.pdf
Mehr Informationen zum PCI PA-DSS Standard selbst finden Sie auf den Seiten des PCI SSC hier. Bei Fragen sprechen Sie uns gerne auch direkt an, unsere PCI DSS und PCI PA-DSS Auditoren helfen Ihnen gerne beratend weiter.
Unser PCI Competence Center ist täglich von 08:00 bis 18:00 Uhr für Sie erreichbar.
Telefon: +49 6102 8631-90
Mail: pci@usd.de

* PCI PTS steht für Payment Card Industry PIN Transaction Security, dem Sicherheitsstandard für PIN-fähige Zahlterminals.

Auch interessant:

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

PCI DSS v4.0: Im März 2024 wurde Version 4.0 des Payment Card Industry Data Security Standard nach einer zweijährigen Übergangsphase verpflichtend. Bereits wenige Monate später erschien mit Version 4.0.1 ein Minor Update des Standards, das zum 01.01.2025 verpflichtend...

mehr lesen

Kategorien

Kategorien