Was Sie als Händler über PCI DSS wissen müssen und wie man sich vor Missbrauch und Angriffen schützen kann.
"Nach der Gründung unseres Unternehmens müssen wir uns mit einer Vielzahl an neuen Themen beschäftigen. Eines davon ist Sicherheit und PCI DSS. Was muss ich als Händler darüber wissen?"
Peter N., Einzelhändler mit Onlineshop in Hannover
Sicherheit spielt eine zentrale Rolle bei allen Zahlungsvorgängen, egal ob stationär und mobil, ob im E-Commerce, im Geschäft oder beim Kunden vor Ort. Natürlich muss man sich darauf verlassen können, dass Transaktionen erfolgreich übermittelt und Zahlungen zuverlässig abgewickelt werden. Wichtig dabei ist, dass Unberechtigte keinen Zugriff auf Daten des Kunden oder des Händlers erlangen – vor allem bei Kreditkarten, aber auch darüber hinaus.
Um Zahlungsausfällen, Kreditkartenmissbrauch und Diebstahl von Daten vorzubeugen und auch dagegen vorzugehen, gibt es einen weltweit gültigen Sicherheitsstandard der führenden Kreditkartenorganisationen, den sogenannten PCI DSS – Payment Card Industry Data Security Standard.
„Man könnte PCI DSS auch den ‚Sicherheits-TÜV im Datenverkehr‘ für Kartenzahlungen nennen“, sagt Daniela C., Expertin Credit Risk and Fraud Prevention Expert bei Nexi. Die Standards werden vom PCI Security Standards Council, einem Interessenforum der führenden Kartenorganisationen sowie interessierter Branchengruppen, entwickelt und verwaltet.
„Sicherheit, Verfügbarkeit und Integrität von Daten und IT-Systemen sind kritische Erfolgsfaktoren von Unternehmen, vor allem mit der fortschreitenden Entwicklung des technischen Umfelds. Der eigene ‚Daten-Schatz‘ muss vor Diebstahl, Manipulation und Missbrauch geschützt werden, um zum Beispiel Zahlungsausfälle, Haftungsrisiken und Imageschäden für das Unternehmen zu vermeiden“, so die Expertin.
Grundsätzlich ist jedes Unternehmen, das Kreditkartendaten akzeptiert, speichert, verarbeitet oder übermittelt, dazu verpflichtet, die Sicherheitsvorgaben des PCI DSS einzuhalten. Das gilt für Nexi genauso wie für Sie als Internethändler, Ladeninhaber, Hotelier oder Gastronom und für alle Ihre Dienstleister, die mit Kartendaten in Berührung kommen.
Schutz vor Cyber-Kriminalität und Reputationsschäden
Wer die Standards einhält, schützt sich und sein Unternehmen so weit wie möglich vor Missbrauch oder Verlust von Karten- und Unternehmensdaten, genauso wie vor Hacker-Angriffen, Cyber-Kriminalität und Angriffen „von innen“.
Wer die Standards nicht einhält, muss mit Schadensersatzforderungen und dem Risiko von Klagen rechnen, genauso wie hohen Geldstrafen wegen Verstoßes gegen die Sicherheits- und/oder Datenschutzvorgaben oder wegen Verstoß gegen die Regeln der Kartenorganisationen. Auch Reputationsschäden und der damit verbundene Vertrauensverlust Ihrer Kunden können schwerwiegende Konsequenzen für Ihr Geschäft haben.
„Wichtig zu wissen ist, dass Sie Ihr Unternehmen mit einem erbrachten Nachweis nach dem PCI-DSS-Standard weitgehend vor den Risiken und Schäden eines Sicherheitsvorfalls schützen können und zudem gesetzliche Datenschutzrichtlinien zu einem Großteil erfüllen.
Die zu erfüllenden Anforderungen für den Nachweis bestehen aus technischen und operativen Komponenten bei der Abwicklung von Kartenzahlungen. Anforderungen sind zum Beispiel das Einrichten und die Wartung der eigenen Systeme, die Verwaltung von Zugriffsrechten, aber auch die Prüfung der PCI-Konformität Ihrer involvierten Dienstleister (PCI DSS: 12 Sicherheitsanforderungen zum herunterladen). Sie bilden die Sicherheitsgrundlage für Ihr Unternehmen“, so Daniela C., Expertin Credit Risk and Fraud Prevention und erklärt weiter:
„Haftungsrechtlich und regulatorisch ist es für Unternehmen wichtig, für Datensicherheit zu sorgen und auch das Datenschutzgesetz einzuhalten.Doch letztendlich sollte es für Sie als Händler noch wichtiger sein, dass Ihre Geschäftsgeheimnisse und Daten sicher sind. Deshalb raten wir Ihnen die geforderten Standards zu erfüllen und den Nachweis zum Beispiel über die PCI-DSS-Selbst-Auskunft (‚SAQ‘) regelmäßig zu erbringen. Hierbei können wir Sie unterstützen.“
Selbst-Nachweis für Ihr Unternehmen
Um Sie durch den Selbst-Nachweis zu führen, wurde von unserem Zertifizierungspartner usd AG und Nexi eine Informations-Plattform entwickelt.
„Als Kunde von Nexi können Sie überprüfen, ob Sie die PCI-Anforderungen erfüllen, sich informieren und den Selbst-Nachweis durchführen. Danach haben Sie auch die Möglichkeit, mit dem ‚PCI DSS approved-Siegel‘ in Verbindung mit Ihrem Unternehmen zu werben, um bei Ihren Kunden an Vertrauen zu gewinnen“, erklärt Daniela C. weiter.
Falls Sie Hilfe bei dem Selbst-Nachweis brauchen, schreiben Sie uns.
Anforderungen auf einen Blick
Die Anforderungen der PCI DSS lassen sich grundsätzlich in drei Kategorien unterteilen.
1. Zugriffskontrolle und -beschränkung: Händler müssen den Zugang zu Karteninhaberdaten einschränken. Dies tun Sie beispielsweise dadurch, dass nur Personen im Unternehmen auf für Sie relevante Daten zugreifen können – ganz nach dem „Need-to-know“-Prinzip. Außerdem muss die Möglichkeit bestehen, Zugriffe auf Netzwerkressourcen sowie Karteninhaberdaten zu verfolgen und zu überwachen – beispielsweise durch die Zuweisung eindeutiger Kennungen an alle Personen mit Computerzugriff.
2. Softwaresicherheit: Händler müssen für die Einrichtung und Instandhaltung der Firewall-Konfiguration zum Schutz der Daten sorgen. Außerdem sind Sie für die verschlüsselte Übertragung sensibler Informationen, wie der Karteninhaberdaten, über öffentliche Netze verantwortlich. Der Gebrauch und die regelmäßige Aktualisierung von Antivirenprogrammen sind ebenfalls bindend.
3. Sicherheit im Umgang: Die PCI DSS verlangen ein allgemein sicheres Vorgehen im Umgang mit Kartendaten. Händler müssen stets die Nutzung sicherer Systeme und Anwendungen sowie deren regelmäßige Prüfung garantieren. Außerdem dürfen grundsätzlich keine voreingestellten System-Passwörter oder Sicherheitsparameter genutzt werden.
Erfahren Sie mehr über PCI mit einem speziellen Fokus der Kartensicherheit für Hotels (Broschüre).
Neben der PCI-DSS-Verifizierung können Sie und Ihre Mitarbeiter dazu beitragen, Datenhacking, Kartenmissbrauch und Betrug vorzubeugen.
Für weitere Fragen zu diesem Thema oder auch bei anderen Anliegen stehen wir Ihnen gerne auch telefonisch zur Verfügung. Nehmen Sie zu uns Kontakt auf. Wir freuen uns auf Sie!