Der PCI DSS Standard

12 Anforderungen zum Schutz von Bankkartendaten

Was ist der PCI DSS Standard?

PCI DSS beinhaltet eine Reihe von Sicherheitsstandards zum Schutz von Bankkartendaten in elektronischen Zahlungssystemen. Der Standard wird vom PCI Security Standard Council, einer professionellen Organisation zuständig für die Kreditkartenmarken VISA, Mastercard, American Express, JCB und Discovery, verwaltet und aktualisiert.

Wer sind die beteiligten Parteien in einem elektronischen Zahlungssystem?

  • Karteninhaber: Inhaber der Karte und des zugehörigen Kontos (Endkunde)
  • Issuer: Bank des Karteninhabers
  • Händler: Händler, der die Bankkarte als Zahlungsmittel akzeptiert
  • Acquirer: Bank des Händlers, welche die Transaktionen annimmt
  • Kartenmarke: vertrauenswürdige Dritte, die die Beziehung zwischen den an der Transaktion beteiligten Parteien gewährleisten (Visa, Mastercard, American Express etc.)
  • Payment-Service-Provider (PSP): alle anderen in der Zahlungskette zwischengeschalteten Dienstleister. Als IaaS-Anbieter fällt auch OVH in diese Kategorie

Jede Bank, die Karten an ihre Kunden herausgibt oder Transaktionen für Händler annimmt, darf die von Kunden und Partnern einzuhaltenden Sicherheitsanforderungen vertraglich festlegen. Der PCI DSS Standard stellt eine gemeinsame Basis dar, die den Großteil dieser Anforderungen abdeckt. PCI DSS ist mittlerweile die Referenz für die Sicherheit elektronischer Zahlungssysteme und die Compliance mit diesem Standard eine systematische Anforderung für alle Beteiligten. Jeder Dienstleister, der einen Teil des Zahlungssystems hostet, trägt somit auch die Verantwortung, die allgemeine Sicherheit der Plattform zu gewährleisten. Diese Pflichten werden vertraglich von den Kartenmarken auf alle Beteiligten einer elektronischen Zahlungsplattform übertragen.

Der PCI DSS Standard enthält mehr als 250 Kontroll- und Sicherheitsmerkmale, die eingehalten werden müssen, um Kartendaten sicher zu verarbeiten. Diese Sicherheitsmerkmale sind in 6 Gruppen eingeteilt:

  • Erstellung und Verwaltung eines gesicherten Netzwerks und Systems

    Anforderung 1: Installation und Instandhaltung einer Firewallkonfiguration zum Schutz der Karteninhaberdaten
    Anforderung 2: Keine Verwendung von Systempasswörtern und anderen Sicherheitseinstellungen, die standardmäßig vom Herausgeber vordefiniert sind
  • Schutz der Karteninhaberdaten

    Anforderung 3: Schutz der gespeicherten Karteninhaberdaten
    Anforderung 4: Verschlüsselte Übertragung der Karteninhaberdaten über offene öffentliche Netzwerke
  • Verwendung eines Programms zur Verwaltung von Sicherheitslücken

    Anforderung 5: Schutz aller Systeme vor Schadsoftware sowie regelmäßige Aktualisierung der Antivirensoftware und -programme
    Anforderung 6: Entwicklung und Instandhaltung gesicherter Systeme und Anwendungen
  • Implementierung strikter Maßnahmen zur Zugriffskontrolle

    Anforderung 7: Beschränkung des Zugriffs auf Karteninhaberdaten auf die zwingend erforderlichen Personen
    Anforderung 8: Identifizierung und Authentifizierung des Zugriffs auf die Systemkomponenten
    Anforderung 9: Beschränkung des physischen Zugriffs auf Karteninhaberdaten
  • Regelmäßiges Monitoring und Testen von Netzwerken

    Anforderung 10: Nachverfolgung und Überwachung aller Zugriffe auf Netzwerkressourcen und Karteninhaberdaten
    Anforderung 11: Regelmäßge Tests der Sicherheitssysteme und -prozesse
  • Einhaltung einer Datensicherheitsrichtlinie

    Anforderung 12: Umsetzung einer Richtlinie zur Informationssicherheit für alle Mitarbeiter

So werden Sie PCI DSS konform

PCI DSS Konformität (Compliance) betrifft die gesamte Zahlungsplattform und wird vom Händler erreicht, indem er PCI DSS konforme Lösungen seiner Anbieter verwendet. Das bedeutet, dass jede betroffene Partei, die an der Zahlungsplattform beteiligt ist, die Anforderungen des Standards einhält und diese Konformität ihren Kunden gegenüber nachweist.

Folglich ist OVH im Rahmen der OVH PCI DSS Payment Infrastructure verantwortlich für die Sicherheit der Infrastruktur, während Sie für die Sicherheit der gehosteten virtuellen Maschinen, der Nutzung der virtuellen Netzwerkfunktionen sowie der Anwendungsschichten auf Ihren virtuellen Maschinen zuständig sind. PCI DSS Compliance ist daher eine gemeinsame Aufgabe, bei der die Sicherheitsmaßnahmen Ihrer Plattform und Ihres Systems mit denen der Private Cloud Infrastruktur kombiniert werden.

Die Konformität mit PCI DSS kann mit einer Compliance-Bestätigung (Attestation of Compliance oder AoC) zertifiziert werden, die entweder über einen Selbstbeurteilungsfragebogen oder per Audit durch ein oder mehrere QSA-Unternehmen (Qualified Security Assessor) durchgeführt wird.

Der PCI DSS Compliance-Prozess Ihrer Plattform folgt einem strukturierten Ablauf, dessen genaue Eigenschaften und Anforderungen von mehreren Faktoren abhängen:

  • Anzahl der jährlich durchgeführten Transaktionen
  • Typ(en) der akzeptierten Bankkarte(n)
  • Acquirer-Bank
  • Komplexität der Zahlungsinfrastruktur

Der Compliance-Prozess für PCI DSS beinhaltet einen Dialog zwischen den betroffenen Parteien, um deren konkrete Anforderungen zu verstehen. OVH empfiehlt Ihnen daher, Ihre Acquirer-Bank und/oder ein QSA-Unternehmen zu kontaktieren, damit diese Sie beim Compliance-Vorgang unterstützt.

VISA Händler-Level

Niveau Beschreibung Verpflichtungen
1 > 6 Millionen Transaktionen/Jahr Audit durch einen QSA
Vierteljährliche Prüfung durch einen Approved Scanning Vendor (ASV)
Attestation of Compliance
2 1 Million < x < 6 Millionen Transaktionen/Jahr Selbstbeurteilungsfragebogen
Vierteljährliche Prüfung durch einen Approved Scanning Vendor (ASV)
Attestation of Compliance
3/4 x < 1 Million Transaktionen/Jahr Von der jeweiligen Bank vorgegeben und kontrolliert

Quelle: https://www.visaeurope.com/receiving-payments/security/merchants
Diese Angaben dienen nur Ihrer Information. Nur Ihre Acquirer-Bank kann Ihnen die für Ihren Kontext geltenden Informationen liefern.

Die OVH Plattform wird jährlich von einem QSA-Unternehmen überprüft. Die Audit-Dokumente werden Ihnen zur Verfügung gestellt. Die Vorteile:

  • Sie sehen direkt, welche Anforderungen durch unsere Zertifizierung erfüllt werden
  • Die Anforderungen, die Ihrerseits erfüllt werden müssen, können klar definiert werden
  • Sie verfügen über einen Nachweis für Ihren QSA, dass sämtliche Anforderungen der PCI DSS Compliance bereits von OVH erfüllt werden

Darüber hinaus verfügt OVH über ein Experten-Team sowie zusätzliche Dokumentation, um Sie bei der Umsetzung der Compliance-Anforderungen zu unterstützen:

  • PCI DSS Verantwortungsmatrix
  • Besondere Vertragsbedingungen mit Details zum Verantwortungsbereich von OVH
  • Musterpflichtenheft für die Umsetzung der obligatorischen Intrusionstests

Verantwortungsmatrix

Die folgende Verantwortungsmatrix beschreibt die Pflichten von OVH sowie des Kunden in Bezug auf den PCI DSS Standard. So können Sie den Aufwand einschätzen, der Ihrerseits für die Compliance notwendig ist. Nur die detaillierte Analyse der Attestation of Compliance, die Sie nach der Bestellung des Dienstes erhalten, liefert Ihnen alle notwendigen Informationen, um Ihren Compliance-Prozess zu starten.

Erstellung und Verwaltung eines gesicherten Netzwerks und Systems
Anforderung 1: Installation und Instandhaltung einer Firewallkonfiguration zum Schutz der Karteninhaberdaten OVH zuständig für das physische Netzwerk
Kunde für die virtuellen Netzwerkfunktionen innerhalb des virtuellen Datacenters
Anforderung 2: Keine Verwendung von Systempasswörtern und anderen Sicherheitseinstellungen, die standardmäßig vom Herausgeber OVH vordefiniert sind Kunde zuständig für die virtuellen Maschinen und Anwendungen
Schutz der Karteninhaberdaten
Anforderung 3: Schutz der gespeicherten Karteninhaberdaten Kunde allein verantwortlich für die Umsetzung
Anforderung 4: Verschlüsselte Übertragung der Karteninhaberdaten über offene öffentliche Netzwerke Kunde allein verantwortlich für die Umsetzung
Verwendung eines Programms zur Verwaltung von Sicherheitslücken
Anforderung 5: Schutz aller Systeme vor Schadsoftware sowie regelmäßige Aktualisierung der Antivirensoftware und -programme OVH zuständig für die Hardware der Infrastruktur
Kunde zuständig für die virtuellen Maschinen und Anwendungen
Anforderung 6: Entwicklung und Instandhaltung gesicherter Systeme und Anwendungen OVH zuständig für die Hardware der Infrastruktur
Kunde zuständig für die virtuellen Maschinen und Anwendungen
Implementierung strikter Maßnahmen zur Zugriffskontrolle
Anforderung 7: Beschränkung des Zugriffs auf Karteninhaberdaten auf die zwingend erforderlichen Personen OVH zuständig für die Hardware der Infrastruktur
Kunde zuständig für die virtuellen Maschinen und Anwendungen
Anforderung 8: Identifizierung und Authentifizierung des Zugriffs auf die Systemkomponenten OVH zuständig für die Hardware der Infrastruktur
Kunde zuständig für die virtuellen Maschinen und Anwendungen
Anforderung 9: Beschränkung des physischen Zugriffs auf Karteninhaberdaten OVH ist allein verantwortlich für das physische Hosting der Plattform
Regelmäßiges Monitoring und Testen von Netzwerken
Anforderung 10: Nachverfolgung und Überwachung aller Zugriffe auf Netzwerkressourcen und Karteninhaberdaten OVH zuständig für die Hardware der Infrastruktur
Kunde zuständig für die virtuellen Maschinen und Anwendungen
Anforderung 11: Regelmäßge Tests der Sicherheitssysteme und -prozesse OVH zuständig für die Hardware der Infrastruktur
Kunde zuständig für die virtuellen Maschinen und Anwendungen
Einhaltung einer Datensicherheitsrichtlinie
Anforderung 12: Umsetzung einer Richtlinie zur Informationssicherheit für alle Mitarbeiter OVH zuständig für die Hardware der Infrastruktur
Kunde zuständig für die virtuellen Maschinen und Anwendungen

OVH Payment Infrastructure Fact Sheet

  • Payment-Service-Provider (PSP) Level 1
  • PCI DSS V3.2
  • QSA: Provadys
  • PCI DSS Option verfügbar für OVH Payment Infrastructure. Upgrade von jeder SDDC Infrastruktur möglich
  • Umfang: Verantwortungsbereiche von OVH (siehe Verantwortungmatrix)

Schematische Darstellung

Nachfolgend sehen Sie zwei vereinfachte Beispiele für elektronische Zahlungsketten, um die vertraglichen Beziehungen und Compliance-Berichterstattung zu veranschaulichen. Jeder Fall ist einzigartig und bedarf einer eingehenden Analyse. Trotzdem gleichen die meisten Situationen in der Regel einem der folgenden Modelle.

Sie sind ein Händler und hosten Ihre Plattform auf einer OVH PCI DSS Infrastruktur:

Sie sind ein Zahlungsdienstleister (PSP) und hosten Systeme auf einer OVH PCI DSS Infrastruktur. Ihre Kunden sind Händler.