plusserver-Blog-PCI DSS
Blog

|

02.02.2017

PCI DSS: Warum Shop-Betreiber auf dieses Zertifikat achten sollten

Falko Stetter
PCI DSS – diese sechs Buchstaben stehen für die sichere Kreditkartenzahlung im Internet, zum Beispiel in Online-Shops.

Bei dem Payment Card Industry Data Security Standard handelt es sich nämlich um bestimmte Anforderungen an ein sicheres Übertragen, Verarbeiten und Speichern von Kreditkartendaten. Eine entsprechende Zertifizierung aller beteiligten Unternehmen – sowohl des Shops als auch des Hosters – signalisiert den Kunden, dass ihre sensiblen Daten sicher sind.

Die großen Kreditkartenanbieter American Express, Discover Financial Services, JCB International, MasterCard und Visa Inc. haben sich zu einem offenen Forum zusammengeschlossen. Dieses nennt sich Payment Card Industry (PCI) Standard Security Council. Sein erklärtes Ziel ist die Weiterentwicklung, Verbesserung, Archivierung, Verbreitung und Implementierung von Sicherheitsstandards für den Schutz von Kontodaten. Durch Informationen, Weiterbildung und Aufklärung über die PCI Security Standards erhöht die Organisation die Sicherheit von Zahlungs- und Kontodaten.

Der PCI-DSS-Katalog in der aktuellen Version 3.2 definiert die Anforderungen bezüglich der sicheren Übertragung, Speicherung und Verarbeitung der Kreditkartendaten. Er fordert sehr konkrete Maßnahmen zur Umsetzung, die von Betreibern eines Cardholder Data Environments (CDE) eingehalten werden sollten. Dabei können Verstöße eines CDE-Betreibers gegen den PCI Data Security Standard zu Strafgebühren und Einschränkungen bis hin zur Ablehnung von Kreditkarten-Transaktionen führen.

Der PCI DSS in Version 3.2 besteht aus 12 Kapiteln:

  1. Installation und Pflege einer Firewall zum Schutz der Daten
  2. Ändern von Kennwörtern und anderen Sicherheitseinstellungen nach der Werksauslieferung
  3. Schutz der gespeicherten Daten von Kreditkarteninhabern
  4. Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern in öffentlichen Rechnernetzen
  5. Einsatz und regelmäßiges Update von Virenschutzprogrammen
  6. Entwicklung und Pflege sicherer Systeme und Anwendungen
  7. Einschränken von Datenzugriffen auf das Notwendige
  8. Zuteilen einer eindeutigen Benutzerkennung für jede Person mit Rechnerzugang
  9. Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern
  10. Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern
  11. Regelmäßige Prüfungen aller Sicherheitssysteme und -prozesse
  12. Einführen und Einhalten von Richtlinien in Bezug auf Informationssicherheit

Die PCI-DSS-Zertifizierung

CDE-Betreiber können den Betrieb einer kreditkartenverarbeitenden Umgebung zertifizieren lassen. Sie erhalten dann ein Logo für ihre Website, um den sicheren Umgang mit Kreditkartendaten gegenüber ihren Kunden aufzuzeigen. Jedoch müssen dazu alle für das jeweilige CDE relevanten Anforderungen erfüllt werden. Sei es durch den CDE-Betreiber oder entsprechende Subdienstleister wie den Infrastruktur-Anbieter.

Aus diesem Grund empfiehlt es sich, auf die Wahl der Subdienstleister zu achten, wenn man eine PCI-DSS-zertifizierte Website anstrebt . Mit bereits vorhandenen Zertifizierungen der Subdienstleister kann dabei die eigenen Zertifizierung schneller und kostengünstiger erreicht werden. Zudem ist es möglich, den Zertifizierungs-Scope durch einen entsprechenden Aufbau der Umgebung und der darauf betriebenen Applikation klein zu halten.

Bewertung des PCI DSS für den Online-Handel

Der PCI DSS stellt ein sehr gutes Framework dar, um die notwendige Sicherheit von Kreditkartendaten einzuhalten. Somit unterstützt er die Informationssicherheit und den Datenschutz der Betreiber. Der Standard fordert dabei nicht nur technische Lösungen, sondern auch organisatorische Regelungen (z.B. Umgang mit Sicherheitsvorfällen). Er kann daher helfen, diese im Unternehmen zu optimieren bzw. einzuführen, falls noch nicht vorhanden.

PCI-DSS-konforme Cloud

Finden Sie Cloud-Lösungen für den E-Commerce oder Finanzdienstleister in PCI-DSS-zertifizierten Rechenzentren bei plusserver.

Über den Autor

Falko Stetter ist Director IT Security & Processes bei plusserver und durch den TÜV Rheinland als Informationssicherheitsbeauftragter und Security Manager zertifiziert. Er ist seit 15 Jahren im Unternehmen, davon 8 Jahre im Bereich der Informationssicherheit.

Weiterführende Inhalte

Blog

Paul Hewitt steigert Verfügbarkeit und Stabilität durch AWS Cloud

So wird das Einkaufen im Webshop auch bei hohen Lasten zum Vergnügen.
Blog

Ransomware: Was tun gegen die ständige Bedrohung?

Ransomware verhindert den Zugriff auf wichtige Daten und kann in Unternehmen schwere Schäden verursachen.
Unternehmen

Zertifikate und Testate von plusserver

Unsere Testate und Zertifikate sind der objektive Beweis für die Qualität, Sicherheit und Zuverlässigkeit unserer Cloud-Lösungen.