PCI DSS Konformität

Was ist PCI DSS?

PCI DSS steht für Payment Card Industry Data Security Standard.
Das PCI DSS Council wurde ursprünglich am 7. September 2006 von American Express, Discover Financial Services, JCB International, MasterCard und Visa Inc. gegründet Bei diesem Standard dreht sich alles um die Sicherheit der Karteninhaberdaten Ihrer Kunden.

Was sind Kartendaten?

Der Begriff Kartendaten (Cardholder Data, kurz: CHD) bei E-Commerce Transaktionen umfasst:
  • Die gesamte Kartennummer (Primary Account Number, kurz PAN)
  • CVV/CVC Code (3- oder 4-stelliger Sicherheitscode auf der Rückseite der Karte)

Weshalb benötige ich eine PCI DSS Konformität?

Wenn Sie Kartenzahlungen empfangen, haben Sie einen Vertrag mit einem oder mehreren Acquiring-Banken. Diese Acquiring-Banken sind gegenüber den Kartensystemen (z.B. Mastercard, VISA) verpflichtet, eine gewisse Abdeckung bei der PCI DSS Konformität zu schaffen. Es hängt von Ihrem Volumen ab, wie und ob Sie nach einer Bescheinigung für PCI DSS gefragt werden.
Es ist in Ihrer Verantwortung, dass Sie die PCI DSS Konformität sicherstellen. Payrexx hilft Ihnen gerne dabei.

Wie hilft Payrexx?

  • Payrexx ist PCI DSS Level 1 Service Provider konform und deckt somit viele der > 250 Anforderungen von PCI DSS, um den Prozess zur Erlangung einer Konformität mit PCI DSS für Sie zu vereinfachen. Das aktuelle AoC von Payrexx finden Sie unter https://www.payrexx.com/Payrexx-AOC-PCI-DSS-v3-2-1-20210723.pdf
  • Wenn Sie Kartendaten auch über andere Kanäle als Payrexx (z. B. am Point of Sale, Telefon / E-Mail) erhalten, müssen Sie mehr PCI DSS Anforderungen erfüllen, als in diesem Artikel angegeben. Bitte kontaktieren Sie in diesem Fall unseren Support für weitere Unterstützung und Auskünfte.
  • Sofern Sie kein anderes System einsetzen als Payrexx, müssen Sie PCI DSS im Rahmen des SAQ-A Scopes einhalten.

Welche PCI DSS Konformität benötige ich?

Das Level der Konformität entscheidet sich anhand der Anzahl Kartentransaktionen, die Sie in einem Jahr erhalten:
  • Level 1: mehr als 6 Millionen Transaktionen im Jahr
  • Level 2: zwischen 1 - 6 Millionen Transaktionen im Jahr
  • Level 3: zwischen 20,000 - 1 Millionen Transaktionen im Jahr
  • Level 4: weniger als 20,000 Transaktionen im Jahr
Abhängig vom zutreffenden Level unterscheidet sich die Art und Weise der Prüfung der PCI DSS Konformität:
  • Level 1: Sie müssen ein On-Site-Assessment durch einen PCI DSS QSA durchführen lassen. Falls dies auf Sie zutrifft, kontaktieren Sie bitte unseren Support, damit wir Sie in diesem Prozess unterstützen können.
  • Level 2 - 4: Sie können die PCI DSS Konformität mit einer Selbstauskunft (Self-Assessment Questionnaire, kurz SAQ) erlangen.

Wie funktioniert die Selbstauskunft?

Die Selbstauskunft unterscheidet sich je nach Integrationsart von Payrexx. Payrexx bietet iFrame Lösungen an und eine Weiterleitung. Aus diesem Grund reicht die SAQ-A Selbstauskunft aus.
Ein vorbereitetes Dokument finden Sie unter: https://www.payrexx.com/pcidss/PCI-DSS-v3_2_1-SAQ-A.pdf

Seite 7 der Selbstauskunft

Auf Seite 7 müssen Sie Informationen zu Ihrer Unternehmung ausfüllen:

Seite 8 der Selbstauskunft

Geben Sie eine Beschreibung Ihres Geschäfts in Bezug auf Zahlungskarten unter Description of Payment Card Business ein. Ausserdem müssen Sie Ihre Firmensitze angeben, sowie die verwendeten Datenzentren Ihrer Webanwendung, sofern Sie Payrexx in Ihr System integriert haben.

Seite 8 der Selbstauskunft

Lesen Sie den Abschnitt Eligibility to Complete SAQ A sorgfältig durch. Wenn Sie mit einem der Punkte nicht einverstanden sind, müssen Sie wahrscheinlich eine andere Selbstauskunft ausfüllen. Bitte wenden Sie sich in diesem Fall an unseren Support.

Abschnitt 2 der Selbstauskunft

In Abschnitt 2 geht es um die Anforderungen, die Sie erfüllen müssen.
Falls Sie nur Payrexx-Tools ohne einen anderen E-Commerce-Shop oder eine mit Payrexx verbundene Anwendung verwenden, können Sie die folgenden Anforderungen als N/A markieren: 2, 8, 9. Bitte fahren Sie dann mit Anforderung 12 fort.
Wenn Sie über eine eigene Software verfügen, die mit Payrexx verbunden ist, müssen Sie alle Anforderungen durchgehen.

Anforderung 2

This is applicable to your web hosting / server on which you have installed your web application which is connected to Payrexx (either with a redirect or modal / iframe solution).
The requirements concerns system passwords and other security parameters.
  • 2.1.a Are vendor-supplied defaults always changed before installing a system on the network?
    Stellen Sie sicher, dass Ihr Webserver (z. B. FTP-Konto, Webhosting-Konto, Betriebssystembenutzer, Datenbankkonten) keine Standardkennwörter verwendet. Falls Sie einen Webhoster nutzen, lassen Sie sich dies schriftlich bestätigen. Es ist wichtig, dass Sie einen schriftlichen Konfigurationsstandard haben, der dies vorgibt. Sie finden eine Vorlage unter: Policy / Procedures Template Download
  • 2.1.b Are unnecessary default accounts removed or disabled before installing a system on the network?
    Stellen Sie sicher, dass Standardkonten deaktiviert sind. Falls Sie einen Webhoster nutzen, lassen Sie sich dies schriftlich bestätigen.

Anforderung 8

This is applicable to your web hosting / server on which you have installed your web application which is connected to Payrexx (either with a redirect or modal / iframe solution).
The requirements concerns the authentication and access to those servers.
  • 8.1.1 Are all users assigned a unique ID before allowing them to access system components or cardholder data? Stellen Sie sicher, dass allen Benutzern (Datenbank-, Betriebssystembenutzer, ssh-Benutzer, FTP-Benutzer) eine eindeutige ID zugewiesen wird. Falls Sie einen Webhoster nutzen, lassen Sie sich dies schriftlich bestätigen.
  • 8.1.3 Is access for any terminated users immediately deactivated or removed?
    Stellen Sie sicher, dass keine Konten von gekündigten Mitarbeitern aktiv sind.
  • 8.2 In addition to assigning a unique ID, is one or more of the following methods employed to authenticate all users? ▪ Something you know, such as a password or passphrase ▪ Something you have, such as a token device or smart card ▪ Something you are, such as a biometric
    Stellen Sie sicher, dass keine Benutzer ohne Passwort erlaubt und vorhanden sind. Falls Sie einen Webhoster nutzen, lassen Sie sich dies schriftlich bestätigen.
  • 8.2.3.a Are user password parameters configured to require passwords/passphrases meet the following? • A minimum password length of at least seven characters • Contain both numeric and alphabetic characters
    Alternatively, the passwords/passphrases must have complexity and strength at least equivalent to the parameters specified above.
    Stellen Sie sicher, dass die Passwörter der Anforderung entsprechen.
  • 8.5 Are group, shared, or generic accounts, passwords, or other authentication methods prohibited as follows: ▪ Generic user IDs and accounts are disabled or removed; ▪ Shared user IDs for system administration activities and other critical functions do not exist; and ▪ Shared and generic user IDs are not used to administer any system components?
    Stellen Sie sicher, dass keine Benutzerkonten vorhanden sind, die von mehr als einer Person verwendet werden. Allgemeine Benutzerkonten oder Standardbenutzerkonten müssen deaktiviert werden.
  • Es ist wichtig, dass Sie für diese Anforderung 8 eine schriftliche Richtlinie haben. Eine Vorlage finden Sie unter Policy / Procedures Template Download

Anforderung 9

This is applicable to your web hosting / server on which you have installed your web application which is connected to Payrexx (either with a redirect or modal / iframe solution).
The requirements concerns the physical security of the servers.
Wenn Sie für Ihr Hosting einen Drittanbieter verwenden, überprüfen Sie die Anforderungen mit dessen Unterstützung.
Da die meisten Websites nicht auf einem Server vor Ort gehostet werden, gehen wir nicht näher auf diese Anforderung ein.
Falls Ihr Hosting-Provider PCI DSS-konform ist, kreuzen Sie die Anforderungen 9 als N/A an (z. B. Amazon Web Services, Google Cloud).
Falls der Hosting-Anbieter nicht PCI DSS-konform ist, erkundigen Sie sich beim Hosting-Anbieter, ob er dies bestätigen kann, und Sie können es mit Ja ankreuzen.

Anforderung 12

This is applicable to your web hosting / server on which you have installed your web application which is connected to Payrexx (either with a redirect or modal / iframe solution).
The requirements concerns the used providers handling CHD on your behalf.
  • 12.8.1 Is a list of service providers maintained, including a description of the service(s) provided?
    Maintain a list of service providers who could impact the security of the cardholder data.
    Grundsätzlich müssen Sie Payrexx auf dieser Dienstleisterliste haben. Falls Sie weitere Zahlungsdienstleister verwenden, müssten Sie diese ebenfalls aufführen.
  • 12.8.2 Is a written agreement maintained that includes an acknowledgement that the service providers are responsible for the security of cardholder data the service providers possess or otherwise store, process, or transmit on behalf of the customer, or to the extent that they could impact the security of the customer’s cardholder data environment?
    Sie müssen eine Vereinbarung mit Payrexx haben. Hierfür stellen wir Ihnen eine Vorlage zur Verfügung: https://www.payrexx.com/pcidss/PCI-Agreement-with-Merchants.pdf. Bitte senden Sie die unterschriebene Vereinbarung an [email protected], um sie von Payrexx unterzeichnen zu lassen.
  • 12.8.3 Is there an established process for engaging service providers, including proper due diligence prior to engagement?
    Stellen Sie sicher, dass Sie einen formellen Prozess für die Beauftragung von Dienstleistern wie Payrexx haben.
  • 12.8.4 Is a program maintained to monitor service providers’ PCI DSS compliance status at least annually?
    Stellen Sie sicher, dass Sie über einen Prozess verfügen, um die PCI DSS-Konformität von Payrexx jährlich zu überprüfen.
  • 12.8.5 Is information maintained about which PCI DSS requirements are managed by each service provider, and which are managed by the entity?
    Payrexx trägt die volle Verantwortung für alle von *.payrexx.com bereitgestellten Dienste. Sie sind verantwortlich für die Server/Anwendungen, die sich mit Payrexx verbinden.
  • 12.10.1.a Has an incident response plan been created to be implemented in the event of system breach?
    Stellen Sie sicher, dass ein Incident Response Plan geführt wird, um einen potenziellen Sicherheitsvorfall abzudecken. Eine Vorlage für diesen Incident Response Plan finden Sie unter Incident Response Plan Template Download.
  • Es ist wichtig, dass Sie für diese Anforderung 12 eine schriftliche Richtlinie haben. Eine Vorlage finden Sie unter Policy / Procedures Template Download

Unterschrift

Mit Ihrer Unterschrift auf der Selbstauskunft bestätigen Sie, dass Sie alle Fragen wahrheitsgetreu ausgefüllt haben. Sie können nun das SAQ an Payrexx senden an [email protected].
Copy link
On this page
Was ist PCI DSS?
Was sind Kartendaten?
Weshalb benötige ich eine PCI DSS Konformität?
Wie hilft Payrexx?
Welche PCI DSS Konformität benötige ich?
Wie funktioniert die Selbstauskunft?