PCI DSS: Warum Shop-Betreiber auf dieses Zertifikat achten sollten

PCI DSS – diese sechs Buchstaben stehen für die sichere Kreditkartenzahlung im Internet, zum Beispiel in Online-Shops. Bei dem Payment Card Industry  Data Security Standard handelt es sich nämlich um bestimmte Anforderungen an ein sicheres Übertragen, Verarbeiten, und Speichern von Kreditkartendaten. Eine entsprechende Zertifizierung aller beteiligten Unternehmen – sowohl des Shops als auch des Hosters – signalisiert den Kunden, dass ihre sensiblen Daten sicher sind.

Die großen Kreditkartenanbieter American Express, Discover Financial Services, JCB International, MasterCard und Visa Inc. haben sich zu einem offenen Forum zusammengeschlossen. Dieses nennt sich Payment Card Industry (PCI) Standard Security Council. Sein erklärtes Ziel ist die Weiterentwicklung, Verbesserung, Archivierung, Verbreitung und Implementierung von Sicherheitsstandards für den Schutz von Kontodaten. Durch Informationen, Weiterbildung und Aufklärung über die PCI Security Standards erhöht die Organisation die Sicherheit von Zahlungs- und Kontodaten.

Logo TÜV SÜD PCI DSSDer PCI-DSS-Katalog in der aktuellen Version 3.2 definiert die Anforderungen bezüglich der sicheren Übertragung, Speicherung und Verarbeitung der Kreditkartendaten. Er fordert sehr konkrete Maßnahmen zur Umsetzung, die von Betreibern eines Cardholder Data Environments (CDE) eingehalten werden sollten. Dabei können Verstöße eines CDE-Betreibers gegen den PCI Data Security Standard zu Strafgebühren und Einschränkungen bis hin zur Ablehnung von Kreditkarten-Transaktionen führen.

Der PCI DSS in Version 3.2 besteht aus 12 Kapiteln:

  1. Installation und Pflege einer Firewall zum Schutz der Daten
  2. Ändern von Kennwörtern und anderen Sicherheitseinstellungen nach der Werksauslieferung
  3. Schutz der gespeicherten Daten von Kreditkarteninhabern
  4. Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern in öffentlichen Rechnernetzen
  5. Einsatz und regelmäßiges Update von Virenschutzprogrammen
  6. Entwicklung und Pflege sicherer Systeme und Anwendungen
  7. Einschränken von Datenzugriffen auf das Notwendige
  8. Zuteilen einer eindeutigen Benutzerkennung für jede Person mit Rechnerzugang
  9. Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern
  10. Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern
  11. Regelmäßige Prüfungen aller Sicherheitssysteme und -prozesse
  12. Einführen und Einhalten von Richtlinien in Bezug auf Informationssicherheit

Die PCI-DSS-Zertifizierung

CDE-Betreiber können den Betrieb einer kreditkartenverarbeitenden Umgebung zertifizieren lassen. Sie erhalten dann ein Logo für ihre Website, um den sicheren Umgang mit Kreditkartendaten gegenüber ihren Kunden aufzuzeigen. Jedoch müssen dazu alle für das jeweilige CDE relevanten Anforderungen erfüllt werden. Sei es durch den CDE-Betreiber oder entsprechende Subdienstleister wie den Hosting-Anbieter.

Aus diesem Grund empfiehlt es sich, auf die Wahl der Subdienstleister zu achten, wenn man eine PCI-DSS-zertifizierte Website anstrebt . Mit bereits vorhandenen Zertifizierungen der Subdienstleister kann dabei die eigenen Zertifizierung schneller und kostengünstiger erreicht werden. Zudem ist es möglich, den Zertifizierungs-Scope durch einen entsprechenden Aufbau der Umgebung und der darauf betriebenen Applikation  klein zu halten.

Bewertung des PCI DSS für den Online-Handel

Sicheres OnlineshoppingDer PCI DSS stellt ein sehr gutes Framework dar, um die notwendige Sicherheit von Kreditkartendaten einzuhalten. Somit unterstützt er die Informationssicherheit und den Datenschutz der Betreiber. Der Standard fordert dabei nicht nur technische Lösungen, sondern auch organisatorische Regelungen (z.B. Umgang mit Sicherheitsvorfällen). Er kann daher helfen, diese im Unternehmen zu optimieren bzw. einzuführen, falls noch nicht vorhanden.

Weiterführende Links:

Hier können Sie einen Blick in ein PCI-DSS-zertifiziertes Rechenzentrum werfen.

Erfahren Sie auch, was es mit einer Zertifizierung nach IT-Grundschutz auf sich hat.

Worauf kommt es beim E-Commerce Hosting im Cloud-Zeitalter an? Laden Sie hier die exklusive Studie von Crisp Research kostenfrei herunter.