Compliance mit den Sicherheitsstandards der Zahlungskartenindustrie (DSS) ist für alle Instanzen verpflichtend, die Visa Karteninhaberdaten speichern, verarbeiten oder übertragen, darunter Finanzinstitute, Händler und Dienstleister. Zur Sicherstellung der PCI-DSS-Compliance verlangen die Programme von Visa, dass die Teilnehmer ihre Compliance regelmäßig belegen.
Bleiben Sie auf dem neuesten Stand der Sicherheitsstandards
PCI-DSS-Compliance
Sicherheitsstandards, von denen alle profitieren.
-
Das Cardholder Information Security Program (CISP) von Visa ist ein Programm, das die Sicherheit von Visa Karteninhaberdaten schützen soll, indem es sicherstellt, dass Kunden, Händler und Dienstleister die höchste Stufe der Informationssicherheit einhalten.
Der PCI-Sicherheitsrat (Security Standards Council, SSC) erstellt, pflegt und verwaltet die PCI DSS sowie alle zugehörigen Unterlagen, allerdings verwaltet Visa alle Initiativen zur Durchsetzung und Validierung der Datensicherheitscompliance.
-
Kartenausgebende Banken und Händlerbanken sind dafür verantwortlich, dass all ihre Dienstleister, Händler und Händlerdienstleister die Anforderungen von PCI DSS erfüllen.
Die Compliance-Validierung bei Händlern richtet sich nach der Anzahl der Geschäftsvorfälle, dem möglichen Risiko sowie der Belastung, die sie im Bezahlsystem entstehen lassen.
Mehr über die Händlerstufen erfahren
Kartenausgebende Banken und Händlerbanken müssen sicherstellen, dass all ihre Dienstleister der Stufe 1 und 2 ihre PCI-DSS-Compliance zum Zeitpunkt ihrer Registrierung als Drittanbieter (Third Party Agents, TPA) sowie danach alle zwölf Monate belegen.
-
Händlerbanken müssen sicherstellen, dass ihre Händler auf der erforderlichen Stufe validiert sind und sich die vorgeschriebene Compliance-Validierungsdokumentation von ihren Händlern vorlegen lassen. Händlerbanken und Händler müssen außerdem die Anforderungen zum Compliance-Reporting der Bezahlkarten anderer Marken überprüfen, die womöglich ebenfalls Belege für Compliance-Validierung verlangen.
Dienstleister der Stufe 1 ohne direkte Verbindung zu Visa müssen die jährliche PCI-Datensicherheitsbeurteilung am Standort durchlaufen und Visa eine unterschriebene Compliance-Erklärung (Attestation of Compliance, AOC) mit den Unterschriften – sowohl des Dienstleisters als auch des qualifizierten Sicherheitsgutachters (qualified security assessor, QSA) – vorlegen. Dienstleister der Stufe 2 müssen einen unterschriebenen Fragebogen zur Selbstbewertung (self-assessment questionaire, SAQ-D) oder eine AOC mit QSA-Unterschrift vorlegen. Vor der Aufnahme eines Dienstleisters in das weltweite Dienstleisterregister von Visa (das Register) muss die Validierung der PCI-DSS-Compliance vorliegen.
-
Die Visa Core-Regeln sowie die Produkt- und Dienstleistungsregeln sind bindend für die Aktivitäten der Finanzinstitute der Kunden, sowie im weiteren Sinne für die Händler und Dienstleister als Teilnehmer am Visa Bezahlsystem.
Kartenausgebende Banken und Händlerbanken sind für die jeweilige PCI-DSS-Compliance ihrer Dienstleister und Händler verantwortlich. Dazu gehören auch die Dienstleister, die ein Händler beschäftigt. Als Dienstleister und Händler sind Sie jederzeit dazu verpflichtet, die Compliance zu wahren. (VCR Abschnitts-ID Nr. 0002228 und Nr. 0008031)
Wenn ein Dienstleister oder Händler nicht dem PCI DSS entspricht oder nicht in der Lage ist, ein Sicherheitsproblem zu beheben, kann Visa eine Nicht-Compliance-Beurteilung für die kartenausgebende Bank oder die Händlerbank anordnen. Die kartenausgebende Bank oder die Händlerbank trägt die Kosten aller Beurteilungen und darf nicht wiedergeben, dass Visa von dem Dienstleister oder Händler jeweils eine Beurteilung verlangt hat. (VCR Abschnitts-ID Nr. 0001054)
Händlerbanken können sich unter [email protected] an Visa Risk wenden, um mehr zu erfahren.
PIN-Sicherheitsprogramm
Visa vereinfacht die Compliance-Validierung für PIN-Sicherheit in allen Regionen.
Datensicherheitsstandard zu Bezahlanwendungen (PA-DSS)
Visa empfiehlt Anbietern von Bezahlanwendungen dringend, ihre Produkte entsprechend PA-DSS zu entwickeln und diese Entsprechung zu validieren. PA-DSS-konforme Anwendungen helfen Händlern und Vertretern, die Folgen von Schutzverletzungen zu mildern, die Speicherung von empfindlichen Karteninhaberdaten zu vermeiden und die Compliance mit dem PCI-DSS insgesamt zu fördern. PA-DSS gilt nur für Bezahlanwendungssoftware von Drittparteien, die im Rahmen einer Autorisierung oder Abrechnung Karteninhaberdaten speichert, verarbeitet oder überträgt. Interne Softwareanwendungen sind durch die PCI-DSS-Beurteilung eines Händlers oder Vertreters abgedeckt.
-
Am 1. Januar 2008 hat Visa eine Reihe von Auflagen in Kraft gesetzt, um den Einsatz von verwundbaren Bezahlanwendungen im Visa Bezahlsystem zu beenden. Diese Auflagen verlangen von Händlerbanken die Sicherstellung, dass ihre Händler und Vertreter keine Bezahlanwendungen einsetzen, von denen bekannt ist, dass auf ihnen empfindliche Karteninhaberdaten gespeichert bleiben (d. h. vollständige Magnetstreifen-, CVV2- oder PIN-Daten), und dass Bezahlanwendungen zum Einsatz kommen, die dem PA-DSS entsprechen.
-
Viele Anbieter von Bezahlanwendungen haben ihre Anwendungen bereits PA-DSS-konform gemacht, allerdings gibt es wachsende Bedenken, dass Aktualisierungen der Bezahlsoftware nicht konsequent so entwickelt werden, dass bekannte Verwundbarkeiten nicht erneut entstehen. Außerdem gibt es Bedenken, dass Bezahlsoftware an Kundenstandorten nicht sicher eingerichtet wird.
Schutzverletzungen bei Händlern und Vertretern legen offen, dass einige Bezahlanwendungsunternehmen schlechte Softwarepraktiken einsetzen, wenn diese Bezahlanwendungen und -systeme einrichten, und dass sie bei der Unterstützung von Kunden schwache, gemeinsam genutzte oder die vom System vorgegebenen Zugangsdaten benutzen und bei der Verwaltung von Kunden-Websites schlecht eingerichtete Management-Tools verwenden. Straftäter können diese verwundbaren Einträge nutzen, um sich Zugang zu Karteninhaberumgebungen zu verschaffen.
Visa hat eine Reihe von bewährten Verfahren entwickelt, um Bezahlanwendungsunternehmen zu helfen, kritische Softwareprozesse anzugehen. Im Rahmen ihrer Due-Diligence-Prüfungen haben Händlerbanken, Händler und Vertreter sicherzustellen, dass die von ihnen jeweils beschäftigten Bezahlanwendungsunternehmen sich der Strenge ausgereifter Softwareprozesse unterworfen haben.
Die 10 bewährten Verfahren von Visa für Bezahlanwendungsunternehmen
-
Visa ist bekannt, dass bestimmte Bezahlanwendungen von Softwarelieferanten so ausgelegt sind, dass auf ihnen nach der Genehmigung einer Transaktion empfindliche Karteninhaberdaten (d. h. vollständige Magnetstreifen-, CVV2- oder PIN-Daten) gespeichert bleiben. Die Speicherung dieser Karteninhaberdaten-Elemente ist ein direkter Verstoß gegen die PCI-DSS-Regeln und die Visa Regeln. Straftäter zielen auf Händler und Vertreter ab, die diese verwundbaren Bezahlanwendungen einsetzen und nutzen diese Sicherheitslücken aus, um Karteninhaberdaten zu finden und zu entwenden.
Visa stellt wichtigen Stakeholdern, darunter Händlerbanken, zum Schutz vor Kompromittierungen nach Bedarf eine aktualisierte Liste verwundbarer Bezahlanwendungen zur Verfügung. Wenn Ihnen eine verwundbare Bezahlanwendung auffällt und Sie Genaueres über den Lieferanten der Bezahlanwendung, die Anwendungsversion, den Speicherort empfindlicher Karteninhaberdaten beziehungsweise über den Lieferanten selbst wissen, benachrichtigen Sie bitte Visa per E-Mail unter [email protected]. Alle Angaben werden vom Softwarelieferanten geprüft. Visa legt gegenüber keinem Softwarelieferanten die Quelle der Angaben offen oder teilt Angaben mit, die die Quelle kenntlich machen könnten.
-
Visa hat 2005 bewährte Verfahren zu Bezahlanwendungen (Payment Application Best Practices, PABP) entwickelt, um Softwarelieferanten Richtlinien für die Entwicklung von Bezahlanwendungen zu geben. Diese Richtlinien helfen bei der Eindämmung von Kompromittierungen, der Verhinderung des Speicherns von empfindlichen Karteninhaberdaten (d. h. vollständige Magnetstreifen-, CVV2- oder PIN-Daten) und fördern insgesamt die Compliance mit dem PCI DSS. Der PCI Security Standards Council hat 2008 die PABP von Visa angenommen und den Standard als PA-DSS veröffentlicht. Im Rahmen des Compliance-Programms von Visa ist der PA-DSS mittlerweile an die Stelle der PABP getreten.