PCI-Datensicherheit – Was Sie nicht wissen, kann teuer werden

PCI-Sicherheit ist heutzutage ein sehr heißes Thema in der Kreditkartenverarbeitungsbranche. Händler verstehen oder akzeptieren PCI nicht und sind frustriert über die neuen PCI-Compliance-Gebühren, die sie auf ihren Händlerabrechnungen sehen (falls Sie Ihre noch nicht gesehen haben, schauen Sie genauer hin). Noch schlimmer ist, dass mehrere Verarbeiter und zwielichtige Verkäufer von Handelsdienstleistungen Fakten verdrehen und regelrecht lügen, in dem nie endenden Bestreben, einem Konkurrenten ein Händlerkonto zu stehlen, um einen zusätzlichen Dollar zu verdienen.

Lassen Sie uns den Sachverhalt ein für alle Mal klarstellen. Wenn Sie ein Händler jeglicher Art, Größe oder Branche sind, finden Sie hier eine kurze Auflistung aller Dinge, die Sie über die Einhaltung der PCI-Sicherheit wissen MÜSSEN:

Was ist PCI DSS?

Der PZahlung Card ICHIndustrie Dan einer SSicherheit SStandards sind Anforderungen, die darauf abzielen, den Diebstahl und Missbrauch sensibler Kreditkartendaten auf jeder Ebene der Kreditkartenverarbeitung zu minimieren.

Wer muss sich daran halten?

Mitgliedsbanken – Acquiring-Banken und kartenausgebende Banken.

Kaufleute – Jeder Händler, der alle großen Kartenmarken akzeptiert, einschließlich Visa, Mastercard, American Express und Discover.

Dienstleister – Internet-Gateways, Warenkorbanbieter und Hosting-Unternehmen

Was bedeutet PCI-Compliance für mein Unternehmen?

Die Kartenverbände verlangen, dass Karteninhaberinformationen auf sichere Weise gehandhabt und aufbewahrt werden. ALLE Händler sind verpflichtet, die PCI-Compliance-Richtlinien einzuhalten.

Was ist der Unterschied zwischen Compliance und Validierung?

Compliance ist der Prozess der Implementierung der vom Standard geforderten Sicherheitskontrollen und -richtlinien. Bei der Validierung handelt es sich um den Prozess des Nachweises, dass Sie die Vorschriften einhalten. Die PCI-Konformität erfordert die Ausführung beider Funktionen.

Wie oft muss ich meine Compliance validieren?

Sie müssen die Einhaltung alle 12 Monate überprüfen.

Was passiert, wenn ich meinen Händlerdienstleister in den nächsten 12 Monaten wechsle?

Sie erhalten ein Konformitätszertifikat, sobald Sie den erforderlichen SAQ ausgefüllt und bei Bedarf gescannt haben, das Sie Ihrem neuen Händlerdienstleister zur Bestätigung Ihrer Konformität vorlegen können.

Was passiert, wenn ich die Vorschriften nicht einhalte?

Die Nichteinhaltung dieser Anforderungen kann zu erheblichen Bußgeldern und der möglichen Aufhebung der Zahlungsabwicklung führen.

Bin ich haftbar, wenn es zu einem Verstoß gegen meinen Dienstanbieter kommt?

Es kommt darauf an, aber es ist durchaus möglich. Wenn Sie für die Abwicklung Ihrer Kreditkartentransaktionen einen Drittanbieter beauftragen, liegt es in Ihrer Verantwortung, sicherzustellen, dass dieser PCI-konform ist. Wenn dies nicht der Fall ist und gegen sie verstoßen wird, können Sie ebenfalls haftbar gemacht werden. Es sind derzeit Fälle bekannt, in denen das passiert.

Gilt die PCI-Konformität für gemeinnützige Organisationen?

Ja, die Haftung und die Risiken bestehen weiterhin und müssen angegangen werden. Da Sie eine Non-Profit-Organisation sind, könnten die Auswirkungen einer Datenschutzverletzung aufgrund der Bußgelder und anderer möglicher Strafen sogar noch schädlicher für Ihr Unternehmen sein.

Wie ermittle ich die spezifischen Anforderungen, die für mein Unternehmen gelten?

Die Compliance-Anforderungen variieren je nach Verarbeitungsmethode, z. B. der Verwendung eines eigenständigen Festnetzanschlusses, einer drahtlosen Kommunikation oder des Internets für die Verarbeitung. Sehen Sie sich einfach die bereitgestellte Tabelle an, klicken Sie auf den Buchstaben neben der Beschreibung, der Ihr Unternehmen am besten beschreibt, und Sie werden direkt zu den geltenden Anforderungen weitergeleitet.

Was ist ein Selbstbewertungsfragebogen?

Der Selbstbewertungsfragebogen „SAQ“ ist ein Validierungstool für Händler und Dienstleister, die keine Vor-Ort-Bewertungen zur PCI-DSS-Konformität durchführen müssen.

Was sind Karteninhaberdaten?

Primäre Kontonummer (PAN)

Name des Karteninhabers

Verfallsdatum

Sensible Authentifizierungsdaten

Vollständige Magnetstreifendaten

Kartenvalidierungscode/-wert

Persönliche Identifikationsnummer (PIN)

Was kann niemals gespeichert werden, auch wenn es verschlüsselt ist?

Vollständiger Magnetstreifen

Kartenvalidierungscode/-wert

Persönliche Identifikationsnummer (PIN/PIN-Block)

Was sind die 12 Anforderungen?

  • Installieren und pflegen Sie eine Firewall-Konfiguration zum Schutz der Karteninhaberdaten.
  • Verwenden Sie keine vom Hersteller bereitgestellten Standardeinstellungen für Systemkennwörter und andere Sicherheitsparameter.
  • Schützen Sie gespeicherte Karteninhaberdaten.
  • Verschlüsseln Sie die Übertragung von Karteninhaberdaten über offene, öffentliche Netzwerke.
  • Verwenden und aktualisieren Sie regelmäßig Antivirensoftware.
  • Entwickeln und warten Sie sichere Systeme und Anwendungen.
  • Beschränken Sie den Zugriff auf Karteninhaberdaten nach geschäftlichen Notwendigkeiten.
  • Weisen Sie jeder Person mit Computerzugriff eine eindeutige ID zu.
  • Beschränken Sie den physischen Zugriff auf Karteninhaberdaten.
  • Verfolgen und überwachen Sie sämtliche Zugriffe auf Netzwerkressourcen und Karteninhaberdaten.
  • Testen Sie regelmäßig Sicherheitssysteme und -prozesse.
  • Behalten Sie eine Richtlinie bei, die sich mit der Informationssicherheit befasst.

Was ist der Unterschied zwischen einem QSA und einem ASV?

Ein Qualified Security Assessor (QSA) ist ein vom PCI Security Standards Council zertifiziertes Unternehmen für die Durchführung der jährlichen Audits, die für Händler der Stufe 1 erforderlich sind. Ein Approved Scanning Vendor (ASV) ist für die Durchführung der für alle Ebenen erforderlichen vierteljährlichen Scans zertifiziert. Händler der Stufe 4 benötigen nicht die Dienste eines qualifizierten Sicherheitsgutachters.

Gibt es verschiedene Möglichkeiten, Anforderung 6.6 zu erfüllen?Abhängig von Ihrer Situation kann möglicherweise einer der folgenden Punkte die Anforderung erfüllen:

  • Führen Sie eine Codeüberprüfung aller intern entwickelten Webanwendungen durch.
  • Führen Sie den gesamten Webanwendungscode über automatisierte Codeanalysetools aus.
  • Führen Sie für jede Webanwendung einen manuellen Penetrationstest durch.
  • Kaufen und installieren Sie vor jedem Webserver eine Firewall auf Anwendungsebene.

Wie finde ich meine IP-Adresse?

Wenden Sie sich an Ihren Netzwerkadministrator.

Woher weiß ich, ob meine IP-Adresse statisch oder dynamisch ist?

Wenden Sie sich an Ihren Netzwerkadministrator.

Was ist der Unterschied zwischen einer statischen IP und einer dynamischen IP-Adresse?

Eine statische IP-Adresse ist die Nummer, die einem Computer von einem Internetdienstanbieter als permanente Adresse im Internet zugewiesen wird. Wenn Sie über eine statische IP-Adresse verfügen, bleibt Ihre IP-Adresse bei jeder Anmeldung gleich. Sobald Sie JDS Ihre IP-Adresse mitgeteilt haben, werden Ihre Scans durchgeführt, ohne dass eine Aktion Ihrerseits erforderlich ist.

Eine dynamische IP-Adresse ist Ihre IP-Adresse nur so lange, wie Sie für eine Sitzung im Internet angemeldet sind. Sobald Sie die Verbindung zum Internet trennen, wird diese dynamische IP-Adresse wieder in den IP-Adresspool aufgenommen, sodass sie einem anderen Benutzer zugewiesen werden kann. Folglich werden Sie selten, wenn überhaupt, zweimal dieselbe IP-Adresse haben.