Standards der Payment Card Industry (PCI)

Zahlreiche Standards der Payment Card Industry (PCI) schützen die Zahldaten der internationalen Zahlungssysteme von MasterCard, Visa und drei weiteren Anbietern. Unternehmen, die Zahldaten erheben, verarbeiten und speichern, müssen diese Standards einhalten und ihre Konformität regelmäßig nachweisen. Da die Regelungen ständigen Änderungen unterworfen sind, kann eine externe Beratung helfen, die Übersicht zu bewahren, die Anforderungen zu verstehen und umzusetzen.

Alle PCI Standards zielen auf den Schutz von Zahldaten der internationalen Zahlungssysteme ab und wurden von den Marken Visa, Mastercard, American Express, Discover und JCB als Selbstverpflichtung eingeführt. Es handelt es sich also nicht um gesetzliche Regelungen, sondern um akzeptierte Industriestandards.
PCI Standards umfassen alle Technologien, Prozesse und Produkte, die für Zahltransaktionen notwendig und an ihnen beteiligt sind. Es gibt neun übergreifende Standards, die ihrerseits zum Teil wieder in Unterstandards unterteilt sind.

1. Der bekannteste ist der PCI DSS (Payment Card Industry Data Security Standard). Er gilt für alle, die Kartendaten speichern, verarbeiten und übertragen. Er regelt den Umgang mit der Kreditkartennummer, die Primary Account Number.

2. Der Standard PCI Card Production regelt den Schutz der Kartenproduktion.

3.Der Standard PCI PTS (PIN Transaction Security) schützt Produkte: Hier wird die Sicherheit von Geräten gewährleistet, in die man die PIN eingibt, etwa Zahlterminals an der Kasse oder Pinpads von Geldautomaten.

4. Der Standard PCI PA-DSS (Payment Application Data Security Standard) prüft die Zahlapplikation. Er wird aktuell auf das PCI Software Security Framework umgestellt. Dabei werden Zahlungsanwendungen in Hintergrundsystemen oder auf Zahlgeräten geprüft.

5. Der Standard PCI 3DS (3-D Secure Verfahren) kommt bei der Zwei-Faktor-Identifikation bei Kartenzahlungen im Internet zum Einsatz.

6. Der Standard PCI PIN schützt PINs und Umgebungen, in denen sie verarbeitet werden. Hier spielt zum Beispiel die Verschlüsselung eine Rolle.

7. Der Standard PCI SPoC (Software-based PIN entry on commercial off-the-shelf devices) regelt den Schutz von PINs bei der Entgegennahme von Zahlungen mit Smartphones oder Tablets.

8. Der Standard PCI CPoC (contactless payment on commercial off-the-shelf devices) regelt die kontaktlose Bezahlung via Kreditkarte an Smartphones oder Tablets über die NFC-Schnittstelle.

9. Der PCI P2PE (point to point encryption) sorgt für eine sichere Verschlüsselung, sobald die Karte in ein Zahlgerät gesteckt wird. Daten werden erst wieder in den Hintergrundsystemen der Zahlabwickler entschlüsselt, dazwischen sind sie nicht im Klartext abgreifbar.

Standards erfordern technische wie organisatorische Maßnahmen

Jeder Standard umfasst zahlreiche Voraussetzungen, die sowohl die technische, als auch die organisatorische Ebene betreffen. Allein beim PCI DSS gibt es rund 250 Einzelanforderungen.

Themen sind unter anderem die Netzwerksegmentierung und die Begrenzung und Kontrolle der Verbindungen und des Traffics. So wird sichergestellt, dass Systeme nicht untereinander aufeinander zugreifen können, und Datenverbindungen werden kontrolliert.

Für Systeme gilt außerdem die sogenannte Härtung. Dabei werden Einstellungen vor dem Einsatz im Netzwerk angepasst, Default-Accounts verändert und Standard-Passwörter ersetzt. Auch die Nutzung sicherer Einstellungen muss gewährleistet sein. Das bedeutet eine Begrenzung der Standard-Einstellungen, das Abschalten unsicherer Protokolle oder das Entfernen von unnötigen Diensten, die durch Schwachstellen zu Sicherheitslücken werden können.

Wichtig ist außerdem die Verschlüsselung bei der Speicherung und Übertragung der Kartendaten, damit die Daten nicht von Angreifern mitgelesen werden können. Weitere Voraussetzungen sind die sichere Entwicklung von Software, die Bewertung von Schwachstellen, zeitnahe Updates und ein geregeltes Changemanagement. Außerdem müssen Zutritte und Zugriffe einschränkt und kontrolliert werden. Dazu gehören die Besucherregelung und ihre Dokumentation inklusive einer Regelung, damit nicht jeder auf alle Daten und Systeme zugreifen kann. Hierzu zählen auch die Richtlinien für Passwörter.

Damit Auffälligkeiten rechtzeitig erkannt werden, werden die Systeme durch Malwareschutz mit der Überwachung und dem Monitoring der Systeme plus dem Logging, also der Protokollierung der Zugriffe und Aktionen im System, geschützt.

Gefordert werden außerdem regelmäßige Überprüfungen. Dazu gehören vierteljährliche Schwachstellen-Scans, Reviews von Prozessen und Einstellungen und jährliche Penetrationstests. In einem Information Security Management (ISM) müssen dokumentierte Richtlinien, Prozesse und Verantwortlichkeiten festgelegt werden. Mitarbeiter müssen zum Beispiel in Security Awareness geschult werden, außerdem sind eine definierte Incident Response und ein Dienstleistermanagement erforderlich.

Dienstleister und Branchen müssen ihre Standards kennen

Welche PCI Standards greifen, hängt von der Dienstleistung ab. Betroffen sind alle Betriebe, Händler und Dienstleister, die mit der Verarbeitung der Transaktionen der großen fünf Zahlungsdienstleister zu tun haben – alle Zwischendienstleister wie Rechenzentrumsbetreiber und natürlich Banken oder Geldinstitute als Zahlungsabwickler.

Sie alle verpflichten sich vertraglich, die anwendbaren Standards einzuhalten: Dienstleister, die sogenannten Acquirer, unterhalten Verträge mit den internationalen Zahlungssystemen. Diese verpflichten die Acquirer, dass deren angeschlossene Händler die Einhaltung des PCI DSS garantieren können.

Händler müssen den Acquirern ihre Konformität einmal im Jahr nachweisen. Abhängig von der Anzahl der Transaktionen ist das mit einem Selbstauskunfts-Fragebogen möglich, oder durch den Besuch eines Auditors. Dieser stellt nach dem bestandenen Audit die Attestation of Compliance aus.

Auch die Dienstleister lassen ihre Konformität überprüfen, was im Dienstleistermanagement des PCI DSS so vorgegeben ist. Auch hier kommen Selbstauskunft und Auditoren-Prüfung zum Einsatz.

Konformität erfordert Knowhow und Ressourcen

Es passiert, dass die Anforderungen der PCI Standards nicht bei der Konzeptualisierung, dem Aufbau des Netzwerks und der Strukturen beachtet werden, was ein späteres, aufwändiges wie teures Aufrüsten und Umstrukturieren erfordert. Gerade die Anforderungen der PCI DSS sollten bekannt sein. Die Zahldaten können in einem Netzwerksegment mit besonderem Schutz verarbeitet und gespeichert werden, das von anderen Unternehmensbereichen abgegrenzt wird, die nicht die PCI DSS erfüllen müssen. Wird dagegen ein Netzwerk für alle Prozesse genutzt, müssen alle Systeme den strengeren PCI-Anforderungen unterliegen, was mit riesigen Aufwänden verbunden ist.

Zudem muss die Konformität dauerhaft aufrechterhalten werden. Das bedeutet, dass Systeme an sich verändernde Voraussetzungen angepasst werden müssen: an neue Standards, neue Risiken und neue Angriffe. Werden zum Beispiel Verschlüsselungsprotokolle, die bei der Übertragung und Speicherung der Zahldaten eingesetzt werden, erfolgreich angegriffen, müssen die Algorithmen umgestellt werden.

Firmen sind oft nicht auf diese notwendigen Anpassungen im System vorbereitet. Updates können laufende Systeme zwar stören; doch bei neuen Sicherheitslücken oder alten Systemen mit auslaufendem Support sind Aktualisierungen zwingend notwendig. Für Firmen mit einer Vielzahl von Servern stellt das eine große Herausforderung dar, da die Umstellung Zeit und Ressourcen kostet.

Eine weitere Schwierigkeit ist die Schaffung von Bewusstsein. Mitarbeiter, vom Rezeptionisten im Hotel bis zur Kassiererin in der Filiale, müssen wissen, wie Zahlterminals und Zahlungen sicher betrieben werden. Zum einen muss das Gerät selbst sicher sein, zum anderen auch sein Umfeld. Gerade, wenn Daten gespeichert werden sollen, steigen die Anforderungen für Schutz, Verschlüsselung und Zugriff schnell. Dann ist nicht nur das entsprechende IT-Tool notwendig, sondern auch ein fachkundiger Mitarbeiter, der es konfigurieren kann.

Auch die Dienstleisterbeziehung steht oft nicht genug im Fokus. Es herrschen dann Unklarheiten über die Schutz-Verantwortlichkeiten, und es mangelt an ausreichenden Prüfungen. Es besteht das Risiko, dass die Schutz-Kette unterbrochen wird.

Konformität: So erreicht man sie

Sind die Anforderungen der Standards von Anfang an bekannt und werden berücksichtigt, erleichtert das vieles. Ein externer Berater, wie beispielsweise die SRC Security Research & Consulting GmbH, kann unterstützen, die Anforderungen zu verstehen und umzusetzen. Mit dem Kauf und der Einrichtung der notwendigen Systeme ist es aber noch nicht getan. Vielmehr müssen regelmäßige Aufwände einkalkuliert werden. Diese Aufrechterhaltung der Konformität erfordert Knowhow und Ressourcen, was gerade kleine Händler nicht besitzen. Deswegen ist es sinnvoll, die Verantwortung an Dienstleister auszulagern. Wichtig sind außerdem Reviews, um sich auf Änderungen vorzubereiten. Auch hierbei können fachkundige Berater unterstützen.

Fazit

Unternehmen müssen wissen, welche PCI Standards und welche Anforderungen für sie gelten und ihre Organisation, Prozesse und technische Infrastruktur daran ausrichten. Auch wiederkehrende Aufwände durch die Notwendigkeit der steten Aktualisierung sollten einberechnet werden.