Der Payment Card Industry Data Security Standard (PCI DSS) ist für alle Instanzen verpflichtend, die Visa Karteninhaberdaten speichern, verarbeiten oder übertragen, darunter Finanzinstitute, Händler und Dienstleister. Zur Sicherstellung der PCI DSS Compliance verlangen die Programme von Visa, dass die Teilnehmer ihre Compliance Einhaltung regelmäßig belegen.
Bleiben Sie auf dem neuesten Stand in Bezug auf Sicherheitsstandards
PCI DSS Compliance
Sicherheitsstandards, von denen alle profitieren.
-
Das Cardholder Information Security Program (CISP) von Visa ist ein Programm, das die Sicherheit von Visa Karteninhaberdaten schützen soll, indem es sicherstellt, dass Kunden, Händler und Dienstleister die höchste Stufe der Informationssicherheit einhalten.
Das Security Standards Council (SSC) erstellt, pflegt und verwaltet die PCI DSS sowie alle zugehörigen Unterlagen, allerdings managt Visa alle Initiativen zur Durchsetzung und Validierung der Datensicherheits-Compliance.
-
Kartenausgebende Banken und Händlerbanken sind dafür verantwortlich, dass all ihre Dienstleister, Händler und Händlerdienstleister die Anforderungen von PCI DSS erfüllen.
Die Compliance-Validierung bei Händlern richtet sich nach der Anzahl der Transaktionen, dem möglichen Risiko und der Exposition für das Bezahlsystem.
Kartenausgebende Banken und Händlerbanken müssen sicherstellen, dass all ihre Dienstleister der Stufe 1 und 2 ihre PCI DSS Compliance zum Zeitpunkt ihrer Registrierung als Drittanbieter (Third Party Agents, TPA) sowie danach alle zwölf Monate belegen.
-
Acquirer müssen sicherstellen, dass ihre Händler auf der erforderlichen Stufe validiert sind und sich die vorgeschriebene Compliance-Validierungsdokumentation von ihren Händlern vorlegen lassen. Händlerbanken und Händler müssen außerdem die Anforderungen zum Compliance-Reporting der Zahlungskarten anderer Anbieter überprüfen, die womöglich ebenfalls Belege für Compliance-Validierung verlangen.
Dienstleister der Stufe 1 ohne direkte Verbindung zu Visa müssen die jährliche PCI-Datensicherheitsbeurteilung am Standort durchlaufen und Visa eine unterschriebene Compliance-Erklärung (Attestation of Compliance, AOC) mit den Unterschriften sowohl des Dienstleisters als auch des qualifizierten Sicherheitsgutachters (qualified security assessor, QSA) vorlegen. Dienstleister der Stufe 2 müssen einen unterschriebenen Fragebogen zur Selbstbewertung (self-assessment questionaire, SAQ-D) oder eine AOC mit QSA-Unterschrift vorlegen. Vor der Aufnahme eines Dienstleisters in das globale Dienstleisterregister von Visa muss die Validierung der PCI DSS Compliance vorliegen.
-
Die Visa Regeln sowie Produkt- und Dienstleistungsregeln sind maßgeblich bindend für die Aktivitäten der Finanzinstitute sowie im weiteren Sinne für die Händler und Dienstleister als Teilnehmer des Visa Bezahlsystems.
Kartenausgebende Banken und Händlerbanken sind für die jeweilige PCI DSS Compliance ihrer Dienstleister und Händler verantwortlich. Dazu gehören auch die Dienstleister, mit denen ein Händler zusammenarbeitet. Als Dienstleister und Händler sind Sie jederzeit dazu verpflichtet, die Compliance zu wahren. (VCR Abschnitts-ID Nr. 0002228 und Nr. 0008031)
Wenn ein Dienstleister oder Händler nicht dem PCI DSS entspricht oder nicht in der Lage ist, ein Sicherheitsproblem zu beheben, kann Visa eine Untersuchung zur Nichteinhaltung für die kartenausgebende Bank oder die Händlerbank anordnen. Die kartenausgebende Bank oder die Händlerbank trägt die Kosten aller Beurteilungen und darf nicht kommunizieren, dass Visa von dem Dienstleister oder Händler jeweils eine Beurteilung verlangt hat. (VCR Abschnitts-ID Nr. 0001054)
Acquirer können sich unter [email protected] an Visa Risk wenden, um mehr zu erfahren.
PIN-Sicherheitsprogramm
Visa vereinfacht die Compliance-Validierung für PIN-Sicherheit in allen Regionen.
Datensicherheitsstandard zu Bezahlanwendungen (PA-DSS)
Visa empfiehlt Anbietern von Bezahlanwendungen dringend, ihre Produkte entsprechend PA-DSS zu entwickeln und dies zu validieren. PA-DSS-konforme Anwendungen helfen Händlern und ihren Vertretern, die Folgen von Schutzverletzungen zu mildern, die Speicherung von sensiblen Karteninhaberdaten zu vermeiden und die Compliance mit dem PCI-DSS insgesamt zu fördern. PA-DSS gilt nur für Bezahlanwendungssoftware von Drittparteien, die im Rahmen einer Autorisierung oder Abrechnung Karteninhaberdaten speichern, verarbeiten oder übertragen. Interne Softwareanwendungen sind durch die PCI DSS Beurteilung eines Händlers oder Vertreters abgedeckt.
-
Am 1. Januar 2008 hat Visa eine Reihe von Auflagen in Kraft gesetzt, um den Einsatz von ungeschützten Bezahlanwendungen im Visa Bezahlsystem zu beenden. Diese Auflagen verlangen von Händlerbanken die Sicherstellung, dass ihre Händler und Vertreter keine Bezahlanwendungen einsetzen, von denen bekannt ist, dass auf ihnen sensible Karteninhaberdaten gespeichert bleiben (d. h. vollständige Magnetstreifen-, CVV2- oder PIN-Daten), und dass Bezahlanwendungen zum Einsatz kommen, die dem PA-DSS entsprechen.
-
Viele Anbieter von Bezahlanwendungen haben ihre Anwendungen bereits PA-DSS-konform gestaltet, allerdings gibt es wachsende Bedenken, dass Aktualisierungen der Bezahlsoftware nicht konsequent so entwickelt werden, dass bekannte Schwachstellen nicht erneut entstehen. Außerdem gibt es Bedenken, dass Bezahlsoftware nicht sicher beim Kunden eingerichtet wird.
Schutzverletzungen bei Händlern und Vertretern legen offen, dass einige Anbieter von Bezahlanwendungen mangelhafte Softwareverfahren einsetzen, wenn sie Bezahlanwendungen und -systeme einrichten, und dass sie bei der Unterstützung von Kunden unsichere, gemeinsam genutzte oder die vom System vorgegebenen Zugangsdaten benutzen und bei der Verwaltung von Kunden-Websites mangelhaft eingerichtete Management-Tools verwenden. Straftäter können diese ungeschützten Einträge nutzen, um sich Zugang zum Umfeld der Karteninhaber zu verschaffen.
Visa hat eine Reihe von bewährten Verfahren entwickelt, um Anbietern von Bezahlanwendungen zu helfen, bedenkliche Softwareprozesse anzugehen. Im Rahmen ihrer Sorgfaltspflicht haben Acquirer, Händler und Vertreter sicherzustellen, dass die von ihnen jeweils beschäftigten Subunternehmen den Vorgaben ausgereifter Softwareprozesse entsprechen.
Die Top 10 Verfahren von Visa für Bezahlanwendungsunternehmen
-
Visa ist bekannt geworden, dass bestimmte Bezahlanwendungen von Softwareanbietern so ausgelegt sind, dass nach der Genehmigung einer Transaktion empfindliche Karteninhaberdaten (d. h. umfangreiche Magnetstreifen-, CVV2- oder PIN-Daten) gespeichert bleiben. Die Speicherung dieser Karteninhaberdaten ist ein direkter Verstoß gegen die PCI-DSS-Regeln und die Visa Regeln. Straftäter zielen auf Händler und Vertreter ab, die diese anfälligen Bezahlanwendungen einsetzen und nutzen diese Sicherheitslücken aus, um Karteninhaberdaten zu finden und zu entwenden.
Visa stellt wichtigen Stakeholdern, darunter Händlerbanken, zum Schutz vor Kompromittierungen nach Bedarf eine aktualisierte Liste anfälliger Bezahlanwendungen zur Verfügung. Wenn Ihnen eine anfällige Bezahlanwendung auffällt und Sie Genaueres über den Anbieter der Bezahlanwendung, die Anwendungsversion, den Speicherort empfindlicher Karteninhaberdaten beziehungsweise über den Anbieter selbst wissen, benachrichtigen Sie bitte Visa per E-Mail unter [email protected]. Alle Angaben werden vom Softwareanbieter geprüft. Visa legt gegenüber keinem Softwareanbieter die Quelle der Angaben offen oder teilt Angaben mit, die die Quelle kenntlich machen könnten.
-
Visa hat 2005 die bewährten Verfahren zu Bezahlanwendungen (Payment Application Best Practices, PABP) entwickelt, um Softwareanbietern Richtlinien für die Entwicklung von Bezahlanwendungen zu geben. Diese Richtlinien helfen bei der Eindämmung von Kompromittierungen, der Verhinderung des Speicherns von empfindlichen Karteninhaberdaten (d. h. umfangreichen Magnetstreifen-, CVV2- oder PIN-Daten) und fördern insgesamt die Compliance mit dem PCI DSS. Der PCI Security Standards Council hat 2008 die PABP von Visa angenommen und den Standard als PA-DSS veröffentlicht. Im Rahmen des Compliance-Programms von Visa ist der PA-DSS mittlerweile an die Stelle der PABP getreten.