In unserer Miniserie liefern wir Ihnen Wissenswertes zum Payment Card Industry Data Security Standard. Starten Sie gut informiert in Ihre PCI DSS Zertifizierung.
Wann ist ein Unternehmen PCI DSS compliant ?
Ein Unternehmen erreicht PCI DSS Compliance (auch: Konformität), wenn es alle Anforderungen des PCI DSS erfüllt, die für das Unternehmen gelten. Es gibt zwar keine gesetzliche Verpflichtung zur PCI DSS Compliance, dennoch müssen sich alle Unternehmen, die Kreditkartendaten speichern, verarbeiten oder übertragen, an den Standard halten. Einmal jährlich muss ein Unternehmen seine PCI DSS Compliance außerdem formal nachweisen. Hier spricht man auch von einer PCI DSS-Zertifizierung, die jeweils ein Jahr lang gültig ist. Diese Vorgabe kommt von den Kreditkartenorganisationen selbst und wird zunächst über eine Compliance-Verpflichtung von Händlerbanken und Kreditkartenprozessoren gesteuert. Kreditkartenprozessoren sind Dienstleister, die zwischen Händlerbanken (Acquirer) und Banken, die Kreditkarten an Endkunden herausgeben (Issuer), vermitteln, und somit die Verwaltung von Kreditkartentransaktionen übernehmen.
Wer verpflichtet wen?
Kreditkartenprozessoren und Acquirer verpflichten sich gegenüber den Kreditkartenorganisationen vertraglich dazu, dafür zu sorgen, dass ein vereinbarter Mindestprozentsatz ihrer Händlerkunden die PCI DSS Compliance erreicht. Diese Compliance-Quoten müssen sie regelmäßig an die Kreditkartenorganisationen melden. Die Verpflichtung zu Compliance geben die Kreditkartenprozessoren und Acquirer in der Regel über einen Kreditkartenakzeptanzvertrag an ihre Kunden weiter. Die Kunden verpflichten im nächsten Schritt ihre Service Provider, sofern sie welche nutzen, vertraglich dazu, PCI DSS compliant zu arbeiten und ihnen dies durch einen entsprechenden Nachweis zu belegen.
Maßgeblich dafür, ob Sie einen Nachweis über Ihre PCI DSS Compliance erbringen müssen, ist letztendlich also Ihre Vertragssituation mit Ihrem Acquirer und den angebundenen Kreditkartenprozessoren.
PCI DSS Compliance und Auslagerung an Service Provider
Im Sinne von PCI DSS werden als „Service Provider“ Unternehmen bezeichnet, die Dienstleistungen für Händler oder Banken erbringen und hierbei Kreditkartendaten selbst verarbeiten oder Zugriff auf diese Daten haben. Hierzu gehören beispielsweise Netzbetreiber, Dienstleister, die bestimmte Leistungen für Acquirer und Issuer erbringen, Webhosting-Provider für Onlineportale oder IT-Dienstleister für den Betrieb der Server-Infrastruktur und der Unternehmens-Firewall.
Auch Unternehmen, die die gesamte Abwicklung von Kreditkartentransaktionen an einen Service Provider ausgelagert haben, müssen ihre PCI DSS Compliance nachweisen. In der Regel ist der Zertifizierungsumfang für diese Unternehmen jedoch stark reduziert. Mit ihrer Zertifizierung dokumentieren sie, dass der von ihnen gewählte Dienstleister PCI DSS-compliant arbeitet, und dass sie den Compliance-Status des Dienstleisters regelmäßig überprüfen. Die Kreditkartenorganisationen MasterCard und Visa haben unter den folgenden Links eine Liste mit PCI DSS-konformen Dienstleistern im Internet veröffentlicht:
- Visa
https://www.visa.com/splisting/searchGrsp.do - MasterCard
https://www.mastercard.com/globalrisk/en/resources/pci360.html
Alternativ kann ein Unternehmen auch das PCI-Zertifikat eines Dienstleisters direkt von ihm selbst anfordern.
Was sind mögliche Konsequenzen der Nichteinhaltung des PCI DSS?
Im Fall einer Kompromittierung von Kreditkartendaten können die Kreditkartenorganisationen nach eigenem Ermessen einen Acquirer mit massiven Geldstrafen belegen, wenn nachweislich PCI-Compliance-Verletzungen zum Zeitpunkt des Vorfalls vorlagen. Diese Strafen wird der Acquirer höchstwahrscheinlich an seinen Kunden weitergeben, bei dem die Kompromittierung stattgefunden hat. Außerdem ist es wahrscheinlich, dass der Acquirer den Kreditkartenakzeptanzvertrag mit diesem Händler kündigen oder die Transaktionsgebühren signifikant erhöhen wird. Solche Sanktionen können für Unternehmen jeder Größe schnell existenzbedrohlich werden. Darüber hinaus ist ein Unternehmen haftungspflichtig, wenn Kreditkartendaten seiner Kunden gestohlen oder missbraucht werden.
Unternehmen, die die PCI DSS Compliance erreicht haben und nachweislich einhalten, befinden sich hingegen im Schutz der sogenannten „Safe-Harbor Rule“. Im Falle eines Datendiebstahls bzw. ‑missbrauchs können diese Unternehmen nach Analyse durch einen Forensiker mit einer teilweisen oder vollständigen Befreiung von Geldstrafen seitens der Kreditkartenorganisationen bzw. des Acquirers rechnen.
Weitere Informationen zum PCI DSS finden Sie hier. Haben Sie Fragen oder benötigen Sie Unterstützung bei Ihrem PCI-Compliance-Projekt? Kontaktieren Sie uns, wir helfen Ihnen gerne weiter.