Grunds\u00e4tzlich m\u00fcssen alle Unternehmen PCI DSS erf\u00fcllen, die Kreditkartendaten bzw. Karteninhaberdaten weiterleiten, speichern oder in irgendeiner anderen Art und Weise verarbeiten. Dies bezieht sich insbesondere auf die vollst\u00e4ndige PAN (Personal Account Number), d.h. der Kreditkartennummer sowie auf die weiteren Authentifizierungsdaten des Karteninhabers\u00a0 wie z.B. Pr\u00fcfsumme und PIN. Die Anforderungen sind grunds\u00e4tzlich f\u00fcr alle Unternehmen gleich.<\/p>\n
Allerdings gibt es enorme Unterschiede im Nachweisverfahren der PCI DSS Compliance, also im Nachweis der eigenen Konformit\u00e4t zum Standard. Das Nachweisverfahren unterscheidet sich zwischen VISA, MasterCard & Co zwar teilweise im Detail, jedoch ist es im Groben identisch. Ausgehend von VISA Europe[1] muss ein H\u00e4ndler (Merchant) seine PCI DSS Compliance durch einen unabh\u00e4ngigen Auditor (QSA – Qualified Security Assessor) nachweisen lassen, wenn er j\u00e4hrlich \u00fcber sechs Millionen VISA Transaktionen abwickelt. Er ist in diesem Fall ein sogenannter Level 1 Merchant und muss einen Vor-Ort-Audit in Auftrag geben, bezahlen und\u00a0 auch erfolgreich abschlie\u00dfen. Unterhalb der Grenze von sechs Millionen Transaktionen entf\u00e4llt dieser Nachweis. Ab diesem Merchant Level 2 reicht das Ausf\u00fcllen und Unterschreiben eines Selbstfragebogens (SAQ – Self Assessment Questionnaire) \u2013 ein unabh\u00e4ngiger Audit ist nicht mehr notwendig. Der Merchant attestiert sich sozusagen selbst die PCI DSS Compliance.<\/p>\n
Es gibt verschiedene SAQs \u2013 SAQ A, C-VT, C und D \u2013 wobei ein Merchant in einem SAQ A best\u00e4tigt, dass er hat niemals eine digitale Zugriffsm\u00f6glichkeit auf die PANs & Co besitzt. SAQ D ist die maximale Steigerung und beinhaltet alle PCI DSS Anforderungen.<\/p>\n
In beiden F\u00e4llen (Merchant Level 1 und Level 2) muss der Merchant zus\u00e4tzlich noch einen externen Schwachstellen-Scan bei einem vom PCI Council akkreditierten ASV (Approved Scanning Vendor)\u00a0 durchf\u00fchren lassen und ihn ohne pci-relevante Schwachstellen bestehen. Dieser Scan besitzt meiner Meinung nach allerdings keine hohe Aussagekraft: Er kann nur offensichtliche Schwachstellen von au\u00dfen finden. Zus\u00e4tzlich l\u00e4sst sich ohne kompletten Review der IT auch nur sehr schwer beurteilen, ob wirklich der gesamte Adressbereich gepr\u00fcft wurde.<\/p>\n
Gerade Merchants, die selbst Zugriff auf die PAN haben m\u00f6chten und \/ oder ihre Zahlungsabwicklung nicht komplett outsourcen wollen, stehen prinzipiell vor der Wahl:<\/p>\n
Die technischen, organisatorischen, personellen und damit auch finanziellen Herausforderungen des PCI DSS annehmen oder ein (in der Tat erhebliches) Risiko akzeptieren und den SAQ C-VT, C oder D nicht wahrheitsgem\u00e4\u00df ausf\u00fcllen.<\/em><\/p>\n Das SAQ-Verfahren ist f\u00fcr Merchants sicherlich kosteng\u00fcnstig, stellt aber ein gro\u00dfer Schwachpunkt in der nach unten verzweigten Kette der PCI DSS Compliance dar. Selbst wenn der Merchant eine korrekte Compliance beabsichtigt, braucht er unabh\u00e4ngige interne Kontrollverfahren zur Sicherstellung der Compliance. Die m\u00fcssen zudem tats\u00e4chlich wirksam sein.<\/p>\n Ich halte grunds\u00e4tzlich einen unabh\u00e4ngigen Audit oder das komplette outsourcen der Zahlungsabwicklung an einen Dienstleiter f\u00fcr sinnvoller. Die SAQs sind eine nicht kalkulierbare Schwachstelle im Nachweisverfahren der PCI DSS\u00a0 Compliance.<\/strong><\/p>\n [1] http:\/\/www.visaeurope.com\/en\/businesses__retailers\/payment_security\/merchants.aspx<\/p>\n","protected":false},"excerpt":{"rendered":" Grunds\u00e4tzlich m\u00fcssen alle Unternehmen PCI DSS erf\u00fcllen, die Kreditkartendaten bzw. Karteninhaberdaten weiterleiten, speichern oder in irgendeiner anderen Art und Weise verarbeiten. Dies bezieht sich insbesondere auf die vollst\u00e4ndige PAN (Personal Account Number), d.h. der Kreditkartennummer sowie auf die weiteren Authentifizierungsdaten des Karteninhabers\u00a0 wie z.B. Pr\u00fcfsumme und PIN. Die Anforderungen sind grunds\u00e4tzlich f\u00fcr alle Unternehmen gleich. … [Read more…]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[128],"class_list":{"0":"entry","1":"post","2":"publish","3":"author-psauer","4":"post-1437","6":"format-standard","7":"category-pci-dss","8":"post_tag-saq"},"_links":{"self":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/1437","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/comments?post=1437"}],"version-history":[{"count":10,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/1437\/revisions"}],"predecessor-version":[{"id":1447,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/1437\/revisions\/1447"}],"wp:attachment":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/media?parent=1437"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/categories?post=1437"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/tags?post=1437"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}