Das Risiko von Cyberangriffen ist eine ständige Bedrohung und kann in jedem Online-Geschäft passieren. Beispiele gibt es genügend, bei denen Millionen Kreditkartendaten nach Hackerangriffen in die falschen Hände geraten sind.
Man meint, das so etwas nicht vorkommen kann, das es wohl eine Ausnahme ist und nie wieder irgendwo anders passieren kann. Aber leider ist die Wahrheit: Viele Online-Unternehmen sind nicht auf diese potentiellen Angriffe vorbereitet. Darauf hat die Zahlungsindustrie für Kreditkarten auch reagiert und eine breite Palette an Regeln und Anforderungen aufgestellt, welches ein sicheres System für Online-Unternehmen und -Kunden schaffen soll.
Die Anforderungen sind wirklich gigantisch groß, man wird von der Anzahl der geforderten Schritte schier überwältigt, die erforderlich sind, um wirklich Kreditkartendaten speichern und verarbeiten zu dürfen.
Wir möchten unseren Kunden mit auf den Weg geben, welche Schritte dies im einzelnen sind, um ein PCI-DSS-konform-Zertifikat zu erhalten. So können Sie als Kunde sehen, das wir als Pay4Coins uns an all diese Schritte halten – und damit Ihre Kreditkartendaten nach der PCI-DSS-konform sicher bei uns aufgehoben sind.
Was bedeutet der „Payment Card Industry Data Security Standard“ (PCI DSS)?
Im September 2006 wurde der PCI DSS von den Kreditkartennetzwerken ins Leben gerufen, um einen einheitlichen Sicherheitsprozess für die Annahme von Online-Zahlungen mittels Kreditkarte bei der Abwicklung der Transaktionen zu schaffen.
Dabei werden die geforderten Richtlinien ständig aktualisiert und erweitern, um fortwährend eine Anpassung durch das sich weiterentwickelnde E-Commerce vorzunehmen.
Um sicherzustellen, dass alle Kreditkarteninhaber, sowie die sensiblen Daten während des Autentifizierungsprozesses sicher verarbeitet, gespeichert und übertragen werden, müssen alle Online-Händler sowie die Payment-Dienstanbieter eine sichere Infrastruktur schaffen, die den Anforderungen des PCI DSS entspricht.
Der gesamte Prozess wird penibel genau geprüft, in dem man bei der Self-Assessment-Questionnaire (SAQ) einen Antrag einreicht oder aber durch jährliche Prüfungen durch Sicherheitsbewerter, sogenannte Audits, die widerrum den Konformitätsbericht einreichen.
Dabei sei zu beachten, das wirklich jedes Online-Unternehmen entweder den SAQ-Prozess durchlaufen, oder aber die Anforderungen in ihrer Unternehmensumgebung prüfen lassen. Hier gibt es verschiedene Ebenene, je nachdem, wie groß das Unternehmen ist.
Die 4 Stufen der PCI-Konformität:
Stufe 1: Das Unternehmen wickelt über 6 Millionen Kreditkartentransaktionen im Jahr ab. SAQ-Fragebogen und Audits sind obligatorisch.
Stufe 2: Das Unternehmen wickelt zwischen 1 Millionen und 6 Millionen Kreditkartentransaktionen im Jahr ab. SAQ-Fragebogen ist obligatorisch, welcher von einem PCI-SSC-ISA-Mitarbeiter unterzeichnet wird.
Stufe 3: Das Unternehmen wickelt zwischen 20.000 und 1 Millionen Kreditkartentransaktionen im Jahr ab. Der SAQ-Fragebogen ist obligatorisch.
Stufe 4: Das Unternehmen wickelt weniger als 20.000 Kreditkartentransaktionen im Jahr ab. Der SAQ-Fragebogen wird empfohlen.
Welche Schritte sind notwendig, um PCI-DSS-konform zu werden?
Aufbau und Pflege eines sicheren Netzwerk und Systems
Zunächst muss eine Firewall-Konfiguration installiert und verwaltet werden, um die Kreditkartendaten unserer Kunden zu schützen. Auf diese Weise wird die Verbindung zwischend en Kreditkartendaten und anderen Netzwerken verwaltet, identifiziert und dokumentiert und verdächtige, nicht vertrauenswürdige Netzwerke blockiert. Dadurch wird ebenso sichergestellt, das niemand direkten Zugriff auf die Umgebung hat, in der all diese Daten gespeichert sind.
Hacker sind wirklich sehr einfallsreich, wenn es darum geht, an Passwörter zu kommen, denn sie verwenden sogenannte Exploits, die veraltete Einstellungen in den Systemen nutzen, damit sie sich einfachen Zugang zu den Systemen schaffen können.
Im zweiten Schritt muss immer dafür gesorgt werden, das die Systeme auf dem neusten Stand sind und unnötige Konten deaktiviert werden, bevor ein neues System im Netzwerk installiert wird.
Die PCI-DSS-Richtlinen schreiben vor, das alle Konfigurationsstandards für alle Systemkomponenten entwickelt werden und damit vorhandene Schwachstellen behoben werden. Außerdem muss sichergestellt sein, dass das System von einer Person verwaltet wird, die mit der Anweisung von Kryptografien vertraut ist, so dass sichergestellt wird, das die Daten verschlüsselt und damit unantastbar sind.
Schutz der Kreditkartendaten mit strengen Zugriffskontrollen
Die PCI-DSS-Richtlinien empfehlen, die Kreditkartendaten nicht selbst zu speichern, es sei denn, das ist für das Unternehmen erforderlich. Beispielsweise bei Abo-Modellen, denn die Kreditkartendaten werden dazu verwendet, die Verlängerung des Abos durchführen zu können.
Möchte man die Kreditkartendaten speichern, benötigt man eine von der Aufsichtsbehörde genehmigte Datenaufbewahrung, in der festgelegt wird, wie lange diese sensiblen Daten gespeichert werden können. Ansonsten lautet die allgemeine Empfehlung im PCI, die Daten vierteljährlich zu löschen.
Abschließend ist es erforderlich, Prozesse zu dokumentieren und zu implementieren, die dabei helfen, öffentliche und private Schlüssel zu speichern, die dazu notwendig sind, Daten zu verschlüsseln.
Pflegen von Vulnerability Management Programmen
Gerade als Online-Unternehmen ist man häufig Ziel von Malware, die die Schwachstellen im System ausnutzen. So müssen wir dafür sorgen, das alle Sicherheitsprogramme reibungslos laufen und stetig aktualisiert werden. Nur die Durchsetzung einer konstant sicheren Umgebung kann das Unternehmen vor Angriffen und damit auch möglichen Bußgeldern schützen.
Dabei ist der beste Weg, Schwachstellen zu analysieren, wenn man die Bedrohungsstufen mittels eines Ranking klassifiziert. In niedrig, mittel und hoch. So kann das Team die Aufgaben priorisieren, organisieren und Probleme schneller beheben. Schwachstellen können aber auch automatisch entfernt werden, indem man sogenannte Sicherheitspatches einrichtet, die von Anbietern von Sicherheitssoftware bereitgestellt werden.
Darüber hinaus besteht die Notwendigkeit darin, eine sicherheitsorientierte Softwareentwicklungskultur im Unternehmen zu implementieren. Gerade beim Umgang mit sensiblen Daten müssen die Entwickler von Anfang an unter Berücksichtigung der Sicherheit sie mit der Codierung beginnen.
Wenn man ein E-Commerce betreibt, sind die Webanwendungen vielen Bedrohungen ausgesetzt. Um damit PCI-konform zu sein, müssen alle öffentlich zugänglichen Anwendungen kontinuierlich auf Schwachstellen überprüft werden. Dies tut man entweder manuell oder durch Web-Firewalls, die den Datenverkehr überwachen und rund um die Uhr Statusberichte senden.
Wie kann man die Komplexität der PCI-DSS-Compliance reduzieren?
Alles beginnt mit dem Zahlungsanbieter, in dem Fall uns als Pay4Coins und dem Checkout-Erlebnis für den Kunden. Als Händler muss man die Produkte und Dienstleistungen, die man online verkauft, kontrollieren und gleichzeitig die robusten Empfehlungen der PCI-DSS-Richtlinien folgen.
Das Checkouterlebnis für die Kunden ist eine der wichtigsten Komponenten eines Online-Geschäfts und kann im Wettbewerb einen großen Unterschied machen. Man muss nicht zwangsläufig viel Energie und Zeit investieren, da es natürlich auch bereits Lösungen auf dem Markt verfügbar gibt, die helfen können, die Komplexität der PCI-DSS-Compliance auf das Niveau des SAQ-Fragebogen zu reduzieren. Und das völlig unabhängig vom Umfang zur abzuwickelnden Transaktion.
Unterschiedliche Checkout-Typen, um PCI-konform zu bleiben.
Ob man die Checkout-Seite mit einem URL-Umleitungsmodell, einem iFrame-Checkout oder mit der Implementierung eines JS-Bestellformular umsetzt, bleibt dabei dem Unternehmen überlassen.
Auf diese Basis möchten wir in diesem Beitrag jedoch nicht zu sehr in die Tiefe gehen, da es eher wichtig für die Entwickler ist, die die Systeme von Pay4Coins entwickeln.
Fazit
Es ist völlig egal, ob man am Ende ein kleines, mittleres oder großes Unternehmen ist, der gesamte Prozess der PCI-Prüfung und -Validierung kann viel Geld und Zeit kosten.
Die Verwendung von Zahlungslösungen wie die von Pay4Coins kann die eigene Arbeit als Onlineshopbetreiber drastisch reduzieren und dafür Sorge tragen, das die Kauftransaktion für den Kunden auf sichere Weise verarbeitet wird. Ein robustes Bestellformular wie unseres wird das Einkaufserlebnis auf unseren Webseiten verbessern, indem es für den Kunden einfach eine stärkere Verbindung aufbaut.
Deswegen entscheiden sich immer mehr für die Compliance- und Sicherheitsfunktionen, die unnötige Komplexität beseitigen, aber neue Möglichkeiten für die Kunden auf den Tisch bringen.