Sicherheit > PCI DSS FAQs

Was ist der PCI SSC?
Der PCI SSC (Payment Card Industry Security Standards Council) ist ein unabhängiges Gremium, das von den führenden Kreditkartenunternehmen American Express, Discover Financial Services, JCB, MasterCard Worldwide und Visa International gegründet wurde. Es hat die Sicherheit der Zahlungsabwicklung mit Kredit- und Debitkarten (Zahlungskarten) zum Ziel. Der Schutz von Kartendaten soll durch die verpflichtende Umsetzung des PCI DSS (Payment Card Industry Data Security Standard) erfolgen: Dem PCI DSS unterliegen alle Unternehmen, die Kredit- und Debitkartendaten speichern, verarbeiten und/oder übermitteln.

Was ist der PCI DSS?
Der PCI DSS (Payment Card Industry Data Security Standard, kurz PCI) ist ein Sicherheitsstandard mit strengen Vorgaben, die den sorgfältigen und geschützten Umgang mit Zahlungskartendaten sicherstellen sollen. Der Standard wurde von den fünf wichtigsten Kreditkartenunternehmen (American Express, JCB, MasterCard and Visa) ins Leben gerufen und umfasst 12 Sicherheitsvorgaben, die zum Ziel haben:

1. Einrichtung und Betrieb eines geschützten Netzwerks
2. Schutz von aufbewahrten und übermittelten (Karteninhaber)daten
3. Einrichtung und Betrieb eines Schwachstellen-Management-Systems
4. Umsetzung effektiver Richtlinien zur Zugriffskontrolle
5. Regelmäßige Überwachung und Überprüfung der IT-Infrastruktur
6. Formulierung und Durchsetzung einer Richtlinie zur Informationssicherheit

Welche Anforderungen stellt der PCI DSS?
Der PCI DSS umfasst zwölf Anforderungen, die oft als "Digitales Dutzend" bezeichnet werden. Als PCI-konform gelten Organisationen, die folgende Vorgaben einhalten:

1. Einrichtung und Betrieb einer Firewall zum Schutz der Daten von Kreditkarteninhabern
2. Änderung der von Herstellern vorgegebenen Standardpasswörter und Sicherheitseinstellungen
3. Schutz der gespeicherten Daten von Kreditkarteninhabern
4. Verschlüsselte Übertragung der Daten von Kreditkarteninhabern in öffentlichen Netzwerken
5. Einsatz und regelmäßige Aktualisierung von Virenschutzlösungen
6. Entwicklung und Verwendung sicherer Systeme und Anwendungen
7. Einschränkung des Zugriffs auf Kreditkartendaten nach dem Grundsatz "Kenntnis, nur wenn nötig"
8. Zuweisung einer eindeutigen Benutzerkennung an jede Person mit Zugang zum Computersystem
9. Einschränkung des physikalischen Zugriffs auf Karteninhaberdaten
10. Protokollierung und Überwachung aller Zugriffe auf Netzwerk-Ressourcen und Daten von Kreditkarteninhabern
11. Regelmäßige Überprüfung von Sicherheitssystemen und -abläufen
12. Einrichtung einer Unternehmensrichtlinie mit Vorgaben zur Informationssicherheit für Mitarbeiter und Vertragspartner

Was sind Zahlungskarten (Payment Cards)?
Im Sinne des PCI DSS zählen zu Zahlungskarten alle Kredit-/Debit-/Geldautomaten-Karten, die durch bzw. im Namen von American Express, Discover, JCB, MasterCard oder Visa ausgegeben werden.

Was sind Zahlungskartendaten?
Zu Zahlungskartendaten zählen Informationen über Kredit-/Debitkarten und ihren Besitzern. Diese Daten werden in zwei Kategorien unterteilt, "Karteninhaberdaten" (Card Holder Data) und "vertrauliche Identifizierungsdaten" (Sensitive Authentication Data). Der PCI DSS schreibt für Datenbestandteile, die zu diesen Kategorien zählen, besondere Einschränkungen bei der Aufbewahrung vor.

Was sind Karteninhaberdaten (Card Holder Data)?
Zu Karteninhaberdaten zählen alle Informationen einer Kredit- oder Debitkarte, die im Rahmen einer Transaktion verwendet werden. Hierzu gehören üblicherweise die auf der Kartenvorderseite zu findende Primary Account Number (PAN, verkürzte Bankleitzahl), der Name des Karteninhabers und das Ablaufdatum der Karte. Diese und weitere Daten werden auf dem Magnetstreifen auf der Kartenrückseite digital gespeichert.

Was sind vertrauliche Identifizierungsdaten (Sensitive Authentication Data)?
Mit vertraulichen Identifizierungsdaten werden Sicherheitsinformationen bezeichnet, mit denen Karteninhaber sich identifizieren/authentifizieren und Kartentransaktionen autorisieren. Hierzu zählen die Daten des Magnetstreifens und die Kartenprüfnummer (Card Validation Code, CVC2, oder Card Verification Value, CVV2). Der CVC2/CVV2 besteht aus drei oder vier Ziffern und ist auf der Vorder- oder Rückseite einer Kreditkarte aufgedruckt.

Welche Bestandteile von Karteninhaberdaten dürfen gespeichert werden?
Der PCI DSS legt fest, welche Karteninhaberdaten im Einzelnen gespeichert werden dürfen und wie sie zu schützen sind. Die Speicherung von PAN, Karteninhabername und Ablaufdatum sind unter der Voraussetzung erlaubt, dass kein unbefugter Zugriff darauf erfolgen kann. Der Schutz muss mit Hilfe einer leistungsfähigen Verschlüsselungsmethode wie AES (Advanced Encryption Standard) gewährleistet werden, oder die PAN ist per Hash-Algorithmus oder Trunkierung zu sichern. Da in einigen Fällen eine Zahlung bereits bei Vorlage der PAN und eines weiteren Sicherheitsmerkmals erfolgen kann, ist die Verschlüsselung unerlässlich.

Welche Bestandteile der vertraulichen Identifizierungsdaten dürfen gespeichert werden?
Keine. Die vertraulichen Identifizierungsdaten (Sensitive Authentication Data) dürfen selbst im verschlüsselten Zustand nach der Autorisierung einer Transaktion nicht gespeichert werden.

Wer ist an die Einhaltung des PCI DSS gebunden?
Jeder, der Karteninhaberdaten speichert, verarbeitet und/oder übermittelt, muss sich an die Sicherheitsvorgaben des PCI DSS halten. Hierbei ist die Größe der Organisation, ob Händler oder Dienstleister, und der Umfang der Kartentransaktionen unerheblich. Die PCI DSS-Richtlinien betreffen jedoch nicht nur Daten in digitalen Formaten. Unternehmen sind auch verpflichtet, in Schriftform vorliegende Unterlagen, aus denen Daten von Zahlungskarten und Karteninhabern ersichtlich sind, unwiderruflich zu vernichten. Organisationen, die hierfür professionelle externe Datenvernichter beauftragen, müssen dafür sorgen, dass diese Subunternehmer ebenfalls mit dem PCI DSS konform gehen. 

Wird zwischen unterschiedlichen Arten von Händlern unterschieden?
Händler werden je nach Umfang ihrer jährlichen Kartentransaktionen in vier Kategorien eingestuft:

• Kategorie 1: Händler mit mehr als sechs Millionen Kartentransaktionen pro Jahr und Händler, deren kartenspezifische Kundendaten bereits kompromittiert wurden
• Kategorie 2: Händler mit ein bis sechs Millionen Kartentransaktionen pro Jahr
• Kategorie 3: Händler mit 20.000 bis 1 Million Kartentransaktionen pro Jahr
• Kategorie 4: alle anderen Händler

Wird zwischen unterschiedlichen Arten von Dienstleistern unterschieden?
Dienstleister, die Kreditkartentransaktionen verarbeiten, werden in drei Kategorien eingestuft:

• Kategorie 1: alle Datenverarbeiter von Kartenzahlungen (Payment Processors) und Payment-Gateways.
• Kategorie 2: jeder nicht zu Kategorie 1 zählende Dienstleister, der jährlich mehr als eine Million Kartenabrechnungen oder -transaktionen verarbeitet.
• Kategorie 3: jeder nicht zu Kategorie 1 zählende Dienstleister, der jährlich weniger als 1 Million Kartenabrechnungen oder -transaktionen verarbeitet.

Wie erreiche ich als Händler PCI DSS-Compliance?
Der PCI DSS gilt als eingehalten, wenn dessen zwölf Sicherheitsanforderungen umgesetzt und diese Umsetzung nachgewiesen werden kann. Die PCI DSS-Implementierung und -Einhaltung wird wie folgt kontrolliert:

• Für Händler der Kategorie 1: durch ein jährliches Sicherheits-Audit vor Ort und vierteljährliche Netzwerk-Scans Die Auditierung vor Ort im Unternehmen erfolgt durch einen Sicherheitsgutachter, den Qualified Security Assessor (QSA).
• Für Händler der Kategorien 2 bis 4: jährliche Beantwortung eines PCI-Fragebogens und vierteljährliche Netzwerk-Scans. Der PCI-Fragebogen zur Selbstbewertung wird unternehmensintern durch den Händler bearbeitet. Netzwerk-Scans werden durch einen zugelassenen Sicherheitsprüfer durchgeführt, den Approved Scanning Vendor (ASV).

Wie erreiche ich als Dienstleister PCI DSS-Compliance?
Der PCI DSS gilt als eingehalten, wenn dessen zwölf Sicherheitsanforderungen umgesetzt und diese Umsetzung nachgewiesen werden kann. Die PCI DSS-Implementierung und -Einhaltung wird wie folgt kontrolliert:

• Für Dienstleister der Kategorien 1 und 2: durch ein jährliches Sicherheits-Audit vor Ort und vierteljährliche Netzwerk-Scans Die Auditierung vor Ort im Unternehmen erfolgt durch einen Sicherheitsgutachter, den Qualified Security Assessor (QSA).
• Für Dienstleister der Kategorie 3: jährliche Beantwortung eines PCI-Fragebogens und vierteljährliche Netzwerk-Scans. Der PCI-Fragebogen zur Selbstbewertung wird unternehmensintern durch den Dienstleister bearbeitet. Netzwerk-Scans werden durch einen zugelassenen Sicherheitsprüfer durchgeführt, den Approved Scanning Vendor (ASV).

Welche PCI DSS-Pflichten bestehen für Händlerbanken?
Händlerbanken (Acquirers/Merchant Banks) sind derzeit nicht zur Durchführung besonderer PCI DSS-Kontrollen oder -Zertifizierungen verpflichtet. Sie selbst haben jedoch die PCI DSS-Vorgaben ebenfalls einzuhalten, indem sie eigene interne Audits durchführen (gemäß den Kriterien des Selbstbewertungs-Fragebogen) oder diese von externen Sicherheitsgutachtern (Qualified Security Assessors, QSAs) durchführen lassen.

Darüber hinaus müssen Händlerbanken die Einhaltung des PCI DSS für folgende Gruppen sicherstellen:

• Ihre Händler
• Alle Dienstleister, über die sie oder ihre Händler Zahlungskartendaten speichern, übermitteln oder verarbeiten

Alle Händlerbanken müssen von Händlern mit jährlich mehr als 20.000 Kartentransaktionen eine offizielle Zertifizierung ihrer PCI-Compliance erhalten. Dabei haben Banken dafür Sorge zu tragen, dass Händler und Dienstleister die für sie jeweils geltenden Audit-Anforderungen korrekt erfüllen. Compliance-Berichte müssen für monatlich zusammengestellte Statusreports von Händlerbanken an die Kreditkartenunternehmen verwendet werden. Sämtliche Dokumente zum Compliance-Nachweis sind aufzubewahren und den Kartenunternehmen auf Nachfrage auszuhändigen. Im Idealfall sollten Händlerbanken dafür sorgen, dass Dienstleister diese Dokumente direkt an die Kartenverbände übermitteln.

Was ist ein QSA (Qualified Security Assessor)?
QSAs sind Revisions-Spezialisten, die in ihrer Funktion als professionelle Sicherheitsgutachter Unternehmen gemäß PCI DSS vor Ort auditieren und bestätigen, dass deren Schutzmaßnahmen die PCI-Anforderungen erfüllen. Eine Liste der internationalen QSAs ist hier verfügbar: https://www.pcisecuritystandards.org/pdfs/pci_qsa_list.pdf

Was ist ein ASV (Approved Scan Vendor)?
Ein zugelassener Sicherheitsprüfer (ASV) unterstützt an den PCI DSS gebundene Unternehmen, indem er im Rahmen des PCI DSS Schwachstellen- und Sicherheits-Scans des Netzwerks durchführt. Eine Liste der internationalen ASVs ist hier verfügbar: https://www.pcisecuritystandards.org/pdfs/asv_report.html

Worum handelt es sich beim PCI-Fragebogen zur Selbstbewertung?
Der Selbstbewertungsfragebogen zählt zur Berichterstellung, die Händler und Dienstleister zur PCI DSS-Compliance durchführen müssen. Der Fragebogen wird unternehmensintern ohne die Hilfe externer Dritter bearbeitet. Abgefragt werden der aktuelle und zurückliegende Sicherheitsstatus des Firmennetzwerks.

Gibt es Fristen für die Umsetzung der PCI-Sicherheitsvorgaben?
Zeitliche Vorgaben zur Umsetzung des PCI DSS sind je nach Kreditkartenunternehmen und Land verschieden. Zu den wichtigsten durch VISA USA gesetzten Fristen zählen:

• 31. März 2007 – Datum, bis zu dem Händler der Kategorie 1 und 2 belegen müssen, dass sie die vollständige Kartennummer, Daten der Magnetstreifenspuren, Kartenverifizierungscode (CVV2) und PIN-Nummer nicht speichern.
• 30.September 2007 – Datum, bis zu dem alle Händler der Kategorie 1 den PCI DSS vollständig umgesetzt haben müssen.
• 31. Dezember 2007 – Datum, bis zu dem alle Händler der Kategorie 2 den PCI DSS vollständig umgesetzt haben müssen.

VISA Europa hat als Stichtag den 30. Juni 2007 festgelegt. Bis zu diesem Datum müssen Händlerbanken bestätigen, dass der PCI DSS von ihren Händlern vollständig umgesetzt worden ist.

Wer ist der richtige Ansprechpartner bei Fragen zum PCI DSS und seiner Umsetzung?
Für individuelle Fragen zum PCI DSS ist vornehmlich die Händlerbank zuständig.

Mit welchem Zeitaufwand ist die Umsetzung des PCI DSS verbunden?
Es gibt keine pauschalen Richtwerte für den erforderlichen zeitlichen Aufwand zur Umsetzung des PCI DSS, da je nach Größe, Komplexität und vorhandenen Sicherheitsstrukturen eines Netzwerks die Implementierung unterschiedlich verläuft.

Welche Konsequenzen drohen bei Nichteinhaltung des PCI DSS?
Wird der PCI DSS nicht eingehalten, drohen schwerwiegende Konsequenzen. Unternehmen müssen mit Geldstrafen in sechsstelliger Höhe und ggf. kostspieligen Prozesskosten rechnen. Treten bei Händlern und Dienstleistern der Kategorien 2 bis 4 Sicherheitsverletzungen auf, können sie in Kategorie 1 hochgestuft werden. Eine Einordnung in dieser Kategorie ist mit höheren Kosten verbunden, da umfassendere Compliance-Prüfungen erforderlich sind. Zusätzlich können bekannt gewordene PCI-Verstöße das Ansehen eines Unternehmens nachhaltig schädigen und schwindendes Kundenvertrauen zur Folge haben – mit entsprechenden Geschäftsverlusten.

Welche Vorteile hat die Umsetzung des PCI DSS?
Der PCI DSS mit seinen verbindlichen Regeln für mehr IT-Sicherheit soll der Betrugskriminalität einen Riegel vorschieben. Für Organisationen bestehen durch verstärkte Schutzmaßnahmen bei der Verarbeitung von Zahlungskartendaten gemäß PCI vor allem folgende Vorteile:

• Erhöhte Datensicherheit
• Gesteigertes Kundenvertrauen
• Größere Absicherung von finanziellen Schäden und Schadenersatz aufgrund von Sicherheitsverletzungen
• Schutz des Unternehmens- und Brand-Image
• Bewertung des Sicherheitsschutzes von Systemen zur Speicherung, Verarbeitung und/oder Übermittlung von Karteninhaberdaten

Wann erfolgt nach Sicherheitsverletzung und Einordnung in Kategorie 1 eine Rückstufung in die vorherige Kategorie?
Die Rückstufung in eine vorherige Kategorie erfolgt nach Ablauf von zwei Jahren. Im ersten Jahr müssen sämtliche Verfahrensfehler, die zur Sicherheitsverletzung geführt haben, beseitigt werden. Das zweite Jahr dient als "Bewährungsfrist", in der sich die neuen Sicherheitsmechanismen beweisen müssen und in der keine weiteren Sicherheitsverletzungen auftreten dürfen.

Welche Informationsquellen zum Thema PCI DSS gibt es im Internet?
PCI Security Standards Council
https://www.pcisecuritystandards.org

Weiterführende PCI-Dokumente
https://www.pcisecuritystandards.org/tech/supporting_documents.htm

Antworten zum PCI DSS
http://pcianswers.com

Ausführliche Zusammenstellung von Quellen zum Thema PCI DSS
http://pcianswers.com/resources/

Checklisten zur PCI-Compliance mit GFI EventsManager und GFI LANguard N.S.S.
http://www.gfisoftware.de/de/security/pci.htm