PCI-Compliance-Checkliste: Was jedes E-Commerce-Unternehmen wissen muss

Es scheint, als würden wir jeden Tag von einer neuen Datenschutzverletzung hören. Allein im Jahr 2020 erlebten große Unternehmen wie J.Crew, Estee Lauder, T-Mobile, GE, Marriott, Avon und Staples Datenschutzverletzungen, die große Geldsummen kosteten und das Vertrauen der Kunden beschädigten.

Es ist leicht zu glauben, „das passiert nur den Großen“, aber Tatsache ist, dass 90 % der Datenschutzverletzungen kleine Unternehmen betreffen. Aus diesem Grund sind E-Commerce-Händler, die Kredit- oder Debitkartenzahlungen online abwickeln – also fast alle! – sollte PCI-konform sein. Was also ist PCI-Compliance und wie kann sie Ihrem Unternehmen helfen? Tauchen wir ein!

Was ist PCI-Compliance?

PCI ist ein Akronym für „Payment Card Industry“. Sie können es auch als PCI DSS sehen, was für „Payment Card Industry Data Security Standard“ steht. In jedem Fall ist die PCI-Compliance-Definition „eine Reihe von Anforderungen, die sicherstellen sollen, dass alle Unternehmen, die Kreditkarteninformationen verarbeiten, speichern oder übertragen, eine sichere Umgebung aufrechterhalten.“

Die PCI-Compliance wurde 2006 vom PCI Security Standards Council (PCI SSC) entwickelt, einem unabhängigen Gremium, das sich aus führenden Vertretern der Zahlungskartenbranche von Visa, MasterCard, American Express, Discover und JCB zusammensetzt (weshalb es manchmal auch als „Kreditkarte“ bezeichnet wird Kartenkonformität“). Ihr Ziel ist es, alle an Zahlungstransaktionen beteiligten Parteien zu schützen, einschließlich Zahlungsnetzwerke, Prozessoren, Finanzinstitute, Kunden und Unternehmen.

Warum ist PCI-Compliance wichtig?

PCI-Compliance ist keine gesetzliche Anforderung. Die Nichteinhaltung der PCI-Protokolle könnte jedoch eCommerce-Händler in rechtliche Schwierigkeiten bringen. Wie? Wenn Ihr Unternehmen von einer Datenpanne betroffen ist und die daraus resultierenden Untersuchungen ergeben, dass Ihre Prozesse nicht PCI-konform waren, können Ihnen Bußgelder und Gebühren von Behörden und Zahlungskartenausstellern in Höhe von Tausenden von Dollar auferlegt werden, und es können Klagen und Versicherungsansprüche gegen Sie erhoben werden, weil sie versagt haben um den PCI-Standards zu entsprechen. Darüber hinaus könnten Sie das Vertrauen der Kunden, wertvolle Mitarbeiter, die Fähigkeit zur Annahme von Zahlungskarten (der Todesstoß für Online-Händler) verlieren und höheren Compliance-Kosten ausgesetzt sein.

Während Sie also nicht einfach dafür bestraft werden können, dass Sie nicht PCI-konform sind, können Sie für jeden Verstoß zur Rechenschaft gezogen werden, der auftritt, wenn Sie nicht konform sind. Und wie bereits erwähnt, betreffen 90 % der Datenschutzverletzungen kleine Unternehmen, daher ist Vorsicht besser als Nachsicht.

Sie fragen sich vielleicht, warum Cyberkriminelle kleine Unternehmen angreifen wollen; schließlich gibt es viel größere Fische zum Braten! Nun, Cyberkriminelle sehen kleine Unternehmen als leichte Beute. Sie wissen, dass die meisten großen Einzelhändler PCI-konform und damit weniger anfällig sind. Sie setzen jedoch darauf, dass viele kleine Unternehmen nicht die notwendigen Schritte unternommen haben, um PCI-konform zu werden, was sie zu einer leichten Marke macht.

6 Arten von Sicherheitsverletzungen, vor denen PCI-Compliance schützt

Während Cyberkriminelle trotz Schutzmaßnahmen immer nach einem Weg suchen werden (das ist genau das, was sie tun), kann die PCI-Compliance viel zum Schutz vor den folgenden sechs Arten von Sicherheitskatastrophen beitragen .

1. Malware. Kriminelle verwenden bösartige Software, um ein Computersystem zu infiltrieren und Zahlungsdaten zu stehlen. Ransomware , bei der ein Hacker Daten als „Geisel“ gegen Geld in Bitcoin hält, ist eine der am schnellsten wachsenden Formen von Malware.
2. Phishing. Phishing-E-Mails (z. B. eine Rechnung oder eine Informationsanfrage von der C-Suite) sind ein gängiges Übermittlungsinstrument für Malware und sehen legitim aus, um Menschen davon zu überzeugen, sie zu öffnen. Sie enthalten jedoch schädliche Links oder Anhänge, die einen Computer und das gesamte System infizieren können.
3. Fernzugriff. Schwache Fernzugriffskontrollen, wie sie beispielsweise von Ihren Zahlungsterminalanbietern verwendet werden, ermöglichen es Cyberkriminellen, sich Zugang zu Ihren Systemen zu verschaffen, die Zahlungsdaten speichern, verarbeiten oder übertragen.
4. Schwache Passwörter . Es gibt einen Grund, warum Passwörter heute nach unterschiedlichen Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen fragen: Mehr als 80 % der Datenschutzverletzungen betreffen gestohlene/schwache Passwörter.
5. Veraltete Software. Fehler in veralteter Software werden oft „ungepatcht“, was es Cyberkriminellen leicht macht, sie zu infiltrieren.
6. Abschöpfen. Während dies nur für physische Ladenlokale gilt, bedeutet Skimming, dass Kriminelle kleine Hardware-„Skimming-Geräte“ an Kartenlesegeräten anbringen, die Zahlungsdaten von Kunden stehlen, wenn sie Zahlungskarten verwenden. Dann können gefälschte Karten erstellt werden, um illegale Einkäufe zu tätigen.

Die 4 PCI-Konformitätsstufen

Finden Sie es nicht fair, dass Ihr kleines Unternehmen denselben PCI-Standards unterliegt wie ein milliardenschweres Unternehmen wie Amazon? Die gute Nachricht ist, dass dies nicht der Fall ist! Es gibt vier PCI-Konformitätsstufen, die durch die Anzahl der Transaktionen bestimmt werden, die ein Unternehmen jedes Jahr abwickelt.

• Stufe 1: Händler, die jährlich über 6 Millionen Kartentransaktionen abwickeln.
• Stufe 2: Händler, die jährlich 1 bis 6 Millionen Transaktionen verarbeiten.
• Stufe 3: Händler, die jährlich 20.000 bis 1 Million Transaktionen verarbeiten.
• Stufe 4: Händler, die weniger als 20.000 Transaktionen pro Jahr verarbeiten.

Der PCI SSC bietet auf seiner Website auch einen einfachen Fragebogen zur Selbsteinschätzung an, mit dessen Hilfe Sie feststellen können, welche Anforderungen des PCI-Datensicherheitsstandards für Ihr Unternehmen gelten.

Wie sich Startups und kleine E-Commerce-Unternehmen mit dieser PCI-Compliance-Checkliste vorbereiten können

Im Folgenden finden Sie Möglichkeiten, wie Sie Ihre PCI-Compliance-Stufen erhöhen können, um Ihr Unternehmen und Ihre Kunden zu schützen. Betrachten Sie dies als Ihre „PCI-Compliance-Checkliste“. Alle 12 PCI-Compliance-Anforderungen beziehen sich auf ein Prinzip, und diese Prinzipien sind:

• Bauen und pflegen Sie ein sicheres Netzwerk
• Karteninhaberdaten schützen
• Pflegen Sie ein Vulnerability-Management-Programm
• Implementieren Sie strenge Zugriffskontrollmaßnahmen
• Netzwerke regelmäßig überwachen und testen
• Pflegen Sie eine Informationssicherheitsrichtlinie

1. Verwenden und warten Sie Firewalls

Wenn ein Cyberkrimineller oder ein anderer unbekannter Akteur, ob böswillig oder nicht, versucht, auf private Daten in Ihrem System zuzugreifen, blockiert eine Firewall im Wesentlichen den Zugriff. Natürlich sind Firewalls nicht undurchdringlich und Schwachstellen können gefunden werden (weshalb es wichtig ist, sie durch Updates zu warten), aber sie sind eine gute erste Verteidigungslinie.

2. Verwenden Sie den richtigen Passwortschutz

Software und Hardware von Drittanbietern werden oft mit generischen Passwörtern und Standardsicherheitsmaßnahmen geliefert, auf die Cyberkriminelle leicht zugreifen können. Um PCI-konform zu sein, müssen Sie diese Passwörter ändern und grundlegende Konfigurationen anpassen sowie eine Liste aller Geräte führen, die ein Passwort oder andere Zugangsmöglichkeiten erfordern.

3. Schützen Sie gespeicherte Karteninhaberdaten

Karteninhaberdaten sollten niemals über den Zeitraum hinaus gespeichert werden, der für den Abschluss einer Transaktion erforderlich ist, es sei denn, dies ist aus rechtlichen, behördlichen oder geschäftlichen Gründen erforderlich. Wenn eine Speicherung erforderlich ist, müssen Unternehmen die Speicher- und Aufbewahrungszeit auf ein Minimum beschränken und die Daten mindestens vierteljährlich löschen. Die PCI-Konformität befasst sich auch damit, wie primäre Kontonummern (PAN) angezeigt werden sollten, z. B. nur die ersten sechs und die letzten vier Ziffern anzuzeigen.

4. Übertragene Daten verschlüsseln

Wenn Karteninhaberdaten über öffentliche Netzwerke übertragen werden, ist dies eine hervorragende Gelegenheit für Cyberkriminelle, sie abzufangen. Diese PCI-Anforderung besagt, dass Karteninhaberdaten verschlüsselt werden müssen, wenn sie an diese bekannten Orte gesendet werden, und dass sie niemals an unbekannte Orte gesendet werden sollten.

5. Verwenden und pflegen Sie Antivirus-Software

Antivirensoftware wie McAfee oder Norton ist für jedes Gerät erforderlich, das mit PAN interagiert oder diese speichert. Genau wie Ihre Firewall muss diese Software regelmäßig aktualisiert werden, damit Schwachstellen gepatcht werden können. Schauen Sie sich die PC-Liste der besten Antivirensoftware für 2021 an.

6. Pflegen Sie sichere Systeme und Anwendungen

E-Commerce-Unternehmen müssen Software sicher halten und mit ihren Softwareanbietern zusammenarbeiten, um sicherzustellen, dass Sicherheitspatches auf dem neuesten Stand und leicht zugänglich und ausführbar sind. Neben der rechtzeitigen Bereitstellung kritischer Patches müssen Unternehmen einen Prozess zur Erkennung neuer Schwachstellen und deren Einstufung erstellen. Diese Updates sind besonders wichtig für alle Software auf Geräten, die mit Karteninhaberdaten interagieren oder diese speichern.

7. Zugriff auf Karteninhaberdaten einschränken

Karteninhaberdaten sind sehr sensible Informationen und sollten nur von Agenten eingesehen werden, die sie unbedingt kennen müssen. Die Mehrheit Ihrer Mitarbeiter und Dritte benötigen keinen Zugriff auf diese Informationen, daher sollten sie eingeschränkt werden. Diejenigen Rollen, die Zugriff auf diese Daten benötigen, sollten umfassend dokumentiert und regelmäßig aktualisiert werden.

8. Weisen Sie eindeutige IDs für den Zugriff zu

Anstatt einen einzigen Login-Benutzernamen und ein Passwort für Karteninhaberdaten zu haben, müssen Personen, die Zugriff benötigen, über individuelle Anmeldedaten und Ausweise verfügen. Dadurch wird sichergestellt, dass jeder Zugriff auf Karteninhaberdaten zu einem bekannten Benutzer zurückverfolgt oder zumindest sofort als unbefugter Zugriff erkannt werden kann. Für den Fernzugriff ist eine Zwei-Faktor-Authentifizierung erforderlich, die eine zusätzliche Sicherheitsebene bietet.

9. Beschränken Sie den physischen Zugriff auf Daten

Alle Karteninhaberdaten vor Ort müssen physisch an einem sicheren Ort aufbewahrt, überwacht und protokolliert werden. Verfahren zur schnellen Identifizierung von Personen, die nicht dazugehören, müssen eingeführt werden. Sicherungen müssen auch an einem sicheren sekundären Standort aufbewahrt werden. Wenn das Unternehmen die Daten schließlich nicht mehr benötigt, müssen sie vernichtet werden.

10. Netzwerke regelmäßig prüfen

Die PCI-Compliance verlangt von E-Commerce-Unternehmen, dass sie ihre Netzwerke regelmäßig überwachen und testen, um sicherzustellen, dass keine physischen oder drahtlosen Schwachstellen vorhanden sind. Benötigt werden automatisierte Audit-Trails sowie die Möglichkeit, Ereignisse zu rekonstruieren, falls ein Verstoß auftritt. Auditdaten müssen mindestens ein Jahr lang gesichert und aufbewahrt werden.

11. Schwachstellen scannen und testen

Schwachstellen entstehen durch cyberkriminelle Aktivitäten, Fehlfunktionen, menschliches Versagen und die Einführung von neuem Code. Das bedeutet, dass alle internen und externen Systeme und Prozesse vierteljährlich getestet werden müssen, um sicherzustellen, dass die Sicherheit aufrechterhalten wird. Weitere laufende PCI-DSS-Anforderungen umfassen Penetrationstests sowie den Einsatz von Intrusion Detection- und Prevention-Systemen. Darüber hinaus ist eine Dateiüberwachung für die PCI-Konformität erforderlich, damit Warnungen ausgelöst werden, wenn ein Benutzer Inhalte, Konfigurationen oder eine Systemdatei auf nicht autorisierte Weise geändert hat.

12. Dokumentensicherheitsrichtlinien

Der Bestand an Geräten, Software und Mitarbeitern, die Zugriff auf Daten haben, muss für die Einhaltung der Vorschriften dokumentiert werden. Auch die Protokolle der Zugriffe auf Karteninhaberdaten und die Art und Weise, wie Informationen in Ihr Unternehmen fließen, wo sie gespeichert und nach dem Verkauf verwendet werden, müssen dokumentiert werden. Darüber hinaus muss eine Person oder ein Team ernannt werden, um Initiativen zur Sensibilisierung für Sicherheit zu schaffen und potenzielle Mitarbeiter, Auftragnehmer usw. im Rahmen des Einstellungsprozesses zu überprüfen, um interne Datenschutzverletzungen zu vermeiden.

Budgetierung für PCI-Compliance

Das Erreichen und Aufrechterhalten der 12 Schritte der PCI-Compliance wird zweifellos Geld kosten. Natürlich hängt die Höhe des Geldbetrags davon ab, welchen Compliance-Level Ihr Unternehmen erreicht, die Größe Ihrer Organisation, die Sicherheitskultur Ihres Unternehmens, die Art der verwendeten Technologie und ob Sie sich einen engagierten IT/PCI-Experten leisten können.

Da die Kosten einer Nichteinhaltung jedoch so hoch sein können, sollte eine Datenschutzverletzung auftreten (und es ist ehrlich gesagt keine Frage des Ob, sondern des Wann), lohnt es sich, das Budget dafür zu finden, selbst wenn dies bedeutet, die Ausgaben an anderer Stelle zu kürzen oder zu erhöhen die Preisgestaltung für bestimmte Produkte vorübergehend, um das Geld aufzutreiben. Am Ende haben Sie ein sicheres E-Commerce-Geschäft und können sich und Ihre Kunden beruhigt zurücklehnen.

Reduzieren Sie Bedenken hinsichtlich der Datensicherheit mit The Fulfillment Lab

Die Technologie bietet E-Commerce-Händlern viele Vorteile, von der Bestandsüberwachung über die Sendungsverfolgung, die Zahlungsabwicklung bis hin zur Sicherheit der Kundendaten. Natürlich erfordert der Erwerb dieser Systeme eine große finanzielle Investition – und es gibt immer eine Lernkurve!

Wenn Sie die Auftragsabwicklung an The Fulfillment Lab, einen führenden Anbieter von E-Commerce-Marketing mit 14 internationalen Einrichtungen, auslagern, nehmen Sie sich die Last des Versands ab. Sie werden auch viele Ihrer PCI-Compliance-Bedenken reduzieren, da Sie Zugriff auf unsere hochmoderne Global Fulfillment System (GFS) -Software erhalten. Mit diesem sicheren System können Sie Bestände überwachen, Sendungen verfolgen, Verpackungen anpassen und Zahlungen verarbeiten. Weitere Informationen finden Sie in unserem Blog 10 Gründe für die Nutzung eines Versandzentrums für Ihren E-Commerce-Versand . Zögern Sie nicht, uns zu kontaktieren, um mehr zu erfahren.