Jede Website oder jedes Unternehmen, das Online-Zahlungen in einer bestimmten Form akzeptiert, muss die Anforderungen der Payment Card Industry Data Security Standards (PCI-DSS) befolgen. Die Standards werden von großen Kreditkartenunternehmen (Visa, MasterCard, American Express, JCB und Discover) geregelt und festgelegt.
Das Ziel der Konformität mit PCI-DSS besteht darin, die sichere Übertragung von Geldmitteln und die Speicherung (Handhabung) sensibler Daten von Karteninhabern zu gewährleisten.
Als Softwareentwicklungsunternehmen möchten wir Ihnen gerne mitteilen, wie wir mit Anfragen unserer Kunden zur Erstellung von Websites und Software für Online-Zahlungen umgehen.
Hinweis: Beachten Sie, dass dieser Blogbeitrag keinesfalls als Rechtsberatung zu verstehen ist. Wir beschreiben nur unsere Erfahrung.
Die Kunden von E-Commerce-Unternehmen verlassen sich ohnehin darauf, dass die letzten ihre Daten schützen können. In den meisten Fällen ist dies für ihren Schutz und damit für der Firma stabilen Betrieb von entscheidender Bedeutung.
Wir haben diesen Leitfaden erstellt, um die Ziele und Anforderungen der PCI-Compliance, Best Practices zur Sicherung von E-Commerce-Websites und Taktiken zur Bekämpfung von Bedrohungen für Online-Shops zu erläutern.
Was ist PCI-Compliance?
Die PCI-Datensicherheitsstandards (PCI DSS) umfassen allgemeine Praktiken wie das Einschränken von Karteninhaberinformationen und die Notwendigkeit, sichere, nicht standardmäßige Passwörter zu erstellen, sowie tiefer gehende Praktiken wie Verschlüsselung und die Verwendung einer Firewall.
Das PCI Security Standards Council ist eine globale Organisation, die von großen Kreditkartenunternehmen wie Visa, Mastercard, Discover und American Express gegründet wurde.
Wenn Sie eine E-Commerce-Website betreiben, ist die PCI-Konformität obligatorisch. Sie wird nicht durch das Transaktionsvolumen bestimmt oder beschränkt sich ausschließlich auf die Speicherung, Übertragung und Verarbeitung; es gilt für alle Geschäfte, die Kreditkartenzahlungen zulassen.
Bei PCI dreht sich alles darum, die Angriffswahrscheinlichkeit zu reduzieren. Bei einer E-Commerce-Website betrifft dies insbesondere die Card Data Environment (CDE) – die Art und Weise, wie Sie Kreditkarten auf Ihrer Website handhaben. Auch wenn Sie Dienste von Drittanbietern wie Stripe, Recurly, PayPal oder eine andere sichere Zahlungsoption nutzen, sind Sie verpflichtet, die Anforderungen des PCI DSS einzuhalten
Kleinkaufleute sind von diesen Anforderungen nicht ausgenommen. Ungeschützte E-Commerce-Websites sind bevorzugte Ziele für Datendiebe.
Wenn vertrauliche Kundendaten oder Karteninhaberinformationen von einer Website gestohlen werden, für die Sie verantwortlich sind, können Strafen und hohe Bußgelder verhängt werden und Sie dürfen dann sogar keine Zahlungskarten mehr akzeptieren.
Warum ist PCI-Compliance wichtig?
Vertrauen ist der Schlüssel zum Erfolg Ihres Online-Geschäfts. Wenn ein Sicherheitsvorfall auftritt, kann dies verheerende Auswirkungen auf den Datenverkehr, den Umsatz und den Ruf der Marke haben. Online-Shopping wird immer beliebter, und E-Commerce-Websites sind Ziele für Cyberkriminelle, die versuchen, sensible Kundendaten und Kreditkarteninformationen zu stehlen.
Wie groß ist das Ziel Ihrer E-Commerce-Website? Mit automatisierten Skripten können Hacker Websites mit einem Online-Shop finden, nach Schwachstellen suchen und sich unbefugten Zugriff verschaffen. Kleine Webshops mit wenigen Verkäufen sind nicht ausgenommen – Kriminelle sind Opportunisten und zielen auf alle zugänglichen Websites oder Serverressourcen ab. Es ist oft einfacher, tausend kleine E-Commerce-Websites zu hacken, als einen großen Online-Händler zu hacken.
E-Commerce-Websites sind einer Reihe von Risiken und Bedrohungen ausgesetzt:
- Kreditkartendiebe setzen Ihre Kunden dem Risiko von Identitätsdiebstahl oder Kreditkartenbetrug aus.
- Hijacking verursacht Umsatzeinbußen, wenn Kunden zu einem gefälschten Einkaufswagen umgeleitet werden.
- Injizierte Website-Inhalte können Spam, Malware und Malvertising verbreiten.
- Serverressourcen können gestohlen und für Malware-Kampagnen, DDoS-Angriffe usw. verwendet werden.
- Gehackte Websites können von Suchmaschinen, Antivirenprogrammen und Browsern blockiert werden.
- Da es immer ein gewisses Risiko geben wird, ist Sicherheit ein kontinuierlicher Prozess. Eine angemessene E-Commerce-Sicherheitsstrategie erfordert häufige Bewertungen und Sorgfalt.
Was passiert, wenn Sie nicht PCI-konform sind?
Wenn festgestellt wird, dass ein Händler den PCI-DSS nicht einhält, kann es zu einer Vielzahl von Strafen und Konsequenzen kommen, die von Bußgeldern, Zeitverlust und Reputationsschäden reichen.
Bußgelder bei PCI-Nichteinhaltung
Nicht PCI-konforme Websites können von den Aufsichtsbehörden der Zahlungsbranche mit hohen Strafen belegt werden, wenn Kunden betrügerische Transaktionen erleben. Die durchschnittlichen Kosten einer Datenschutzverletzung für ein kleines Unternehmen betragen 86.500 US-Dollar, wobei Unternehmen 4 Millionen US-Dollar zahlen.
DSGVO-Verordnung
Gemäß der DSGVO hat jedes Unternehmen, das einen Verstoß gegen die personenbezogenen Daten von EU-Bürgern erfährt, 72 Stunden Zeit, um die Aufsichtsbehörden zu benachrichtigen, da sonst hohe Bußgelder drohen. Diese Verordnung schließt sich einer Reihe von US-Bundes- und Landesgesetzen an, die Organisationen für die Sicherheit von Kundendaten verantwortlich machen.
Aussetzung von Kreditkarten
Vielleicht schlimmer als Bußgelder kann die Fähigkeit, Kreditkartenzahlungen zu akzeptieren, widerrufen werden. Die PCI-Standards werden von den großen Kreditkartenunternehmen erstellt, und dies ist ihre Verteidigung gegen unverantwortliche Händler. Wenn in Ihrem E-Commerce-Shop eine Datenschutzverletzung auftritt, kann der PCI-Rat das Recht zur Verwendung seiner Zahlungskarten widerrufen.
Obligatorische Untersuchung
Händler, die einer Datenschutzverletzung verdächtigt werden, werden vom PCI-DSS verpflichtet, sich einer obligatorischen forensischen Untersuchung zu unterziehen, die die Einstellung von Fachleuten und die Durchführung einer zeitaufwändigen Untersuchung erfordert. Eine Prüfung für kleine Unternehmen kann zwischen 20.000 und 50.000 US-Dollar kosten.
Benachrichtigung und Kreditüberwachung
Wenn eine Kompromittierung von Finanzinformationen vermutet wird, verlangen eine Reihe von Staaten, dass der Händler Kunden benachrichtigt und sie über die Verletzung informiert. Händler müssen möglicherweise auch Kreditüberwachungs- oder Beratungsdienste für betroffene Kunden im Wert von bis zu einem Jahr erbringen.
Haftung für Betrugsvorwürfe
Klagen können Händler für Sicherheitsverletzungen haftbar machen. Es ist wichtig zu betonen, dass der Schutz der sensiblen Informationen Ihrer Kunden in Ihrer Verantwortung als Geschäftsinhaber liegt. Aus diesem Grund ist eine sichere Website von entscheidender Bedeutung.
Kreditkarten-Ersatzkosten
Kartenaussteller können von Händlern verlangen, die Kosten für die Neuausstellung von Kreditkarten zu übernehmen, die den Versand, die Aktivierung und die Kommunikation mit dem Kunden umfassen. Diese Gebühren können zwischen 3 und 10 US-Dollar pro Karte liegen.
Neubewertung für PCI-Compliance
Damit eine Website wieder Kreditkartentransaktionen akzeptiert, muss eine vollständige PCI-Neubewertung durch einen externen Qualified Security Assessor (QSA) durchgeführt werden.
Die Endziele, auf die PCI DSS näher eingeht
Erstens hängt die Sicherheit von Transaktionen von der Netzwerksicherheit ab. Firewalls müssen robust genug sein, um zu funktionieren, ohne den Karteninhabern Probleme zu bereiten. Für drahtlose LANs werden Firewalls benötigt (sie sind sehr anfällig für Hackerangriffe und Abhören). PIN-Codes (Personal Identification Numbers), Passwörter und andere Authentifizierungsdaten sollten keine von den Anbietern bereitgestellten Standardwerte enthalten. Kunden müssen die Möglichkeit haben, diese Daten so oft und so oft sie wollen zu ändern.
Zweitens müssen Karteninhaberinformationen an den Orten, an denen sie gespeichert sind, einen gültigen Schutz haben. Die Speicherung von Daten wie Geburtsdatum, Mädchennamen der Mutter und wichtiger, wie Sozialversicherungsnummern, Telefonnummern, E-Mails muss sicher aufbewahrt werden. Wenn sie über öffentliche Netzwerke übertragen werden, sollten sie ordnungsgemäß verschlüsselt werden. Die Verschlüsselung ist für jede Kreditkartentransaktion von entscheidender Bedeutung, einschließlich derjenigen, die E-Commerce-Websites anbieten müssen.
Drittens müssen Hackerangriffe unbedingt vermieden werden – der Händler muss Antivirensoftware und alle Arten von Anti-Malware-Programmen verwenden und häufig aktualisieren. Alle verwendeten Anwendungen müssen fehlerfrei sein und dürfen keine Schwachstellen enthalten, die eine Ausnutzung von Karteninhaberdaten (Stehlen oder Verändern) ermöglichen. Anbieter von Betriebssystemen bieten häufig Patches zum Schließen dieser Schwachstellen an, sodass der Händler sicherstellen muss, dass sie ordnungsgemäß und rechtzeitig installiert werden.
Viertens sollte der Händler den Zugriff auf die Systeminformationen schließen, kontrollieren und einschränken. Karteninhabern muss versichert werden, dass ihre Informationen zur effektiven Durchführung einer Transaktion benötigt und effektiv geschützt werden. Jeder Person, die den Computer/das System benutzt, sollte ein Identifikations-Alias zugewiesen werden. Die Daten der Karteninhaber sollten sowohl physisch als auch elektronisch geschützt werden
Fünftens müssen Netzwerke ständig überwacht und regelmäßig getestet werden, um sicherzustellen, dass alle Sicherheitsmaßnahmen und -prozesse vorhanden sind, ordnungsgemäß funktionieren und auf dem neuesten Stand gehalten werden. Diese Antiviren- und Antispyware-Programme sollten mit den neuesten Definitionen und Signaturen ausgestattet sein.
Sechstens muss eine formelle Informationssicherheitsrichtlinie definiert, gepflegt und jederzeit und von allen beteiligten Einheiten befolgt werden. Audits und Strafen bei Nichteinhaltung können und werden notwendig sein.
PCI-DSS-Konformität in Elinext
PCI DSS-Compliance sind die Anforderungen, die bei der Abwicklung von Zahlungen nicht übersehen werden dürfen. Wir als Softwareentwicklungsunternehmen versuchen, alle Anforderungen für unsere Kunden genau im Auge zu behalten, um Probleme mit Gesetzen und Vorschriften zu vermeiden.
Der Leiter der Webentwicklung bei Elinext, Gennady Sergeenko, betonte die Tatsache, dass einige unserer potenziellen und bestehenden Kunden den Wert der PCI DSS-Konformität oft unterschätzen.
Unsere Unternehmensberater müssen manchmal den Mechanismus hinter den Online-Zahlungen erklären, die Notwendigkeit, alle erforderlichen Lizenzen zu erhalten und alle Anforderungen zu erfüllen.
„Es gibt viele Zahlungssysteme da draußen, zum Beispiel Stripe. Sie sind für uns ziemlich einfach zu implementieren, und wir als Softwareentwicklungsunternehmen müssen keine zusätzliche Zertifizierung erhalten oder eine Art Zahlungsgateway erstellen – das Zahlungssystem ist PCI DSS-konform.“
„Wir informieren unsere Kunden über die Bedeutung der Vorschriften, versprechen ihnen die vollständige Einhaltung und behalten alle Aktualisierungen der Vorschriften genau im Auge, PCI DSS ist keine Ausnahme“, fährt Gennady fort.
Da unser Unternehmen über Erfahrung in der Entwicklung von Software für Fintech-Startups verfügt, kann dies zusätzliches Fachwissen oder Fähigkeiten erfordern.
Wenn Ihr Projekt in irgendeiner Weise mit Zahlungen zusammenhängt, kann Elinext Ihnen versichern, dass Sie keine Probleme mit „Was passiert, wenn Sie nicht PCI-konform sind?“ haben.