PCI DSS erscheint als ein einschüchterndes und verwirrendes Thema. Um Ihnen den Einstieg in das Thema zu erleichtern, haben wir einen Leitfaden erstellt, der Ihnen hilft, zu verstehen, was PCI DSS ist und wie er auf Ihr Unternehmen anzuwenden ist.
Wenn Sie nicht zu den Unternehmen gehören, die nur Bargeld und Bitcoin akzeptieren, müssen Sie wissen, wie Sie die Vorschriften für die Annahme von Kreditkarten als Zahlungsmittel einhalten können. Dieser Leitfaden richtet sich an Unternehmen, die sich mit der Verarbeitung von Kreditkarten befassen und wissen, wie wichtig die Datensicherheit in der heutigen Zeit für ein sicheres Einkaufserlebnis ist.
Die Menschen verlieren in der Regel den Verstand, wenn ihre Kreditkartendaten gestohlen werden. Außerdem sind Unternehmen, die Kreditkarten akzeptieren/verarbeiten, gesetzlich verpflichtet, dafür zu sorgen, dass alle Dateien, mit denen sie in Berührung kommen, sicher sind.
PCI DSS (Payment Card Industry Data Security Standard) ist eine Reihe von Standards, die kleinen und mittelständischen Unternehmen helfen, mit den Sicherheitsstandards Schritt zu halten.
Im September 2006 schlossen sich fünf große Kreditkartenunternehmen (MasterCard, Visa International, JCB, American Express und Discover) zusammen und gründeten den PCI SSC (Payment Card Industry Security Standards Council).
Der Rat ist ein unabhängiges Gremium, das die Aufgabe hat, die Verfeinerung des PCI DSS zu überwachen und gleichzeitig ein hohes Sicherheitsniveau in jedem Segment eines Transaktionsprozesses zu gewährleisten.
Unternehmen, die Kreditkartentransaktionen akzeptieren, sind gegenüber den Finanzinstituten und dem Kreditkartenunternehmen, das die Gelder bearbeitet, rechenschaftspflichtig und nicht gegenüber der Gemeinde.
Der Rat sorgt jedoch dafür, dass die Rechenschaftspflicht in den Systemen gewahrt bleibt, und bewertet technologische Trends und Schwachstellen, um ein hohes Maß an Sicherheit zu gewährleisten.
Jedes Unternehmen, jede Institution und jede Einrichtung, die Karteninhaberdaten annimmt, überträgt und speichert, ist zur Einhaltung der PCI DSS-Regeln und -Vorschriften verpflichtet. PCI definiert Karteninhaberinformationen als PAN (Primary Account Number). Die PAN enthält die folgenden Informationen:
PCI DSS verlangt von den Unternehmen, die folgenden Daten zu schützen:
Ein System, das unabhängig von der Größe oder Anzahl der Transaktionen anwendbar ist. Die Art und Weise, wie jedes Unternehmen mit Karteninhaberdaten umgeht, wird in eine der vier von Visa geschaffenen Stufen eingeteilt.
Die Höhe richtet sich nach der Anzahl der Visa-Transaktionen, die von dem Händler-DBA (Doing Business As) in einem Zeitraum von zwölf Monaten getätigt wurden. In Fällen, in denen Unternehmen mehrere Händler-DBAs haben, werden die gesamten Transaktionen des Unternehmens bewertet.
In Einrichtungen, in denen Unternehmen nicht im Namen ihrer Händler mit Daten interagieren, werden die einzelnen DBAs bewertet, um ihr Niveau zu bestimmen.
PCI DSS-Definition eines Einzelhändlers als jedes Unternehmen, das Zahlungen mit Karten akzeptiert, die die Logos der fünf führenden Kreditkartenunternehmen tragen, die zu Beginn dieses Artikels erwähnt wurden.
Ein Gewerbetreibender kann auch ein Dienstleistungsanbieter sein. Die Stufen werden wie folgt festgelegt:
Stufe 1: Händler, die jährlich mehr als sechs Millionen Visa-Transaktionen per Post, persönlich, im elektronischen Handel oder per Telefon abwickeln.)
Stufe 2: Händler, die jährlich eine bis sechs Millionen Visa-Transaktionen über alle Akzeptanzkanäle abwickeln.
Stufe 3: Händler, die jährlich 20.000 bis 1 Million Visa-Transaktionen im elektronischen Geschäftsverkehr abwickeln.
Stufe 4: Händler, die jährlich 20.000 und weniger Visa-E-Commerce-Verkäufe über alle Akzeptanzkanäle abwickeln.
Um die festgelegten Regeln und Standards zu erfüllen, müssen die Händler eine Reihe von Schritten durchlaufen. Zunächst muss jeder Händler einen SAQ (Self Assessment Questionnaire) ausfüllen, um festzustellen, wie er die Vorschriften einhalten kann.
Nach dem Ausfüllen des Fragebogens müssen die Händler den Nachweis erbringen, dass sie die Anforderungen erfüllt haben, und einen Schwachstellen-Scan von einem ASV (PCI SSC Approved Scanning Vendor) durchführen lassen. Unternehmen, die eine einzige Akzeptanzmethode verwenden, müssen die PCI DSS-Standards in vollem Umfang einhalten, also auch Händler, die Drittverarbeiter einsetzen.
Unternehmen mit mehreren Standorten müssen einmal pro Jahr für alle Bereiche validieren, wenn sie dieselbe Steuernummer verwenden. So sehr alle Unternehmen, die mit Debit- oder Kreditkartendaten zu tun haben, aufgefordert sind, die PCI-Standards einzuhalten, so sehr haben es Unternehmen, die keine Daten speichern, bei der Einhaltung der Standards leichter.
Es gibt einzelne Unternehmen, die vierteljährliche Schwachstellen-Scans durchführen müssen. Ein zugelassener ASV (Approved Scanning Vendor) ist damit beauftragt, verschiedene Webanwendungen und Netze von IP-Adressen zu überprüfen, die ihm vom Dienstanbieter oder Händler zur Verfügung gestellt werden.
Der Scan zielt auf alle Schwachstellen in den Diensten, Betriebssystemen und Geräten des Unternehmens ab, die Hacker nutzen können, um sich Zugang zum privaten Netzwerk des Händlers zu verschaffen, und deckt diese auf.
Wenn ein ASV die Prüfung vornimmt, muss keine Software installiert werden, und die Prüfungen werden alle 90 Tage durchgeführt, da die Händler aufgefordert werden, innerhalb des vom Acquirer festgelegten Zeitplans Berichte über die Einhaltung der Vorschriften vorzulegen.
Einige Händler erwägen die Zusammenarbeit mit Dienstleistern. Eine von den fünf größten Kreditkartenunternehmen getrennte Einrichtung, die mit der Speicherung, Verarbeitung und Übermittlung von Karteninhaberdaten befasst ist.
Dienstleistungsanbieter haben einen "einzigartigen" Weg zur Einhaltung der Vorschriften, und es ist wichtig, dass sie ihn sorgfältig befolgen. Unternehmen, die sich als Dienstleister qualifizieren, müssen einen Kurs besuchen, der ihnen hilft, ihr Mandat klar zu verstehen.
Zahlungsanwendungen werden als Aspekte betrachtet, die Karteninhaberdaten übermitteln, speichern oder verarbeiten. Zahlungsanwendungen sind Prozesse, die von Durchzugssystemen in Restaurants bis hin zu Software in E-Commerce-Warenkörben reichen.
PA-DSS (Payment Application Data Security Standard) wird von der PCI SSC verwaltet und gepflegt. PA-DSS soll sicherstellen, dass alle Anbieter von Zahlungsanwendungen, die den PCI-DSS-Standards entsprechen, keine Karteninhaberdaten aufbewahren.
Ein Zahlungs-Gateway verbindet Händler mit einem Prozessor oder einer Acquiring-Bank, die sie mit dem Kartenaussteller verbindet. Sie melden sich über eine webbasierte Verbindung oder über eine Einwahlverbindung bei dem Prozessor oder dem Finanzinstitut an.
In den meisten Fällen bevorzugen Händler die Möglichkeit, die Daten der Karteninhaber zu speichern, um ihren Kunden die Durchführung wiederholter Transaktionen zu erleichtern. Die Zusammenarbeit mit einem Drittanbieter ist der entspannteste und problemloseste Weg, Daten sicher zu speichern.
Die Daten der Karteninhaber sind nicht mehr im Besitz des Händlers, sondern werden von einem auf Datenschutz spezialisierten Dritten im Namen des Händlers verarbeitet.
Händler, die sich für die Speicherung von Karteninhaberdaten entscheiden, werden einem strengen Verfahren unterzogen, bei dem ein qualifizierter Sicherheitsgutachter vor Ort ein Audit durchführt, das bestätigt, dass der Händler die PCI DSS-Standards erfüllt.
Die PCI-Standards empfehlen, dass die ersten sechs oder die letzten vier Ziffern der PAN auf einer Kopie des Transaktionsbelegs gedruckt werden sollten. Dadurch wird verhindert, dass die vollständige Nummer angezeigt wird.
Die Normen dienen der Sicherheit der Verbraucher. Wenn Gewerbetreibende die PCI DSS-Standards nicht einhalten, hat das viele Konsequenzen.
In den meisten Fällen werden sie mit saftigen Geldstrafen von 5000 bis 100.000 Dollar monatlich belegt.
Die Zahlungsmarke gibt die Gebühren an die akquirierende Bank weiter, die die Kosten an das Unternehmen weitergibt. In den meisten Fällen kündigt das Finanzinstitut die Geschäftsbeziehung mit dem Händler oder erhöht die Transaktionsgebühren stark.
Dies sind Strafen, die kleine und mittlere Unternehmen ruinieren können, und es ist wichtig, dass die Händler alle Regeln befolgen, ohne sie zu verbiegen.
PCI ist zwar kein Gesetz, aber Händler, die sich weigern, es einzuhalten, müssen die Kosten für Bußgelder, Kartenersatzkosten, Markenschäden, kostspielige forensische Prüfungen und verschiedene Konsequenzen im Falle eines Verstoßes selbst tragen.
Der anfängliche Aufwand und die Kosten, die durch die Einhaltung von PCI DSS entstehen, bewahren die Händler davor, mehr Geld und Zeit für die Bewältigung schwerwiegender, teurer, komplizierter und verheerender Folgen aufwenden zu müssen.
Ich gratuliere Ihnen zur Gründung eines kleinen bis mittleren Unternehmens. Sorgen Sie dafür, dass alle Transaktionen mit Integritäts- und Sicherheitsmaßnahmen übereinstimmen. Informieren Sie sich über alle Aspekte der Einhaltung von Vorschriften und schützen Sie Ihr Unternehmen vor Hackern, die immer raffinierter werden.
"*" kennzeichnet Pflichtfelder
"*" kennzeichnet Pflichtfelder
"*" kennzeichnet Pflichtfelder
Sie müssen eingeloggt sein, um einen Kommentar abzugeben.