Hinweis: Der folgende Artikel hilft Ihnen dabei: Wie Hostinger Ihrem Geschäft hilft, PCI-konform zu bleiben
Ein PCI-konformer Shop erfordert nachhaltige Anstrengungen sowohl von Ihnen selbst als auch von Ihrem Hosting-Anbieter. Obwohl es keine Abkürzungen gibt, ist die Wahl eines glaubwürdigen Webhosting-Anbieters ein effektiver Ausgangspunkt. Dennoch können die meisten PCI-Anforderungen nur von Ihnen als Händler erfüllt werden. Lesen Sie weiter, um mehr über die Trennlinie zwischen Host und Händler zu erfahren und warum es sich für Ihre Kunden lohnen kann, über PCI hinauszugehen.
Was ist PCI?
Im E-Commerce ist PCI die Abkürzung für Payment Card Industry Data Security Standards (PCI DSS). PCI DSS wurde 2004 gegründet und zielt darauf ab, Verbraucher zu schützen und Kreditkartenbetrug zu verhindern. Es ist für jede Organisation erforderlich, die Kreditkartendaten eines der fünf Mitglieder der Organisation empfängt, verarbeitet oder speichert PCI-Sicherheitsrat: VISA, MasterCard, American Express, Discover und JCB.
Die Liste der Anforderungen ist gelinde gesagt umfangreich. Die Anforderungen umfassen sechs Kategorien und jede Kategorie ist in mehrere hundert spezifische Anforderungen unterteilt. Einige fallen ausschließlich in die Domäne von Händlern oder Hosting-Anbietern, während andere sich auf beide erstrecken. Auch die PCI-Konformität ist keine einmalige Anforderung, da der Sicherheitsrat regelmäßig Anpassungen vornimmt, um neuen Bedrohungen für Verbraucher zu begegnen.
Compliance ist kein „einmaliges“ Ereignis. Zur Aufrechterhaltung der Compliance sind tägliche, wöchentliche, monatliche und jährliche Aufgaben erforderlich. Es gibt 12 allgemeine Anforderungen, die in sechs Kategorien unterteilt sind. Zur Veranschaulichung haben wir dieselben Kategorien aufgelistet, aber auch spezifischere Anforderungen aus dem PCI DSS einbezogen.
6 Schlüsselkategorien für PCI-Konformität
Bauen Sie ein sicheres Netzwerk auf und pflegen Sie es. Installieren und warten Sie eine Firewall. Verwenden Sie einzigartige, hochsichere Passwörter mit besonderer Sorgfalt, um Standardpasswörter zu ersetzen.
Schützen Sie die Daten des Karteninhabers. Speichern Sie nach Möglichkeit keine Karteninhaberdaten. Wenn eine geschäftliche Notwendigkeit besteht, Karteninhaberdaten zu speichern, müssen Sie diese Daten schützen. Verschlüsseln Sie alle Daten, die über öffentliche Netzwerke übertragen werden, einschließlich der Daten, die zwischen Ihrem Warenkorb, Ihrem Webhosting-Anbieter und Ihren Kunden übertragen werden.
Pflegen Sie ein Schwachstellenmanagementprogramm. Benutzen Sie Antivirensoftware und halten Sie diese auf dem neuesten Stand. Entwickeln und pflegen Sie sichere Betriebssysteme und Zahlungsanwendungen. Stellen Sie sicher, dass Ihre Antivirensoftwareanwendungen mit den Kartenunternehmen Ihrer Wahl kompatibel sind.
Implementieren Sie strenge Zugangskontrollmaßnahmen. Der Zugriff auf elektronische und physische Karteninhaberdaten sollte auf der Grundlage des „Need-to-know“-Prinzips erfolgen. Stellen Sie sicher, dass die Personen mit elektronischem Zugang über eine eindeutige ID und ein eindeutiges Passwort verfügen. Erlauben Sie niemandem, Anmeldeinformationen weiterzugeben. Informieren Sie sich und Ihre Mitarbeiter über Datensicherheit und insbesondere über den PCI Data Security Standard (DSS).
Überwachen und testen Sie Netzwerke regelmäßig. Verfolgen und überwachen Sie alle Zugriffe auf Netzwerke und Karteninhaberdaten. Halten Sie einen regelmäßigen Testplan für Sicherheitssysteme und -prozesse ein, darunter Firewalls, Patches, Webserver, E-Mail-Server und Antivirenprogramme.
Pflegen Sie eine Informationssicherheitsrichtlinie. Legen Sie eine klare und umfassende Datensicherheitsrichtlinie für die Organisation fest. Verbreiten und aktualisieren Sie diese Richtlinie regelmäßig.
Bei Nichteinhaltung der PCI können Bußgelder zwischen 5.000 und 100.000 US-Dollar pro Monat verhängt werden, abhängig von der Größe der Organisation, die den Verstoß begangen hat, ihrer Schwere und anderen Faktoren. Die Nichteinhaltung kann außerdem zu rechtlichen Schritten, Sicherheitsverstößen und Umsatzeinbußen führen.
PCI-Anforderungen für Hosting-Anbieter
Für den typischen Händler ist es praktisch unmöglich, PCI-konform zu sein, ohne die Dienste eines konformen Hosting-Anbieters in Anspruch zu nehmen. Händler, die ihre eigenen Websites hosten, müssen zusätzlich zu denen für Händler auch die Anforderungen an Hosting-Anbieter erfüllen. Ein solches Modell funktioniert für große Unternehmen wie Amazon und WalMart, aber nur für wenige andere.
Im Folgenden sind einige der Highlights unserer Systeme und Richtlinien aufgeführt, die unseren Status als PCI-konformer Hosting-Anbieter aufrechterhalten. Der Begriff „Karteninhaberdatenumgebung“ bezieht sich auf jedes System, das Kreditkartendaten speichert, verarbeitet oder überträgt, sowie auf jedes System, das Zugriff auf die Karteninhaberdatenumgebung selbst hat.
Wir unterhalten eine Web Application Firewall (WAF), die alle Verbindungen zwischen der Karteninhaberdatenumgebung und anderen Netzwerken überwacht. ModSec verbietet den öffentlichen Zugriff auf sensible Bereiche, identifiziert nicht vertrauenswürdige Verbindungen und verbirgt IP-Adressen und Routing-Informationen vor Unbefugten.
Wir wenden branchenweit anerkannte Konfigurationsstandards für alle Systemkomponenten an, die alle bekannten Sicherheitslücken schließen. Dies erstreckt sich auf unser internes und externes Netzwerk, unsere Betriebssysteme und die Hardware, die zum Hosten von Webdiensten erforderlich ist.
Wir wenden Kryptografie- und Sicherheitsprotokolle an, die Karteninhaberdaten auch bei der Übertragung über öffentliche Netzwerke verschlüsseln und schützen. SSL-Zertifikate und andere vertrauenswürdige Sicherheitsschlüssel werden einseitig durchgesetzt. Es sind nur moderne TLS-Verschlüsselungen zulässig.
Wir beschränken den physischen Zugang zu unserem Rechenzentrum mit 24-Stunden-Sicherheitsrichtlinien und einem für deren Umsetzung geschulten Team. Dazu gehören unter anderem:
- Videoüberwachung mit 90-tägigem Filmmaterialverlauf
- Gesicherter Zutritt mit mindestens Zwei-Faktor-Authentifizierung (PIN, Zugangskarte) in den meisten Bereichen und Drei-Faktor-Authentifizierung (PIN, Zugangskarte, Fingerabdruck) in Bereichen, in denen sich die Karteninhaberdatenumgebung befindet
- Sichtbare Identifikation aller Teammitglieder
- Besucherrichtlinie, die unbefugten öffentlichen Zugang verhindert; autorisierte externe Personen haben nur Zutritt zu den erforderlichen Bereichen und werden jederzeit begleitet
- Teammitglieder erhalten nur dann Zugriff auf die Karteninhaberdatenumgebung, wenn ihre Rolle dies erfordert
- Eingeschränkter Zugriff auf Netzwerkbuchsen, drahtlose Zugangspunkte, Gateways, Netzwerke und andere Kommunikationsleitungen
Wir verfolgen und überwachen den Zugriff auf Netzwerkressourcen und Karteninhaberdatenobwohl es Aufgabe der Clients ist, Protokolle zu verwalten und Anmeldungen für ihre eigenen Anwendungen (Magento, WordPress usw.) zu überwachen.
Wir testen regelmäßig unsere Sicherheitssysteme und -prozesseund führen Sie in regelmäßigen Abständen sowie nach jedem wesentlichen Infrastruktur-Upgrade interne Penetrationstests durch.
PCI-Anforderungen für Händler
Bei richtiger Umsetzung hilft die PCI-Compliance Händlern dabei, allgemein anerkannte Best Practices für die Datensicherheit einzuhalten. Das Hosten bei einem PCI-konformen Anbieter ist ein solider erster Schritt, aber um die Konformität zu erreichen, sind noch Maßnahmen Ihrerseits erforderlich.
Wenn Ihr Geschäft Kreditkarten als Zahlungsmittel akzeptiert, muss es PCI-konform sein, unabhängig davon, ob Sie diese Daten speichern oder nicht. Die Wahl eines PCI-kompatiblen Webhosts ist nur der erste Schritt. Die meisten glaubwürdigen Webhoster können Händlern auf Anfrage Materialien zur Verfügung stellen, in denen sie ihre jeweiligen Verantwortlichkeiten darlegen. Letztendlich liegt es jedoch an den Händlern, diese Anforderungen zu verstehen und zu erfüllen.
Leider gibt es keine einheitliche Checkliste. Ihre spezifischen Verantwortlichkeiten variieren je nach Händlerebene (1–4, wobei 1 die höchste ist), die im Allgemeinen durch die Anzahl der Kreditkartentransaktionen bestimmt wird, die Ihr Geschäft jährlich verarbeitet.
Der allgemeine Prozess für die meisten Händler ist:
- Identifizieren, verstehen und implementieren Sie die entsprechenden PCI DSS-Anforderungen.
- Füllen Sie einen Fragebogen zur Selbsteinschätzung (SAQ) aus. Der SAQ ist eine Checkliste, die die Anforderungen darlegt. Abhängig von Ihrem Niveau werden einige oder alle davon auf Sie zutreffen. Händler der Stufe 1 haben die meisten Anforderungen; Stufe 4, am wenigsten. Widerstehen Sie der Versuchung, im SAQ einfach „alle Kästchen anzukreuzen“. Dadurch gefährden Sie Ihre Kunden und setzen Ihr Unternehmen einer Haftung aus. Die PCI riskiert, durch Verstöße Geld zu verlieren, und kann als Reaktion darauf Ihre SAQ und AOC untersuchen.
- Unterziehen Sie sich einem vierteljährlichen Scan durch einen Zugelassener Scan-Anbieter (ASV)eine unabhängige, qualifizierte Behörde, die externe Schwachstellenscans auf Ihren Systemen durchführt.
- Füllen Sie das Attestation of Compliance (AOC) aus, ein Dokument, das bestätigt, dass Sie zur Durchführung des SAQ berechtigt sind und diesen auch tatsächlich nach besten Kräften durchgeführt haben.
- Wenn Sie als Händler der Stufe 1 eingestuft werden, müssen Sie zusätzliche Schritte unternehmen, einschließlich einer Vor-Ort-Bewertung.
Wenn Ihnen das Überwinden der erheblichen Hürde der PCI-Konformität nicht zusagt, sind Sie nicht allein. Ihr Hosting-Anbieter kann Fragen im Zusammenhang mit der Überschneidung der Verantwortung und der Verantwortung Dritter beantworten Qualifizierte Sicherheitsgutachter (QSAs) können helfen Unternehmen unterliegen dem PCI-Handschuh (zu einem Preis).
Selbst Unternehmen, die als Zahlungsoptionen nur PayPal, Auth.net und andere Zahlungsdienste anbieten, müssen PCI-konform sein, da diese Unternehmen weiterhin Kreditkartendaten übermitteln müssen.
Eine universelle Komponente ist die Notwendigkeit, zu bestätigen, dass alle Ihre Dienstanbieter PCI-konform sind. Dazu gehört Ihr Hosting-Anbieter, aber auch Zahlungsabwickler, Zahlungs-Gateways, POS-Anbieter und alle anderen Stellen, die mit den Karteninhaberdaten Ihrer Kunden umgehen.
Einige PCI-Grundlagen für Händler
- Halten Sie die PCI-Konformität ein. Compliance erfordert kontinuierliches Bewusstsein und tägliche Anwendung. Die Aufgaben variieren zwischen täglich und jährlich, sind aber alle wiederkehrend.
- Kreuzen Sie nicht einfach bei jeder Frage im SAQ „Ja“ an. Due Diligence schützt Ihr Unternehmen und Ihre Kunden.
- Machen Sie sich mit Ihrem Code vertraut oder beauftragen Sie einen Entwickler mit entsprechenden Kenntnissen. Implementieren Sie ausnahmslos Best Practices für die Bereitstellung mithilfe von Staging- und Entwicklungsstandorten.
- Richten Sie eine sichere Passwortrichtlinie ein. Verwenden Sie komplexe, eindeutige Passwörter und erlauben Sie Ihren Mitarbeitern niemals, Anmeldeinformationen weiterzugeben oder Standardpasswörter zu verwenden.
- Aktivieren Sie die Zwei-Faktor-Authentifizierung für alle Ihre internen Benutzer und erwägen Sie, sie als Option für Kunden bereitzustellen, die sich auf Ihrer Website anmelden.
- Verwenden Sie eine Web Application Firewall (WAF). Bei Hostinger stellen wir eines für alle Kunden bereit und es ist standardmäßig aktiviert.
- Verlassen Sie sich nicht nur auf das Wort Ihres Hosting-Anbieters. Bestätigen Sie, dass sie PCI-konform und kompetent sind, indem Sie ihr Attestation of Compliance (AOC) anfordern (und erhalten).
- Halten Sie Ihre Anwendungen und Erweiterungen auf dem neuesten Stand und überwachen Sie sie aktiv auf neue Bedrohungen und Versionen.
Jenseits von PCI
Wenn die PCI-Compliance ausreichen würde, wären Verstöße gegen hochkarätige Organisationen weitaus seltener. Konform sollte nicht gleichbedeutend mit selbstgefällig sein.
In Wirklichkeit ist PCI-Compliance „Karteninhaber-Datensicherheit 101“. Es ist der akzeptable Mindeststandard und eine vernünftige Einführung, aber PCI ist alles andere als unfehlbar. Kreditkartenunternehmen verlangen Compliance. Händler, die sich an die PCI-Standards halten, können die Verbraucher wirksamer schützen als Unternehmen, die ihnen nur Lippenbekenntnisse abgeben, aber die Einhaltung der PCI-Standards ist nur der erste Schritt.
Die Natur von PCI – ein großes, kuratiertes Dokument, das nur regelmäßig aktualisiert wird – macht es angreifbar. Standards, die in der „aktuellen“ Fassung als ausreichend erachtet werden, werden oft als unzureichend entlarvt. Es kann Monate oder sogar Jahre dauern, bis PCI „aufgeholt“ hat, und Kriminelle sind sich seiner Grenzen durchaus bewusst.
Der beste Schutz ist Wissen. Bei Hostinger haben wir Teammitglieder, die sich auf Web-Sicherheit spezialisiert haben und mit den neuesten Bedrohungen, Verstößen und Gegenmaßnahmen bestens vertraut sind. Viele Händler zögern möglicherweise, die Dienste eines Sicherheitsexperten in Anspruch zu nehmen. Wir empfehlen Ihnen zumindest, Sicherheitsbenachrichtigungen für Ihre E-Commerce-Anwendung zu abonnieren und mindestens einer glaubwürdigen Quelle für Web-Sicherheitsnachrichten zu folgen. Beide Quellen reagieren viel schneller als der PCI, und wenn Sie sie befolgen, können Sie „den Rauch erkennen“, bevor er zu einem Feuer wird.
Wir stehen auf der Liste!
Vergessen Sie nicht, dass wir „auf der Liste“ der PCI-konformen Anbieter stehen, die vom Visa Global Registry offiziell anerkannt sind. Das bedeutet, dass wir uns weiterhin dafür einsetzen, unsere Sicherheitsrichtlinien zu überprüfen und zu verbessern, um die PCI-Compliance-Anforderungen zu erfüllen und zu übertreffen. Wenn Sie nach einem PCI-konformen Anbieter suchen, bedeutet Hosting bei Hostinger, dass Sie bei einem zugelassenen und anerkannten Anbieter hosten. Erfahren Sie mehr über das PCI-konforme Hosting mit Hostinger.
Hinweise zur PCI-Konformität finden Sie unter Kontaktieren Sie unser Vertriebsteam zwischen 9 und 17 Uhr Eastern Time, Montag bis Freitag.