PA DSS vs. PCI DSS: Die wichtigsten Unterschiede verstehen
In der heutigen Welt, in der immer mehr Menschen online einkaufen, ist es für jedes Unternehmen von höchster Priorität, sicherzustellen, dass jede Transaktion (und die verwendete Zahlungsanwendung) sicher ist und die Anforderungen des PCI Security Standards Council erfüllt.
Der Payment Card Industry Data Security Standard (PCI DSS) und der Payment Application Data Security Standard (PA DSS) helfen Unternehmen dabei, genau das zu tun – PCI DSS, um die Handhabung von Karteninhaberdaten zu sichern, und PA DSS, um sicherzustellen, dass Zahlungsanwendungen gemäß den speziellen PCI-Sicherheitsstandards entwickelt und implementiert werden.
Wenn es darum geht, die Unterschiede zwischen PA DSS und PCI DSS zu verstehen, ist Folgendes zu beachten:
- PCI DSS gilt für alle Unternehmen, die Karteninhaberdaten speichern, übertragen und verarbeiten oder die die Sicherheit von Karteninhaberdaten beeinflussen können.
- PA DSS gilt nur für Softwareanbieter und diejenigen, die Zahlungsanwendungen entwickeln.
Klingt einfach genug, oder?
Wie bei den meisten PCI-bezogenen Themen erfordert das vollständige Verständnis der Unterschiede zwischen PA DSS und PCI DSS etwas mehr Nuancen, die wir im Folgenden erklären werden.
Was ist PCI DSS?
PCI DSS stellt sicher, dass Unternehmen, die Karteninhaberdaten speichern, verarbeiten oder übertragen oder die die Sicherheit von Karteninhaberdaten beeinflussen können, spezifischen PCI DSS-Anforderungen folgen, um Karteninhaberdaten zu schützen.
Der Standard wird vom Payment Card Industry Security Standards Council (PCI SSC) verwaltet und besteht aus 12 Anforderungen, um PCI-konform zu werden.
Auf wen trifft PCI DSS zu?
PCI DSS gilt für zwei Arten von Unternehmen: Händler und Dienstleister.
Händler sind Unternehmen, die Zahlungen für Waren oder Dienstleistungen von einer der 5 PCI SSC Kartenmarken akzeptieren. Dienstleister sind Unternehmen, die entweder direkten Zugriff auf eine Karteninhaberdatenumgebung haben oder die Sicherheit der Karteninhaberdatenumgebung einer Organisation beeinflussen können.
Unter PCI DSS können Unternehmen ihr PCI DSS-Risikoniveau besser verstehen, indem sie die Kategorien überprüfen, die auf der Anzahl der Transaktionen basieren, die sie in einem bestimmten Jahr verarbeiten.
Es gibt vier PCI-Konformitätsstufen für Händler, wobei Stufe 1 die strengsten Berichtsanforderungen und eine vollständige Bewertung durch ein QSA-Unternehmen erfordert. Dienstleister haben zwei Konformitätsstufen, die dem gleichen Format wie bei Händlern folgen, wobei Stufe 1 eine externe Prüfung durch ein QSA-Unternehmen erfordert.
Der ultimative Leitfaden zu PCI DSS
Erfahren Sie alles, was Sie über die Anforderungen, den Prozess und die Kosten der PCI-Zertifizierung wissen müssen.
Was ist PA DSS?
PA DSS ist der Standard für Softwareanbieter, um sicherzustellen, dass Zahlungsanwendungen getestet, bewertet und validiert werden. Das Ziel von PA DSS ist es, von Softwareanbietern, die Zahlungsanwendungen entwickeln, zu verlangen, dass sie die PCI-Sicherheitsstandards erfüllen und Kartendaten bestmöglich schützen.
Wenn Zahlungsanwendungen PA DSS-konform sind und in einer PCI DSS-konformen Umgebung implementiert werden, können sie dazu beitragen, das Potenzial für eine Datenpanne, die Kartendaten gefährden könnte, zu minimieren. Elemente wie sensible Authentifizierungsdaten dürfen nach der Autorisierung niemals in der Zahlungsanwendung gespeichert werden, einschließlich:
- Primäre Kontonummer (PAN)
- Vollständige Spurdaten
- Kartenprüfcodes und -werte
- PINs und PIN-Blöcke
Damit eine Zahlungsanwendung als PA DSS-konform gilt, muss sie von einem zertifizierten Payment Application Qualified Security Assessor (PA-QSA) bewertet werden.
Wenn die Anwendung konform ist, wird der PA-QSA einen Validierungsbericht (ROV) vorlegen, der ihre Ergebnisse und eine Validierungsbescheinigung (AOV) detailliert beschreibt. Ein ROV beschreibt den Umfang der Bewertung und jede Anforderung einschließlich der Details der Prüftests. Die AOV würde angeben, ob die Zahlungsanwendung als PA DSS-konform validiert wurde, was beweist, dass der Softwareanbieter die PA DSS Anforderungen erfüllt, um Kartendaten sicher über seine Zahlungsanwendung zu verwalten.
Für wen gilt PA DSS?
PA DSS gilt für Softwareanbieter und Unternehmen, die Zahlungsanwendungen entwickeln, die Kartendaten speichern, verarbeiten oder übertragen.
Der Standard ist erforderlich, wenn Zahlungsanwendungen an Dritte verkauft, vertrieben und/oder lizenziert werden. Diese Zahlungsanwendungen werden häufig „von der Stange“ installiert und erfordern keine große Anpassung durch die Softwareanbieter selbst.
Mit anderen Worten, wenn Sie eine Zahlungsanwendung für den Einsatz in Ihrem eigenen Unternehmen entwickeln, würde diese Anwendung unter PCI DSS fallen.
PA DSS vs. PCI DSS: Die Hauptunterschiede
Bevor wir auf die Unterschiede zwischen PA DSS und PCI DSS eingehen, ist es wichtig zu verstehen, wie die beiden Standards sich überschneiden.
PA DSS ist ein Zweig der PCI-Sicherheitsstandards. Ein Unternehmen, das eine PA DSS-konforme Zahlungsanwendung verwendet, ist nicht als Ganzes PCI DSS-konform und muss dennoch die 12 PCI DSS Anforderungen erfüllen.
Alle Unternehmen, die Kartendaten speichern, übertragen oder verarbeiten, gelten als im Rahmen von PCI DSS — einschließlich Unternehmen, die eine PA DSS-konforme Zahlungsanwendung verwenden. PA DSS verlangt, dass Softwareanbieter eine Implementierungsanleitung entwickeln, die Unternehmen befolgen müssen, wenn sie die Zahlungsanwendung implementieren.
Im Folgenden brechen wir die Hauptunterschiede zwischen den beiden Standards auf.
| PA DSS | PCI DSS | |
|---|---|---|
| Definition | Global security standard created to ensure payment applications meet standards for secure handling of cardholder data and businesses implement payment applications securely | Compliance standard created to ensure cardholder data is secured when it’s stored, processed, and transmitted |
| Main goal | Provide cardholder data security requirements that software vendors need to adhere to when developing payment applications | Require business that store, process, transmit, or impact the security of cardholder data to adhere to specific security controls regarding protection of cardholder data |
| Who it applies to | Third-party software vendors and businesses that develop payment applications which store, process, or transmit cardholder data and are sold to third parties | Organizations that store, process, or transmit cardholder data or could impact the security of card transactions |
| Governed by | Payment Card Industry Security Standards Council (PCI SSC) | Payment Card Industry Security Standards Council (PCI SSC) |
| Validation process | Payment application must be audited and certified by a Payment Application Qualified Security Assessor (PA-QSA) | Businesses that must adhere to level 1 compliance will need an external audit performed by a PCI DSS QSA. Other businesses that do not require an external audit can validate with a self assessment questionnare |
Was sind die PA DSS Anforderungen?
Es gibt 14 PA DSS Anforderungen, die Softwareentwickler erfüllen müssen, um konforme Zahlungsanwendungen zu erstellen.
- Speichern Sie keine vollständigen Spurendaten, Kartenverifizierungscodes oder -werte (CAV2, CID, CVC2, CVV2) oder PIN-Block-Daten
- Schützen Sie gespeicherte Karteninhaberdaten
- Stellen Sie sichere Authentifizierungsfunktionen bereit
- Protokollieren Sie die Zahlungsanwendungsaktivität
- Entwickeln Sie sichere Zahlungsanwendungen
- Schützen Sie drahtlose Übertragungen
- Testen Sie Zahlungsanwendungen, um Schwachstellen zu beheben, und pflegen Sie Zahlungsanwendungsupdates
- Ermöglichen Sie eine sichere Netzimplementierung
- Speichern Sie niemals Karteninhaberdaten auf einem mit dem Internet verbundenen Server
- Ermöglichen Sie sicheren Fernzugriff auf die Zahlungsanwendung
- Verschlüsseln Sie sensible Datenübertragungen über öffentliche Netzwerke
- Verschlüsseln Sie alle nicht-konsolenbasierten Verwaltungszugriffe
- Erstellen Sie einen PA DSS Implementierungsleitfaden für Kunden, Wiederverkäufer und Integratoren
- Weisen Sie PA DSS Verantwortlichkeiten für das Personal zu und pflegen Sie Schulungsprogramme für Personal, Kunden, Wiederverkäufer und Integratoren
Was sind die PCI DSS Anforderungen?
Es gibt 12 PCI Konformitätsanforderungen, die Unternehmen erfüllen müssen, um PCI DSS konform zu sein.
- Installieren und pflegen Sie eine Firewall-Konfiguration, um Karteninhaberdaten zu schützen
- Verwenden Sie keine vom Anbieter bereitgestellten Standardwerte für Systemkennwörter und andere Sicherheitsparameter
- Schützen Sie gespeicherte Karteninhaberdaten
- Verschlüsseln Sie die Übertragung von Karteninhaberdaten über offene, öffentliche Netzwerke
- Verwenden und aktualisieren Sie regelmäßig Anti-Virus-Software oder -Programme
- Entwickeln und pflegen Sie sichere Systeme und Anwendungen
- Beschränken Sie den Zugriff auf Karteninhaberdaten nach dem Prinzip des "Need-to-Know"
- Weisen Sie jeder Person mit Computerzugang eine eindeutige ID zu
- Beschränken Sie den physischen Zugriff auf Karteninhaberdaten
- Verfolgen und überwachen Sie alle Zugriffe auf Netzwerkressourcen und Karteninhaberdaten
- Testen Sie regelmäßig Sicherheitssysteme und -prozesse
- Pflegen Sie eine Richtlinie, die die Informationssicherheit für alle Mitarbeiter abdeckt
Empfohlene Lektüre
PCI Konformitäts-Checkliste: So erreichen Sie Konformität im Jahr 2022
Die Zukunft der PA DSS und PCI DSS Konformität
Es stehen große Veränderungen in Bezug auf die PA-DSS- und PCI-DSS-Konformität bevor.
Die Geschichte des PCI hat eine Vielzahl von Aktualisierungen erfahren, um mit der sich verändernden Landschaft der Zahlungsverkehrsindustrie Schritt zu halten und neuen sowie aufkommenden Sicherheitsbedrohungen zu begegnen.
Wir gehen unten auf die kommenden Änderungen beider Standards ein.
Bevorstehende Änderungen an PCI DSS
Die aktuelle Version von PCI DSS (v3.2.1) wird am 31. März 2024 auslaufen und durch PCI DSS v4.0 ersetzt. Händler und Dienstleister müssen bis zum 31. März 2025 die Anforderungen der Version 4.0 erfüllen.
Dieser Übergangszeitraum ermöglicht es Unternehmen, sich mit der neuen Version vertraut zu machen und die notwendigen Anpassungen vorzunehmen.
Bevorstehende Änderungen an PA DSS
Die aktuelle Version der PA DSS (v3.2) wird im Oktober 2022 durch das PCI Software Security Framework (SSF) abgelöst.
Anträge für neue Zahlungsanwendungen, die nach PA DSS validiert werden sollen, wurden am 30. Juni 2021 geschlossen. Zukünftig können neue Zahlungsanwendungen von einem SSF-zertifizierten Unternehmen validiert werden, das auf der PCI SSC Website gelistet ist.
Wie Secureframe helfen kann, die PCI-Konformität zu optimieren
Wenn Sie Schwierigkeiten haben zu bestimmen, welchem Standard Sie entsprechen müssen oder wie Sie mit Ihrem Konformitätsprozess beginnen sollen, sind wir hier, um zu helfen.
Unser Team von PCI DSS-Experten kann Ihnen in jeder Phase der PCI-Konformität Ihres Unternehmens helfen.
Fordern Sie eine Demo an, um herauszufinden, wie Secureframe die Konformität für Ihr Team heute einfacher machen kann.