Hinweis: Der folgende Artikel hilft Ihnen dabei: Was ist ein PCI-DSS-Audit?
Was ist ein PCA-Compliance-Audit?
Im Gegensatz zu einer PCI-Bewertung, die Händler selbst durchführen können, kann ein PCI-DSS-Audit nur von einem qualifizierten Sicherheitsassessor (QSA) durchgeführt werden. Wenn Sie vor einer Prüfung stehen, handelt es sich wahrscheinlich um einen großen Laden, der dies freiwillig durchführt, oder um einen kleineren Händler, der aufgrund einer kürzlichen Datenpanne in Ihrem Laden zu einer solchen Prüfung verpflichtet wurde. Diese Prüfungen werden von großen Kreditkartenunternehmen vorgeschrieben, und die Nichteinhaltung kann schwerwiegende Folgen für Ihr Unternehmen haben.
Lesen Sie weiter, um zu erfahren, was Sie von einem solchen Audit erwarten können und wie Sie sich darauf vorbereiten können.
Die wichtigsten Gründe, PCI DSS-konform zu werden
PCI DSS bezieht sich auf die Datensicherheitsstandards der Zahlungskartenindustrie und ist für jedes Geschäft erforderlich, das Kreditkarten als Zahlungsmittel akzeptiert. Dies gilt sowohl für Shops, die Kreditkarten verarbeiten, als auch für Shops, die sich auf die Übermittlung von Kartendaten an Drittanbieter-Zahlungsgateways wie PayPal und andere beschränken.
Es gibt zwei Argumente für die Frage „Warum PCI-Compliance“:
- Die fünf großen Kreditkartenunternehmen im PCI Council (Visa, MasterCard, American Express, Discover, JCB) sagen, dass dies der Fall ist.
- PCI-konforme Händler schützen die Daten ihrer Kunden wirksamer als Händler, die nicht konform sind.
Oder, als drittes Argument für die Händler, die sich von den ersten beiden nicht beeindrucken lassen: PCI DSS trägt dazu bei, Verstöße zu verhindern, und Verstöße führen zu Ausfallzeiten und Umsatzeinbußen.
Eine detailliertere Aufschlüsselung der PCI-Konformität finden Sie unter Wie Hostinger Ihrem Geschäft dabei hilft, PCI-konform zu bleiben.
PCI DSS-Risiken
Nur 29 Prozent der Unternehmen bleiben ein Jahr nach ihrer ersten Validierung konform weil sie einmal vergehen und dann in Selbstgefälligkeit abdriften.
Jährliche Bewertungen sind für jeden Händler, unabhängig von der Stufe, ein erforderlicher Bestandteil der PCI-Compliance. Bei kleineren Händlern sind Audits in der Regel die Folge eines Datenverstoßes und eines Mandats eines großen Kreditkartenunternehmens oder einer großen Bank.
Es mag verlockend sein, sich über die Folgen einer Nichteinhaltung zu wundern oder einfach nur ein Lippenbekenntnis abzulegen. Manche mögen es verübeln, was ihrer Meinung nach der Würgegriff der Kreditkarte im E-Commerce ist. Andere hätten vielleicht einfach „bessere Dinge zu tun, zum Beispiel mein Geschäft zu führen“.
Was könnte schlimmstenfalls passieren?
Die kurze Antwort lautet: Nicht konforme Händler können Verstöße, Prüfungen und Geldstrafen erleiden und ihren Markenruf schädigen. Die längere Antwort lautet: Obwohl PCI-Konformität erforderlich ist, ist sie der Anfang der Sicherheit und nicht das Ende. Betrachten Sie es als den „akzeptablen Mindeststandard“ für die Sicherung der Daten Ihrer Kunden.
Wie viel kostet ein PCI-Audit?
Im Durchschnitt, Ein typisches PCI-Audit für einen kleineren Händler kostet etwa 15.000 US-Dollar. Hinzu kommen weitere Faktoren, die die Kosten für die PCI-DSS-Zertifizierung beeinflussen und sich in der Regel auf die Infrastruktur und die Bezahlung qualifizierten Personals für die Anwendung und Aufrechterhaltung bewährter Datensicherheitspraktiken beziehen. Dies ist zwar nicht unerheblich, die Kosten für die Missachtung der Compliance sind jedoch weitaus höher.
Über ethische Bedenken hinaus kann die Nichteinhaltung zu Folgendem führen:
- Bußgelder von Kreditkartenunternehmen variieren zwischen 5.000 und 100.000 US-Dollar
- Sicherheitsverletzungen, deren Behebung oft mit Ausfallzeiten verbunden ist
- Rechtliche Schritte gefährdeter Kunden und Dritter
- Rufschädigung und Vertrauensverlust der Verbraucher
- Umsatzverlust
- Bundesprüfungen
Die Strafen für Geschäfte, die nicht PCI-konform sind, können zwischen 5.000 und 100.000 US-Dollar betragen. Daher ist es wichtig, dass Sie die Compliance zu 100 % aufrechterhalten.
Wie funktioniert ein PCI-DSS-Audit?
Wenn Sie vor einem bevorstehenden PCI-DSS-Audit stehen, handelt es sich wahrscheinlich entweder um einen Händler der Stufe 1 mit mehr als 6 Millionen Kreditkartentransaktionen pro Jahr oder um einen Händler mit niedrigeren PCI-Compliance-Stufen (2–4), der unter aktuellen Daten gelitten hat Verstoß.
Kreditkartenunternehmen und Banken können durch diese Verstöße Geld verlieren. Wenn es zu einem Verstoß gegen Ihr Geschäft gekommen ist, betrachten sie Ihr Geschäft möglicherweise als potenzielle Haftung und verbieten die Verwendung ihrer Kreditkarte in Ihrem Geschäft, es sei denn, Sie können die PCI-Konformität durch das Bestehen des Audits nachweisen. Das zentrale Ziel des Audits besteht darin, Verstöße festzustellen, Hinweise zur Behebung zu geben und zu überprüfen, ob Sie alle Probleme behoben haben.
Der erste Schritt besteht darin, einen Qualified Security Assessor (QSA) zu finden, der das Audit durchführt. Nur QSAs sind für die Durchführung der Audits lizenziert, da diese Organisationen vom PCI Council zertifiziert sind, ihre Datensicherheitsstandards zu verstehen.
Der einfachste Weg, eine QSA zu finden, ist per Wählen Sie eines aus der Liste auf der PCI-Website aus. Wie bei jedem Dienst ist es in der Regel ratsam, mit einigen wenigen zu sprechen, da nicht alle gleich sind. Beauftragen Sie niemals ein Unternehmen mit dem Anspruch, ein QSA zu sein, wenn es nicht auf der PCI-Liste aufgeführt ist. Diese Unternehmen lagern Ihre Anfrage entweder aus oder planen, Ihnen andere Dienstleistungen zu verkaufen.
Sobald der Prüfer vor Ort ist, beurteilt er mehrere Bereiche Ihres Unternehmens. Wie zu erwarten ist, umfasst dies auch Ihre Karteninhaberdatenumgebung (CDE), definiert als jedes Gerät, jede Komponente, jedes Netzwerk oder jede Anwendung, die Karteninhaberdaten speichert, verarbeitet oder überträgt. Dazu gehören auch Ihre Richtlinien und Verfahren im Zusammenhang mit Ihrer Nutzung dieser Systeme.
PCI-Audit-Anforderungen
- Transparenz und Zusammenarbeit
- Ausgefüllte PCI-Audit-Checkliste
- Verständnis des aktuellen PCI DSS
- Ihr gedrucktes Exemplar Ihres Report on Compliance (ROC) aus dem Vorjahr
- Nachweis vierteljährlicher Scan- und Penetrationstests
- Nachweis regelmäßiger Überprüfungen des Ereignisprotokolls
- Dokumentation zum Umgang mit Schwachstellen Dritter
Denken Sie daran: Die Rolle des PCI-Prüfers besteht darin, die Gefährdung von Karteninhaberdaten zu verhindern, und nicht darin, Ihr Unternehmen zu bestrafen. Solange Sie kooperativ und engagiert sind, wird der Auditor Ihnen erklären, wo Sie sich verbessern müssen, und Ihnen dabei helfen. Um diese Änderungen effizient umzusetzen, sollten Sie die Ernennung eines Einhaltung Führer innerhalb Ihrer Organisation. Diese Person übernimmt die Verantwortung für Compliance-Bemühungen, sollte aber auch die Befugnis haben, Veränderungen in Ihrem Team durchzusetzen.
9 häufige PCI-Fehler, die durch PCI-Audits aufgedeckt wurden
Wenn Ihnen die PCI-Konformität so wichtig ist, dass Sie diesen Artikel lesen, dann sind Sie auf dem richtigen Weg. Im Folgenden sind neun häufige Fehler von Händlern aufgeführt, die sich einem Audit unterziehen. Ihre Erfahrungen können jedoch je nach Ihren Geschäftsanforderungen und dem PCI-Compliance-Level variieren.
Die Beauftragung eines PCI-konformen Hosting-Anbieters wie Hostinger wird einen großen Beitrag zur Vermeidung dieser Fehler leisten, ist aber kein Allheilmittel. Auch Händler müssen ihren Beitrag leisten, aber die meisten Hosting-Anbieter können Sie bei dieser Aufgabe unterstützen.
Eine einfache Möglichkeit, Ihre PCI-Konformität zu verbessern, ist die Verwendung eines PCI-kompatiblen Hosts wie Hostinger.
Erinnerung: CDE oder Karteninhaberdatenumgebung bezieht sich auf jedes Gerät, jede Komponente, jedes Netzwerk oder jede Anwendung, die Karteninhaberdaten speichert, verarbeitet oder überträgt.
Unnötige Speicherung von Kreditkartendaten
Als allgemeine Regel sollten Sie alle angemessenen Maßnahmen ergreifen, um die Speicherung von Kreditkartendaten zu vermeiden, und niemals CVV-Nummern aus irgendeinem Grund speichern. Viele Händler entscheiden sich dafür, Daten zu speichern, um den Checkout-Prozess ihrer Kunden zu beschleunigen, ohne die Auswirkungen auf die Compliance vollständig zu verstehen. Seien Sie nicht einer von ihnen.
Das CDE-Netzwerk wurde nicht von der übrigen IT-Infrastruktur der Organisation getrennt
Der Schlüsselbegriff, den Sie sich bei der PCI-Konformität und beim Zugriff auf Karteninhaberdaten merken sollten, ist „nach Bedarf“. Machen Sie es zu Ihrem Mantra. Dies gilt insbesondere für Subnetzwerke innerhalb Ihrer Organisation. Wenn es auf Ihr Netzwerk angewendet wird, wird es als „Netzwerksegmentierung“ bezeichnet, obwohl es normalerweise auf Subnetzwerke innerhalb Ihrer Organisation angewendet wird. Subnetzwerke, die für die interne Bürokommunikation verwendet werden, sollten keinen direkten oder indirekten Zugriff auf die Subnetzwerke mit Zugriff auf das CDE haben.
Der Zugriff auf das CDE wurde nicht auf die Mitarbeiter beschränkt, die ihn benötigen
Auch hier gilt: Nur Mitarbeiter, die Zugang benötigen, sollten ihn haben. Dies bezieht sich sowohl auf den physischen Zugang zu Bereichen, in denen Geräte innerhalb des CDE untergebracht sind, als auch auf Berechtigungen und Passwörter.
Unzureichende Schulung und Sicherheitsbewusstsein
Dies gilt sowohl für Ihr Team als auch für Sie selbst. Wenn Sie ein Team beschäftigen, sollten Sie darüber nachdenken, jemanden zum Compliance-Beauftragten zu ernennen, der die Verantwortung für die Schulungsbemühungen übernimmt und ihm genügend Autorität gibt, um die Arbeit zu erledigen.
Schwache Passwort-Sicherheitsrichtlinie
Passwörter für jedes System innerhalb des CDE sollten einzigartig und komplex sein und niemals an Mitarbeiter weitergegeben werden. Passwortmanager wie LastPass, Zoho, 1Password und viele andere sind für die sichere Generierung und Speicherung komplexer Passwörter von unschätzbarem Wert. Wenn Ihr Team keines verwendet, ist das ein Warnsignal für Ihre Sicherheitspraktiken. Die Zwei-Faktor-Authentifizierung ist für jedes CDE-System ebenfalls unerlässlich, sei es Google Authenticator, Duo oder ähnliches.
Warten Sie nicht, bis Ihre PCI-Konformität erlischt, sondern stürzen Sie sich in die Sache und führen Sie zunächst Ihr eigenes Audit durch.
Fehlende Webanwendungs-Firewall (WAF)
Eine Web Application Firewall (WAF) erkennt und unterbricht bösartige Aktivitäten und Exploits. Die meisten Händler verwenden in ihrer Infrastruktur kein solches. Sie können eine PCI-Bewertung auch ohne bestehen, es ist jedoch jedes Mal ein Code-Audit erforderlich, wenn Sie Änderungen an Ihrer Anwendung (Magento, WordPress usw.) vornehmen. Die meisten Hosting-Anbieter können eine WAF-Lösung anbieten, Sie können aber auch eine cloudbasierte Lösung verwenden, die die Sicherheit erhöht und die PCI-Compliance vereinfacht.
Unzureichende Netzwerkaktivitätsprotokolle
Ein Netzwerkprotokoll ist eine Aufzeichnung von Ereignissen und von entscheidender Bedeutung für die Identifizierung und Verfolgung der Bemühungen böswilliger Akteure, sich Zugang zu verschaffen. Auch hier gilt: Wenn Sie ein Händler der Stufe 1 sind, der Millionen von Kreditkartentransaktionen pro Jahr abwickelt, sind Sie ein einladendes Ziel und verfügen wahrscheinlich über einen Netzwerkadministrator. Wenn Sie kein Händler der Stufe 1 sind und vor einer Prüfung stehen, bedeutet das, dass Sie kürzlich einen Verstoß erlitten haben
Fehlende oder schlecht konfigurierte Firewalls und Router
Die Sicherheit einer Netzwerk-Firewall (nicht zu verwechseln mit einer Webanwendungs-Firewall) oder eines Routers ist nur so gut wie die Person, die sie konfiguriert. Kenne dich aus oder beauftrage jemanden, der sich damit auskennt.
Unklare oder veraltete Verfahren zur Reaktion auf Sicherheitsvorfälle
Unabhängig davon, ob Sie Magento, WooCommerce oder eine andere Plattform verwenden, sollten Sie oder Ihr Systemadministrator große Anstrengungen unternehmen, um über die neuesten Schwachstellen auf dem Laufenden zu bleiben. Planen Sie, auf Exploits zu reagieren, wenn – nicht wenn, sondern wann – sie auftreten.
Warten Sie nicht, bis Ihr Audit beginnt
Abschließend sollten Sie nie vergessen, dass die PCI-Compliance eine fortlaufende Anstrengung ist. Jährliche Audits sind nur ein Bestandteil der Compliance, aber ein proaktiver Ansatz bei bevorstehenden Änderungen an Ihrem CDE wird sich oft auszahlen. Informieren Sie Ihren QSA frühzeitig über diese Änderungen, da er Ihnen kluge Ratschläge zur Aufrechterhaltung der Compliance geben kann.
Hinweise zur PCI-Konformität finden Sie unter Kontaktieren Sie unser Vertriebsteam zwischen 9 und 17 Uhr Eastern Time, Montag bis Freitag.