Die PCI DSS Zertifizierung ist ein Sicherheitsstandard im Zahlungsverkehr, der vor Betrug und Missbrauch bei Kreditkartenzahlungen schützen soll. Die strengen Sicherheitsanforderungen stellen einen Schutz der sensiblen Informationen über den Kreditkarteninhaber dar, sodass dieser Vertrauen in das Zahlungsmittel haben kann. In diesem Artikel erfahren Sie, wie Sie vorgehen müssen, wenn Sie die PCI DSS Zertifizierung erhalten möchten, um die Sicherheit Ihres Zahlungssystems zu verbessern.
Grundprinzipien der PCI DSS Zertifizierung
Die PCI-DSS-Zertifizierung (die Abkürzung steht für Payment Card Industry Data Security Standard) bezeichnet eine Reihe von Sicherheitsnormen, die das Ziel haben, alle mit einer Zahlung verbundenen Daten zu schützen. Die Normen sichern die Informationen der Kreditkartendaten, beugen auf diese Weise Betrügereien vor und senken generell das Risiko von Datenlecks. PCI-DSS wurde 2006 durch das PCI Security Standards Council (Mastercard, Visa, American Express, JBC und Discover) lanciert und beruht auf 6 Grundprinzipien:
● ein sicheres Netzwerk aufbauen und pflegen,
● die Daten der Kreditkarteninhaber schützen,
● ein Schwachstellen-Management-Programm anwenden,
● strenge Maßnahmen für die Zugriffskontrolle implementieren,
● Netzwerke regelmäßig testen und überwachen,
● eine Politik für die Informationssicherheit umsetzen.
Ziel von PCI DSS ist also der Schutz des gesamten Ökosystems rund um Kreditkarten. Die Norm gilt für Händler und alle Unternehmen oder Dienstleister, die Zahlungstransaktionen mit Debit- oder Kreditkarten abwickeln.
Die Etappen für die PCI DSS Zertifizierung
Um die PCI DSS Compliance zu gewährleisten, müssen bestimmte Anforderungen erfüllt sein. Mit einem PCI-DSS-Tool können sich Organisationen selbst einschätzen, Probleme identifizieren und die notwendigen Sicherheitsmaßnahmen umsetzen. Um die Zertifizierung zu erhalten, muss der Dienstleister 7 Etappen absolvieren:
● die Datenflüsse der Kreditkartendaten visualisieren,
● den Umfang der Umgebung festlegen,
● die derzeitige Konformität mit der PCI DSS Norm beurteilen,
● gegebenenfalls Änderungen durchführen, um Schwachstellen zu beheben,
● den Selbstbeurteilungsfragebogen A ausfüllen,
● die Dokumente an den Dienstleister des Zahlungssystems übermitteln,
● die Compliance im Laufe der Zeit immer wieder regelmäßig überprüfen.
Die aktuelle PCI-DSS-Version (PCI DSS 4.0) wurde im März 2022 eingeführt und basiert auf 12 grundlegenden Anforderungen. Im Laufe der Zeit wurden die Anforderungen immer wieder im Hinblick auf bestimmte wichtige Aspekte ausgeweitet, die die Sicherheit der Informationssysteme sowie die Onlinezahlungstechnologien betreffen.
Die richtige Vorbereitung auf das PCI DSS Audit
Die letzte Etappe für Unternehmen, um die PCI-DSS-Zertifizierung zu erhalten, ist das Audit. Dabei wird von neutraler Seite angemessen überprüft, ob die Anforderungen der Norm im Unternehmen erfüllt sind. Vor dem Audit gilt es zunächst, den Besuch des Auditors vorzubereiten. Die meisten Prüfer verlangen vom zu prüfenden Unternehmen im Vorfeld bestimmte Informationen (z. B. eine Beschreibung der bestehenden Kontrollen oder eine Bestandsaufnahme der Systeme). Selbstverständlich sollten Sie in der Lage sein, die gewünschten Informationen zu liefern.
Erstellen Sie dann selbst eine genaue Analyse, um Schwachstellen zu erkennen. Identifizieren Sie kritische Punkte in den Zahlungsprozessen und -systemen und konzentrieren Sie die Anstrengungen auf diese sensiblen Risikobereiche.
Vor dem Audit ist es wichtig, Kontrollmechanismen einzuführen. Auf diese Weise können Sie die Compliance kontinuierlich überprüfen und kleine Abweichungen vor dem offiziellen Audit kontrollieren. Die Compliance mit PCI DSS kann mit einer Compliance-Bestätigung (Attestation of Compliance oder AoC) zertifiziert werden. Dazu muss das Unternehmen zunächst einen Selbstbeurteilungsfragebogen ausfüllen oder ein Audit durch einen oder mehrere QSA (Qualified Security Assessor) durchführen lassen.
Bedeutung der PCI DSS Zertifizierung
Die PCI-DSS-Zertifizierung ist eine der Grundlagen für die Sicherheit von Kreditkartendaten. Die Einhaltung dieser Norm schützt nicht nur vor Betrugsrisiken, sondern stärkt auch das Vertrauen der Kunden. Der PCI DSS Standard setzt voraus, das Schwachstellenmanagement des Zahlungssystems peinlich genau zu kontrollieren. Die Norm ist heute ein Muss für alle Organisationen, die Kreditkartentransaktionen abwickeln.
