PCI-DSS-Konformität

Dieser Artikel befasst sich mit der PCI-DSS-Konformität und zeigt auf, weshalb ihre Sicherstellung im Bereich Kartenzahlungen wichtig ist.

Du lernst, welche Levels von PCI-DSS-Konformität es gibt und wie Du die PCI-DSS-Konformität mittels Selbstauskunft erlangen kannst.

Was ist PCI-DSS-Konformität?

PCI-DSS steht für Payment Card Industry Data Security Standard.

Der Standard wurde 2006 von American Express, Discover Financial Services, JCB International, Mastercard und Visa ins Leben gerufen – mit dem Ziel, die Sicherheit von Kartendaten zu erhöhen.

Was sind Kartendaten?

Der Begriff Kartendaten (Cardholder Data, kurz: CHD) umfasst bei E-Commerce-Transaktionen:

  • die gesamte Kartennummer (Primary Account Number, kurz PAN)

  • den CVV/CVC Code (3- oder 4-stelliger Sicherheitscode auf der Rückseite der Karte)

Weshalb benötige ich eine PCI-DSS-Konformität?

Um als Händler Kartenzahlungen empfangen zu können, benötigst Du einen Vertrag mit einem oder mehreren Acquiring-Banken. Diese Acquiring-Banken sind gegenüber den Kartensystemen (z. B. Mastercard oder Visa) verpflichtet, bei der PCI-DSS-Konformität eine gewisse Abdeckung zu schaffen.

Dabei hängt es von Deinem Transaktionsvolumen ab, ob und wie Du nach einer Bescheinigung für PCI-DSS gefragt wirst.

Die Sicherstellung der PCI-DSS-Konformität liegt in Deiner Verantwortung als Händler. Payrexx unterstützt Dich gerne dabei.

Wie hilft Payrexx?

  • Payrexx ist PCI-DSS-Level-1-Service-Provider-konform und deckt somit viele der mehr als 250 Anforderungen von PCI-DSS ab. Dies vereinfacht für Dich den Prozess zur Erlangung der PCI-DSS-Konformität. Die aktuelle Attestation of Compliance (AoC) von Payrexx ist das AoC vom 10.06.2024.

  • Wenn Du neben Payrexx noch über andere Kanäle (z. B. am Point of Sale, über das Telefon oder per E-Mail) Kartendaten übermittelt bekommst, musst Du neben den in diesem Artikel erwähnten Punkten noch weitere Anforderungen erfüllen. Bitte kontaktiere in diesem Fall für weitere Unterstützung unseren Support.

  • Wenn Du neben Payrexx keine weiteren Systeme einsetzt, reicht es aus, wenn Du PCI-DSS im Rahmen des SAQ-A Scopes erfüllst.

Welche PCI-DSS-Konformität benötige ich?

Das benötigte Konformitätslevel basiert auf der Anzahl Kartentransaktionen, die während eines Jahres anfallen:

  • Level 1: mehr als 6 Millionen Transaktionen pro Jahr

  • Level 2: zwischen 1 – 6 Millionen Transaktionen pro Jahr

  • Level 3: zwischen 20'000 – 1 Millionen Transaktionen pro Jahr

  • Level 4: weniger als 20'000 Transaktionen pro Jahr

Die Art und Weise, wie die PCI-DSS-Konformität geprüft wird, hängt vom jeweiligen Level ab:

Level 1

Die Durchführung eines On-Site-Assessments durch einen PCI-DSS QSA ist zwingend. Falls dies auf Dich zutrifft, kontaktiere bitte unseren Support, damit wir Dich bei diesem Prozess unterstützen können.

Level 2 – 4

Für das Erlangen der PCI-DSS Konformität ist eine Selbstauskunft ausreichend.

Wie funktioniert die Selbstauskunft?

Die Art der Selbstauskunft (Self-Assessment Questionnaire, kurz SAQ) unterscheidet sich je nach Integrationsart. Da Payrexx Lösungen mit iFrame und Weiterleitung anbietet, reicht die SAQ-A Selbstauskunft aus.

Ein vorbereitetes Dokument in englischer Sprache findest Du unter PCI-DSS-v3_2_1-SAQ-A.pdf.

Die folgende Anleitung hilt Dir dabei, das Dokument korrekt auszufüllen.

Section 1: Assessment Information

Seite 7

Fülle bitte die Informationen zu Deinem Unternehmen aus:

Seite 8

Beschreibe Dein Geschäft unter "Description of Payment Card Business" in Bezug auf Zahlungskarten. Liste zudem Deine Firmenstandorte und die verwendeten Datenzentren Deiner Webanwendung auf, sofern Du Payrexx in Dein System integriert hast.

Seite 9

Bitte lies zuerst sorgfältig den Abschnitt "Eligibility to Complete SAQ A" durch. Solltest Du mit einem oder mehreren Punkten nicht einverstanden sein, musst Du wahrscheinlich eine andere Selbstauskunft ausfüllen. Bitte wende Dich in diesem Fall an unseren Support.

Section 2: Self-Assessment Questionnaire A

Die Sektion 2 befasst sich mit den verschiedenen Anforderungen, die Du erfüllen musst.

Seite 10

Falls Du lediglich die Payrexx-Tools und keinen E-Commerce-Shop oder eine andere mit Payrexx verbundene Anwendung verwendst, kannst Du die Anforderungen (Requirements) 2, 8 und 9 mit N/A markieren. Fahre danach mit der Anforderung 12 fort.

Falls Du eine eigene Software einsetzt, die mit Payrexx verbunden ist, musst Du sämtliche Anforderungen ausfüllen, auch die Nummern 2, 8 und 9.

Anforderung 2

Gilt für das Webhosting respektive den Server, auf dem Deine mit Payrexx verbundene Webanwendung installiert ist (entweder mit einem Redirect, mit einer modalen oder mit einer iFrame-Lösung). Die Anforderungen betreffen System-Passwörter und andere Sicherheitsparameter.

2.1 (a)

Are vendor-supplied defaults always changed before installing a system on the network?

Stelle sicher, dass Dein Webserver (z. B. FTP-Konto, Webhosting-Konto, Betriebssystembenutzer- und Datenbankkonten) keine Standard-Passwörter verwendet. Falls Deine Passwörter durch einen Webhosting-Partner verwaltet werden, lasse Dir schriftlich bestätigen, dass keine Standard-Passwörter verwendet werden. Es ist wichtig, dass Du den Konfigurationsstandard schriftlich ablegst. Eine Vorlage dazu findest Du unter Policy / Procedures Template Download.

2.1 (b)

Are unnecessary default accounts removed or disabled before installing a system on the network?

Stelle bitte sicher, dass Standardkonten deaktiviert sind. Falls Du mit einem Webhosting-Partner zusammenarbeitest, lasse Dir das schriftlich bestätigen.

Anforderung 8

Gilt für das Webhosting respektive den Server, auf dem Deine mit Payrexx verbundene Webanwendung installiert ist (entweder mit einem Redirect, mit einer modalen oder mit einer iFrame-Lösung). Die Anforderungen betreffen die Authentifizierung und den Zugriff auf den Server.

8.1.1

Are all users assigned a unique ID before allowing them to access system components or cardholder data? Stelle sicher, dass allen Benutzern (Datenbank-, Betriebssystem-, SSH- und FTP-Benutzer) eine eindeutige ID zugewiesen wird. Falls Du mit einem Webhosting-Partner zusammenarbeitest, lass Dir dies schriftlich bestätigen.

8.1.3

Is access for any terminated users immediately deactivated or removed?

Stelle sicher, dass keine Konten von gekündigten Mitarbeitern aktiv sind.

8.2

In addition to assigning a unique ID, is one or more of the following methods employed to authenticate all users? ▪ Something you know, such as a password or passphrase ▪ Something you have, such as a token device or smart card ▪ Something you are, such as a biometric.

Stelle sicher, dass keine Benutzer ohne Passwort erlaubt und vorhanden sind. Falls Du mit einem Webhosting-Partner zusammenarbeitest, lass Dir dies schriftlich bestätigen.

8.2.3 (a)

Are user password parameters configured to require passwords/passphrases meet the following? • A minimum password length of at least seven characters • Contain both numeric and alphabetic characters. Alternatively, the passwords/passphrases must have complexity and strength at least equivalent to the parameters specified above.

Stelle sicher, dass alle Passwörter der Anforderung entsprechen.

8.5

Are group, shared, or generic accounts, passwords, or other authentication methods prohibited as follows: ▪ Generic user IDs and accounts are disabled or removed; ▪ Shared user IDs for system administration activities and other critical functions do not exist; and ▪ Shared and generic user IDs are not used to administer any system components?

Stelle sicher, dass keine Benutzerkonten vorhanden sind, die von mehr als einer Person verwendet werden. Allgemeine Benutzerkonten oder Standardbenutzerkonten müssen deaktiviert werden.

Es ist wichtig, dass für die Anforderung 8 eine schriftliche Richtlinie besteht. Eine Vorlage dazu findest Du unter Policy / Procedures Template Download.

Anforderung 9

Betrifft das Webhosting respektive den Server, auf dem Deine Webanwendung, die mit Payrexx verbunden ist, installiert ist (entweder mit einer Weiterleitung, einer modalen oder einer iFrame-Lösung). Die Anforderungen betreffen die physische Sicherheit der Server.

Wenn Du für Dein Hosting einen Drittanbieter verwendest, überprüfe die Anforderungen mit Hilfe der Unterstützung des Hosting-Partners.

Da die meisten Websites nicht auf einem Server vor Ort gehostet werden, gehen wir nicht näher auf diese Anforderung ein.

Falls dein Hosting-Provider PCI-DSS-konform ist, fülle die Anforderung 9 mit N/A aus. Dies gilt z. B. für Amazon Web Services oder Google Cloud).

Falls der Hosting-Anbieter nicht PCI-DSS-konform ist, erkundige dich bei ihm, ob er dies bestätigen kann. Falls ja, beantworte die Frage mit "Ja".

Anforderung 12

Betrifft das Webhosting respektive den Server, auf dem Deine Webanwendung, die mit Payrexx verbunden ist, installiert ist (entweder mit einer Weiterleitung, einer modalen oder einer iFrame-Lösung). Die Anforderungen betreffen die Anbieter, die CHD in Ihrem Namen bearbeiten.

12.8.1

Is a list of service providers maintained, including a description of the service(s) provided? Maintain a list of service providers who could impact the security of the cardholder data.

Grundsätzlich musst Du Payrexx auf dieser Dienstleisterliste haben. Falls Du weitere Zahlungsdienstleister verwendest, musst Du diese ebenfalls aufführen.

12.8.2

Is a written agreement maintained that includes an acknowledgement that the service providers are responsible for the security of cardholder data the service providers possess or otherwise store, process, or transmit on behalf of the customer, or to the extent that they could impact the security of the customer’s cardholder data environment?

Du benötigst eine Vereinbarung mit Payrexx. Hierfür stellen wir Dir gerne die folgende Vorlage zur Verfügung: PCI-Agreement-with-Merchants.pdf. Bitte sende die unterschriebene Vereinbarung an compliance@payrexx.com, um sie von Payrexx unterzeichnen zu lassen.

12.8.3

Is there an established process for engaging service providers, including proper due diligence prior to engagement?

Stelle sicher, dass bei Dir ein formeller Prozess für die Beauftragung von Dienstleistern wie Payrexx besteht.

12.8.4

Is a program maintained to monitor service providers’ PCI-DSS compliance status at least annually?

Stelle sicher, dass Du über einen Prozess verfügst, um die PCI-DSS-Konformität von Payrexx jährlich zu überprüfen.

12.8.5

Is information maintained about which PCI-DSS requirements are managed by each service provider, and which are managed by the entity?

Payrexx trägt die volle Verantwortung für alle von *.payrexx.com bereitgestellten Dienste. Du bist verantwortlich für die Server und Anwendungen, die sich mit Payrexx verbinden.

12.10.1.a

Has an incident response plan been created to be implemented in the event of system breach?

Stelle sicher, dass ein Incident Response Plan geführt wird, um einen potenziellen Sicherheitsvorfall abzudecken. Eine Vorlage für diesen Incident Response Plan findest Du unter Incident Response Plan Template Download.

Es ist wichtig, dass Du für diese Anforderung 12 eine schriftliche Richtlinie hast. Eine Vorlage dafür findest Du unter Policy / Procedures Template Download.

Unterschrift

Mit Deiner Unterschrift auf der Selbstauskunft bestätigst Du, dass Du alle Fragen wahrheitsgetreu ausgefüllt hast. Du kannst das Self-Assessment Questionnaire nun an Payrexx senden: compliance@payrexx.com

Last updated