PCI FAQ

Fragen & Antworten zum Standard

Nicht bearbeiten!

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Was ist der PCI DSS?

Die PCI Data Security Standards (PCI DSS) sind aus Sicherheitsstandards von VISA und MasterCard hervorgegangen und mittlerweile von allen namhaften Kreditkartenorganisationen als verbindlich anerkannt. Sie definieren spezifische Anforderungen für die verschiedenen Bereiche der Speicherung, Verarbeitung und Übermittlung von Karteninhaberdaten, um den sorgfältigen und geschützten Umgang mit Kreditkartendaten sicherzustellen. Diese Anforderungen gelten für Händler, Service Provider, Softwareanbieter von Payment Applikationen, Acquirer und Prozessoren. Weitere Informationen finden Sie beim PCI Security Standards Council

Welche Ziele verfolgen die Sicherheitsanforderungen des Standards?

Der Standard umfasst Sicherheitsanforderungen, die folgende Ziele verfolgen:

  1. Einrichtung und Betrieb eines geschützten Netzwerks
  2. Schutz von aufbewahrten und übermittelten Karteninhaberdaten
  3. Einrichtung und Betrieb eines Schwachstellen-Management-Systems
  4. Umsetzung effektiver Richtlinien zur Zugriffskontrolle
  5. Regelmäßige Überwachung und Überprüfung der IT-Infrastruktur
  6. Formulierung und Durchsetzung einer Richtlinie zur Informationssicherheit
Welche Anforderungen stellt der PCI DSS?

PCI DSS umfasst zwölf Sicherheitsanforderungen. Als PCI-konform gelten Organisationen, die folgende Vorgaben einhalten:

 

  1. Installation und Wartung einer Firewall-Konfiguration zum Schutz von Karteninhaberdaten
  2. Änderung der von Herstellern vorgegebenen Standardpasswörter und Sicherheitseinstellungen
  3. Schutz gespeicherter Kreditkarteninhaberdaten
  4. Verschlüsselte Übertragung der Daten von Kreditkarteninhabern in öffentlichen Netzwerken
  5. Verwendung und regelmäßige Aktualisierung von Antivirensoftware
  6. Entwicklung und Verwendung sicherer Systeme und Anwendungen
  7. Beschränkung des Zugriffs auf Karteninhaberdaten je nach Geschäftsinformationsbedarf
  8. Zuweisung einer eindeutigen ID für jede Person mit Computerzugriff
  9. Einschränkung des physikalischen Zugriffs auf Karteninhaberdaten
  10. Protokollierung und Überwachung aller Zugriffe auf Netzwerk-Ressourcen und Daten von Kreditkarteninhabern
  11. Regelmäßige Überprüfung von Sicherheitssystemen und –abläufen
  12. Einrichtung einer Unternehmensrichtlinie mit Vorgaben zur Informationssicherheit für Mitarbeiter und Vertragspartner
Wer ist an die Einhaltung des PCI DSS gebunden?

Jedes Unternehmen, das Kreditkartenzahlung akzeptiert, muss sich an die Sicherheitsvorgaben der Kreditkartenorganisationen und somit des PCI DSS halten. Dabei sind die Größe des Unternehmens und die Anzahl der Kreditkartentransaktionen pro Jahr unerheblich für die Nachweispflicht des Unternehmens.

Warum muss ich den Nachweis der Kreditkartensicherheit (PCI DSS) einhalten?

Ihr Unternehmen bietet Kreditkartenzahlung an und muss deshalb den PCI DSS nachweislich erfüllen. Daher hat Ihr Acquirer Sie kontaktiert, den Compliance Nachweis zu erbringen.

Wann speichere, verarbeite oder leite ich Kreditkartendaten weiter?

Sie speichern, verarbeiten oder übertragen Kreditkartendaten, wenn Sie vollständige Nummern oder Gültigkeitsdaten von Kreditkarten Ihrer Kunden auf Ihren IT-Systemen empfangen, um sie zu speichern oder an Dritte weiterzuleiten. Die zeitliche Dauer der Verarbeitung (kurzfrisitge oder langfristige Speicherung, Verarbeitung oder Weiterleitung) sowie die Verschlüsselung der Daten spielt dabei keine Rolle. Entscheidend ist der Empfang von kundenspezifischen Kreditkartendaten auf Ihren IT-Systemen. Nur, wenn Sie ausschließlich trunkierte (gekürzte) Kreditkartendaten speichern, verarbeiten oder weiterleiten, müssen Sie sich nicht nach dem PCI Data Security Standard zertifizieren lassen.

Wie erbringe ich den PCI DSS Nachweis?
Das ist abhängig davon, wie Ihr Unternehmen Kreditkartendaten verarbeitet und in welchem Umfang Sie Transaktionen durchführen. Nachweise können je nach Einstufung Ihres Unternehmens in Form von:

– einem jährlichen Onsite Audit (Vor-Ort-Audit) durch einen offiziell vom PCI Security Standards Council zugelassenen Qualified Security Assessor (QSA)

– einem jährlich auszufüllenden Selbstauskunftsfragebogen (SAQ – Self Assessment Questionnaire)
erfolgen.

Die Einstufung des Merchants und/oder Service Providers erfolgt gemäß den Vorgaben der Kreditkartenorganisationen. Ein wesentlicher Faktor zur Einstufung ist das jährliche Transaktionsvolumen. Detaillierte Informationen finden Sie hier: MasterCard / VISA / American Express

Nach welchen Vorgaben erfolgt die Einstufung eines Merchants und/oder Service Providers?
Die Einstufung des Merchants und/oder Service Providers erfolgt gemäß den Vorgaben der Kreditkartenorganisationen. Ein wesentlicher Faktor zur Einstufung ist das jährliche Transaktionsvolumen. Detaillierte Informationen finden Sie hier: MasterCard / VISA / American Express
Welche Kreditkartenorganisationen akzeptieren eine Zertifizierung nach dem PCI Data Security Standard?

Fast alle großen Kartenorganisationen wie VISA, MasterCard, American Express, JCB, Discover, China Union Pay akzeptieren eine Zertifizierung nach dem PCI Data Security Standard.

Was bedeutet compliant?

Unternehmen, die alle für sie relevanten Sicherheitsanforderungen des PCI DSS erfüllen, sind PCI DSS compliant.

 

Damit befinden diese Unternehmen sich im Schutz der sogenannten „Safe-Harbour Rule“, solange sie die Anforderungen nachweislich einhalten. Somit kann im Falle eines Datendiebstahls bzw. -missbrauchs nach Analyse durch einen Forensiker das Unternehmen mit einer teilweisen oder vollständigen Befreiung von Geldstrafen seitens der Kreditkartenorganisationen bzw. des Acquirers rechnen.

Nicht bearbeiten!

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Welche Konsequenzen drohen bei Nichteinhaltung des PCI DSS?

Ihr Unternehmen kann seitens der Kreditkartenorganisationen bzw. vom Acquirer (Händlerbank) mit Geldstrafen belegt werden. Des Weiteren ist Ihr Unternehmen haftungspflichtig, wenn Kreditkartendaten Ihrer Kunden gestohlen oder missbraucht werden.

Welche Vorteile hat die Umsetzung des PCI DSS?

Der PCI DSS mit seinen verbindlichen Regeln für mehr IT-Sicherheit soll der Betrugskriminalität einen Riegel vorschieben. Durch verstärkte Schutzmaßnahmen bei der Verarbeitung von Zahlungskartendaten gemäß PCI entstehen Ihnen vor allem folgende Vorteile:

 

  • Erhöhte Datensicherheit und Schutz Ihrer Kunden
  • Gesteigertes Kundenvertrauen und somit ggf. Steigerung des Kreditkarteneinsatzes und –umsatzes
  • Größere Absicherung vor finanziellen Schäden und Schadenersatz aufgrund von Sicherheitsverletzungen
  • Schutz des Unternehmensimage
  • Bewertung des Sicherheitsschutzes von Systemen zur Speicherung, Verarbeitung und/oder Übermittlung von Karteninhaberdaten
  • Datenminimierung und –vermeidung führen zur Reduzierung des Unternehmensrisikos
  • Netzwerkstrukturierung reduziert die Kosten der Aufrechterhaltung der PCI Compliance
Wie oft muss ich den PCI DSS Nachweis erbringen?

Der PCI DSS Nachweis muss mindestens einmal im Jahr erbracht werden. Da durch den PCI DSS Nachweis der aktuelle Stand der Kreditkartenabwicklung in Ihrem Unternehmen dokumentiert wird, ist es notwendig, auf Änderungen der Kreditkartenakzeptanz bzw. Zahlungsabwicklungen auch außerhalb des vorgegebenen Turnus von einem Jahr durch die Aktualisierung Ihres PCI DSS Nachweises zu reagieren. Sie sind verpflichtet, jederzeit die PCI DSS Konformität aufrecht zu erhalten.

Ich arbeite mit einem Payment Service Provider zusammen, der für mich die gesamte Abwicklung übernommen hat. Muss ich mich trotzdem nach dem PCI Security Standard zertifizieren lassen?

Ja, in der Regel müssen Sie sich auch in diesem Fall nach PCI DSS zertifizieren lassen, um zu dokumentieren, dass der gewählte Dienstleister PCI compliant ist und dass Sie regelmäßig den PCI Status des Dienstleisters überprüfen. Häufig ist der Zertifizierungsumfang bei vollständig ausgelagerter Abwicklung von Kreditkartentransaktionen jedoch reduziert – manche Acquirer haben auch eigene Regelungen für diese Fälle. Wenn Sie sich nicht sicher sind, wenden Sie sich bitte an Ihren Acquirer.

Wie kann ich prüfen, ob mein Dienstleister PCI DSS compliant ist?
Die Kreditkartenorganisationen MasterCard und Visa haben unter den folgenden Links eine Liste mit PCI DSS konformen Dienstleistern im Internet veröffentlicht:

Oder Sie sprechen den Dienstleister direkt an und fragen diesen nach seinem PCI-Zertifikat.

Warum muss ich auch die Kreditkartenzahlungen über einen anderen Acquirer in meinem PCI DSS Nachweis berücksichtigen?

Der Nachweis der Kreditkartensicherheit wird für das eigene Unternehmen durchgeführt und gilt unabhängig davon, bei welchem Acquirer der Kreditkartenakzeptanzvertrag abgeschlossen wurde. Entsprechend handelt es sich bei der Konformitätsbescheinigung um ein Dokument, welches universell einsetzbar als Nachweis der Kreditkartensicherheit für das Unternehmen vorgelegt werden kann.

Gibt es zum Thema PCI Informationsseiten von MasterCard oder VISA?

Self-Assessment Questionnaire (SAQ)

Nicht bearbeiten!

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Welcher SAQ ist korrekt für mich?
Ihr Acquirer oder Zahlungsdienstleister gibt Ihnen im Regelfall die schnellste Auskunft über die korrekten SAQs. Die Einstufung ist im Wesentlichen von den Produkten abhängig, die Sie von diesen Dienstleistern zur Abwicklung von Zahlungen nutzen.

Alternativ können Sie folgende Leitlinien verwenden:

  • Als Service Provider wählen Sie stets den SAQ D-SP.
  • Für Händler sind im eCommerce der SAQ A, und A-EP anwendbar.
  • Bei Zahlungen via POS-Terminal finden Händler sich im SAQ B, B-IP oder C wieder.
  • MOTO-Transaktionen werden für Händler über den SAQ A oder C-VT abgedeckt.

Jeder der vorgenannten SAQ-Typen bedarf speziellen technischen Voraussetzungen. Sollten Sie diese nicht erfüllen (beispielsweise indem Sie Kreditkartendaten selbst speichern), ist für Sie der SAQ D korrekt.

Eine Auswahlhilfe stellt das PCI DSS hier (https://www.pcisecuritystandards.org/document_library/) in dem Dokument “SAQ Instructions and Guidelines” (insbesondere Seite 18) bereit. Ergänzend verfügt unsere PCI Compliance Plattform (pci.usd.de) über einen SAQ-Auswahlassistenten, den Sie kostenfrei nutzen können.

Nicht bearbeiten!

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Müssen alle Fragen des Self-Assessment Questionnaire beantwortet werden?

Ja, es müssen alle Fragen beantwortet werden, ansonsten wird der Fragebogen nicht akzeptiert. Generell sollten die Fragen mit JA oder NEIN beantwortet werden. Bei einigen Ausnahmefällen besteht die Möglichkeit, eine Frage mit N/A (not applicable) zu beantworten. In diesem Fall muss zwingend eine schriftliche Begründung beigefügt werden. Wenn Sie Verständnisfragen haben oder weitere Unterstützung benötigen, wenden Sie sich an unsere Mitarbeiter im PCI Competence Center.

Welche Themenbereiche umfasst das Self-Assessment Questionnaire?

Der Fragebogen adressiert grundsätzlich die 12 Hauptanforderungen des PCI Data Security Standard (PCI DSS). Es gibt unterschiedliche SAQ-Typen, die im Umfang stark variieren. Welcher SAQ-Typ für Sie relevant ist, hängt davon ab, auf welche Weise Sie Kreditkartenzahlungen akzeptieren, und wie die Daten bei Ihnen verarbeitet werden.

Nicht bearbeiten!

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Kann ich mehrere SAQs ausfüllen?

Grundsätzlich gilt, dass Sie für jeden Ihrer Zahlungskanäle einen separaten SAQ ausfüllen können.

Beispiel: Sind Sie ein Händler, der Zahlungen in einem Webshop und an einem POS-Terminal entgegennimmt, können beispielsweise die SAQs A und B-IP für Sie korrekt sein.

Möchten Sie all Ihre Zahlungskanäle in nur einem, übergreifenden SAQ abdecken, nutzen Sie hierfür den SAQ D. Da der SAQ D jedoch ausführlicher ist als die übrigen SAQ-Typen, setzt dieses Verfahren in der Regel mehr Erfahrung in der Arbeit mit dem PCI DSS voraus.

Nicht bearbeiten!

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Gibt es das Self-Assessment Questionnaire auch in einer deutschen Version?

Das PCI Security Standards Council stellt hier eine deutsche Übersetzung der SAQs („SBF“) zur Verfügung. Um sprachliche Unschärfen zu vermeiden, empfehlen wir jedoch dringend, die Fragen auf Englisch zu beantworten.

Remote Audits

Hier finden Sie die wichtigsten Informationen zu Remote Audits nach den PCI Security Standards. Bitte kontaktieren Sie uns jederzeit, wenn Sie weitere Fragen haben.

Nicht bearbeiten!

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Können Audits nach den PCI-Sicherheitsstandards auch remote durchgeführt werden? Wie steht der PCI Security Standards Council dazu?

In der Regel finden PCI Audits „onsite“, also bei Ihnen vor Ort statt. Aber auch vor den Zeiten des Coronavirus wurden bei unseren Audits die technischen Möglichkeiten zur Durchführung von Remote Assessments, wo immer es sinnvoll war, bereits genutzt. Für uns ist dieses Thema also gar nicht neu. Technisch können Audits nach allen PCI-Standards remote durchgeführt werden, sofern die Prüftiefe erfüllt werden kann und die Integrität des Audits sichergestellt ist. Hierzu wurde vom PCI Council aufgrund der aktuellen Lage ein aktualisierter Leitfaden veröffentlicht, der dem QSA mehr Flexibilität erlaubt. Schwierig wird es bei physischen Prüfungen, beispielsweise von Vor-Ort-Geschäften (Point of Sale) und Rechenzentren.

Was sind die Besonderheiten bei Vor-Ort-Geschäften und Rechenzentren?

PCI-Audits mit der Notwendigkeit von physischen Begehungen sehen in der Regel Sichtprüfungen, beispielsweise von Zahlungsterminals oder Rechenzentrumsräumen, durch einen Auditor vor Ort vor. Derzeit erarbeiten wir Möglichkeiten, diese Prüfungen durch alternative Kontrollmaßnahmen, wie Foto- oder Videodokumentationen, zu ersetzen. Sollten Sie diesbezüglich Fragen haben, wenden Sie sich bitte an Ihren QSA. Dieser wird mit Ihnen ein Vorgehen erarbeiten, welches auf Ihr Unternehmen zugeschnitten ist und dennoch die Integrität des Audits gewährleistet.

Auf welche Veränderungen muss ich mich einstellen?

Grundsätzlich unterscheidet sich die Agenda eines Remote Assessments nicht von der eines vor Ort durchgeführten Assessments. Die vermehrte Arbeit aller am Assessment Beteiligten aus dem Home Office oder isoliert aus Einzelbüros erfordert jedoch einige organisatorische Anpassungen. Unsere QSAs planen gemeinsam mit Ihnen die Assessment-Sessions und nehmen Rücksicht auf die speziellen Gegebenheiten in der aktuellen Situation.

Nicht bearbeiten!

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Welche Technologien werden beim Remote Audit eingesetzt?

Wir sind in der Wahl der genutzten Kommunikationslösungen äußerst flexibel. So können wir Ihnen zur Durchführung Ihres Audits ein breites Spektrum von gängigen Lösungen und Technologien zur Kommunikation anbieten. Natürlich stellen wir uns auch gern auf die von Ihrem Unternehmen bereits eingesetzte oder präferierte Lösung ein. In jedem Fall übernehmen wir gerne die Abstimmung und Organisation aller erforderlichen Termine.

Was passiert, wenn ein Audit nicht rechtzeitig durchgeführt werden kann oder einzelne Requirements aufgrund der aktuellen Situation nicht eingehalten werden können?

Im Normalfall würden Sie hier Ihre PCI Compliance verlieren, da nicht alle PCI DSS Requirements geprüft werden konnten. Wir empfehlen Ihnen, in solchen Fällen den Kontakt zu Ihrem Acquirer bzw. Vertragspartner, der die PCI Compliance fordert, herzustellen, um die Situation zu erläutern und das weitere Vorgehen mit ihm abzustimmen. Auch hierbei unterstützen unsere QSAs Sie natürlich gerne, um gemeinsam eine Lösung zu finden.

Kontakt

 

Sie haben Fragen oder Interesse? Sprechen Sie uns gerne an.

Telefon: +49 6102 8631-190
E-Mail: vertrieb@usd.de
PGP Key
S/MIME
Kontaktformular

 

Benedikt Krümmel
usd Technical Sales Consultant,
PCI Professional