IT und Compliance
PCI-Compliance

In der neueren Rechtssprechung verstärken sich zunehmend die Tendenzen, das Risiko des Missbrauchs von „Sicherungsmedien" bei E-Payment Angeboten auf den Anbieter abzuwälzen, wenn der Endkunde ein zumindest "durchschnittliches Sorgfaltsniveau" beim Umgang bereits schlüssig darlegen kann. Schon vor diesem haftungsrechtlichen Hintergrund empfiehlt es sich, zur Erhöhung der Sicherheit bei der Kreditkartendatenverarbeitung objektiven Sicherheitsstandards zu entsprechen.

Bereits seit 2004 gilt nun weltweit ein einheitlicher Sicherheitsstandard für Kredit- und EC-Kartenzahlungen. Dieser sogenannte Payment Card Industry Data Security Standard (PCI DSS) war das Ergebnis der seinerzeitigen Verhandlungen führender internationaler Kreditkarteninstitute wie Visa, Mastercard, American Express und JCB, die letztlich auf den schlechten Erfahrungen in der Praxis und den hiernach bewährten Verfahren beruhte, technische Systeme und Geschäftsprozesse anwendungssicherer zu gestalten. Hiernach sind grundsätzlich alle Unternehmen, die nicht nur mit einfachen Kundendaten, sondern auch mit deren Kredit- und Bankkartendaten arbeiten, zur PCI-Compliance, d.h. zur Umsetzung und Einhaltung der PCI-Standards gleichsam als Mindeststandard zwingend angehalten. Defizite werden von den Aufsichtsbehörden mit empfindlichen Geldstrafen sanktioniert, noch empfindlicher dürfte freilich der drohende Verlust der Zulassung für den kartenbasierten Zahlungsverkehr sein.

Die Anforderungen des PCI DSS sind freilich mit seinen 12 „Requirements" zur Absicherung der Transaktionen ein recht umfangreicher Maßnahmen-Katalog, dessen Umsetzung die Geschäftsprozessabläufe eines Unternehmens  in ganz erheblichem Maße beeinträchtigen kann. Die Sicherheitsvorgaben sind aber nicht nur „Bremsklotz", sondern bieten richtig verstanden gerade heute in besonderem Maße auch eine Möglichkeit, den Kunden vom sicheren Umgang mit sensiblen Daten zu überzeugen.

Die jeweiligen Überprüfungsstandards dieser Vorgaben hängen an dem E-Com-Händler und seiner „Gefahrgeneigtheit": so führen mehr als 6 Mio. Kreditkartentransaktionen pro Jahr z. B. bei einem bereits in der Vergangenheit attackierten Unternehmen zur vierteljährlichen Prüfung des Rechnernetzes mittels eines externen Sicherheitsscans durch einen von Mastercard zugelassenen Scanvendor (ASV) und einem jährlichen Audit vor Ort durch ein unabhängiges, von VISA zugelassenes Unternehmen (QSA) oder eines eigens dazu ernannten Sicherheitsbeauftragten. E-Com-Händler, die weniger als 1 Mio. Kreditkartentransaktionen pro Jahr abwickeln unterliegen seit dem 1. Oktober 2009 der Pflicht, einen PCI DSS-zertifizierten Service Provider mit der Abwicklung der kompletten Kreditkartentransaktionen zu beauftragen oder ihrem Acquirer die eigene PCI DSS-Zertifzierung durch Ausfüllen des PCI Self-Assessment Questionnaire (SAQ) und ggf. Durchführung eines vierteljährlichen Sicherheitsscan durch einen vom PCI Security Standards Council zugelassenen Approved Scanning Vendor (ASV) nachzuweisen.

Wer darüber hinaus Sicherheitsanforderungen als integralen Bestandteil aller Geschäftsprozesse effizient umsetzt, wird kurzfristig auch von einem besseren Reporting (EURO SOX) und Rating (Basel III) profitieren. Die Übertragung von PCI Standards von Prozessen mit bloßen Kreditkartendaten auf möglichst alle unternehmensinternen datenverarbeitenden Geschäftsprozesse im Wege einer einheitlichen Policy bietet den Vorteil einer Homogenisierung des IT-Schutzes, welche für sich einen Compliance-Mehrwert hat, da Schwächen bei der Vernetzung unterschiedlicher Schutzniveaus vermieden werden können.

In einem ganzheitlichen Sicherheitsansatz kann der Umfang von PCI-auditierten Systemen und damit der wirtschaftliche Aufwand für Compliance deutlich vermindert werden; dies kann insbesondere durch die Segmentierung von Servern und Netzwerken erfolgen, indem zum Beispiel physikalische Sicherheitssysteme sowie Router mit Access Control Listen (ACL) und Firewalls auf die PCI DSS-Compliance ausgelegt werden. Lasten durch die Speicherung von unwesentlichen Daten sollen dabei vermieden und Datenverarbeitungsprozesse auf Frameworks implementiert werden, die auf akzeptierten Kontroll- und Risk-Management-Standards wie COSO, CobiT, ISO 27001 basieren.

Wir helfen Ihnen, in diesem Sinne alle notwenigen Ressourcen zur PCI-DSS-Compliance einzusetzen und nachzuweisen.

Alle rechtlichen Inhalte auf dieser Seite wurden mitgeteilt von
Rechtsanwalt Henrik Angster