Unternehmen, die Kartenzahlungen akzeptieren, müssen den Payment Card Industry Data Security Standard (PCI DSS) einhalten. Die Nichteinhaltung kann zu kostspieligen Sicherheitsverletzungen und Geldstrafen führen.

Zum Beispiel hat Wawa kürzlich zugestimmt, eine Vergleichssumme von 8 Millionen Dollar zu zahlen, um die Untersuchung eines Datenverstoßes vom Dezember 2019 zu beenden, bei dem etwa 34 Millionen Zahlungskarten, die in allen Wawa-Filialen verwendet wurden, kompromittiert wurden. Die Untersuchung deckte mehrere Verstöße gegen PCI DSS auf.

Wenn Ihr Unternehmen Kartenzahlungen akzeptiert, müssen Sie nachweisen, dass Sie PCI-konform sind, um Verstöße zu vermeiden und die Daten Ihrer Kunden zu schützen. Hier kommt eine PCI DSS-Bescheinigung über die Einhaltung (AoC) ins Spiel.

In diesem Leitfaden erklären wir Ihnen alles, was Sie über eine PCI AoC wissen müssen und wie Sie eine solche erhalten, um Ihre PCI DSS-Konformität nachzuweisen.

Was ist eine PCI AoC?

Eine PCI-Bescheinigung über die Einhaltung (AoC) ist eine Erklärung der Konformität eines Unternehmens mit PCI DSS. Sie dient als dokumentierter Nachweis, dass die Sicherheitspraktiken des Unternehmens effektiv gegen Bedrohungen der Kartendaten schützen.

Dieses Dokument muss von einem qualifizierten Sicherheitsgutachter (QSA) oder dem Händler des Unternehmens ausgefüllt werden. Ein QSA ist eine vom PCI Security Standards Council (PCI SSC) zertifizierte Einrichtung — das Gremium, das PCI DSS etabliert hat — um PCI DSS-Audits durchzuführen und zu bestimmen, ob Unternehmen PCI-konform sind.

QSAs können auch den Compliance-Prozess Ihres Unternehmens erleichtern, was wir später ausführlicher beschreiben werden.

PCI RoC vs. AoC

Ein PCI Bericht über die Einhaltung (RoC), ähnlich wie ein AoC, ist ein Dokument, das von einem QSA an eine Organisation ausgestellt wird, die den PCI DSS einhalten muss. Es beschreibt die Sicherheitslage, Systeme und die Effektivität der Organisation bei der Sicherung von Kartendaten, um nachzuweisen, dass die Organisation PCI-konform ist.

RoCs unterscheiden sich von AoCs in der Umfassendheit der Bewertung durch den QSA. Für RoCs muss ein QSA ein Audit durchführen, bei dem die Prozessdokumentation der Organisation überprüft und deren Kontrollen getestet werden.

Um ein AoC zu erhalten, müssen die meisten Organisationen hingegen nur eine Selbsteinschätzung ihrer Konformität abschließen, die als Selbstbewertungsfragebogen (SAQ) bekannt ist. Dieser wird dann von einem QSA überprüft, um den Konformitätsstatus der Organisation mit PCI zu bestimmen.

Größere Organisationen, die bereits von einem QSA für ein RoC geprüft werden, müssen möglicherweise keinen SAQ ausfüllen, um auch ihr AoC zu erhalten. Mit anderen Worten: Das Bestehen der RoC-Bewertung wird oft als ausreichend angesehen, damit eine Organisation auch ein AoC erhält.

Ob ein Unternehmen ein AoC oder RoC (oder beides) benötigt, hängt von der Compliance-Stufe der Organisation ab – Kategorien, die wir im folgenden Abschnitt beschreiben werden.

Wer braucht ein AoC?

Jede Einheit, die Karteninhaberdaten verwaltet, benötigt ein AoC und muss eine Bewertung durch einen QSA durchführen lassen, um die Einhaltung der PCI DSS nachzuweisen und ein entsprechendes Zertifikat zu erhalten.

Es sei jedoch gesagt, dass die Notwendigkeit eines RoC von der Compliance-Stufe der Organisation abhängt. Als allgemeine Regel gilt, dass Organisationen, die mehr Debit- und Kreditkartentransaktionen abwickeln, strengeren QSA-Bewertungskriterien unterliegen.

PCI-Compliance-Stufen für Händler und Dienstleister

Werfen wir einen Blick darauf, wie die Compliance-Stufen für Händler und Dienstleister bestimmt werden und welche PCI-Compliance-Zertifizierungsanforderungen für diese Stufen gelten.

PCI-Compliance-Stufe 1

• Transaktionen: Jährlich über 6 Millionen
• Zertifizierungsanforderungen: Benötigen sowohl ein AoC als auch ein RoC

PCI-Compliance-Stufe 2

• Transaktionen: 1 Million-6 Millionen pro Jahr
• Zertifizierungsanforderungen: Benötigen ein AoC und möglicherweise ein SAQ und RoC

Händler-Stufe 3

• Transaktionen: 20.000-1 Million pro Jahr
• Zertifizierungsanforderungen: Benötigen ein AoC und SAQ

Händler-Stufe 4

• Transaktionen: Weniger als 20.000 pro Jahr
• Zertifizierungsanforderungen: Benötigen ein AoC und häufig ein SAQ

Überprüfen Sie die Transaktionsaufzeichnungen Ihrer Organisation, um festzustellen, in welche Compliance-Stufe sie fällt.

Während die Bewertungs- und Zertifizierungsanforderungen markenübergreifend konsistent bleiben sollten, ist es wichtig zu beachten, dass sich die Stufen je nach Marke leicht unterscheiden.

Visa gibt beispielsweise die oben genannten genauen PCI-Stufen an, aber Mastercard weicht in ihren Spezifikationen für die PCI-Compliance-Stufe 1 leicht ab. Stufe 1 gilt nicht nur für Händler, die jährlich über 6 Millionen Kartentransaktionen abwickeln, sondern auch für Händler, die einen Hack oder Angriff erlitten haben, der zu einem Account Data Compromise (ADC) Ereignis führte. American Express, Discover und JCB International definieren ihre Stufen ebenfalls unterschiedlich.

Erwägen Sie, einige Recherchen zu den von jeder akzeptierten Kartenmarke angegebenen PCI-Stufen durchzuführen, um Ihr Compliance-Risiko zu minimieren.

Wenn Sie sich immer noch nicht sicher sind, welche Dokumente Sie zur Einhaltung der PCI DSS benötigen, wenden Sie sich an einen QSA für Unterstützung.

Wie erhalte ich ein AoC

Um Ihr AoC zu erhalten, gibt es einige Schritte zu beachten, die wir im Folgenden skizzieren.

1. Erreichen der PCI-Konformität.

Der erste (und offensichtlichste) Schritt zur Erlangung Ihres AoC besteht darin, konform mit PCI DSS zu werden.

Dies beinhaltet die Erstellung eines sicheren Netzwerks, in das Karteninhaber ihre Informationen eingeben, die Umsetzung von Maßnahmen zum Schutz dieses Netzwerks, die Anwendung strikter Zugriffskontrollmaßnahmen zum Schutz von Kreditkartendaten und die Aufrechterhaltung einer Sicherheitspolitik, die sich mit der Informationssicherheit befasst, sowie andere PCI DSS-Anforderungen.

2. Bestimmen Sie Ihr Compliance-Niveau und den Bewertungstyp

Sobald Sie sicher sind, dass Ihre Organisation konform ist, können Sie Ihr PCI-Compliance-Niveau bestimmen und sich auf Ihre QSA-Bewertung vorbereiten.

Wenn Ihre Organisation in die Händlerstufen 3 oder 4 (weniger als 1 Million Transaktionen pro Jahr) fällt, müssen Sie ein SAQ ausfüllen, das von einem QSA überprüft wird. Es gibt verschiedene Typen von SAQs, daher sollten Sie recherchieren, welcher für Ihre Organisation am besten geeignet ist.

Wenn Ihre Organisation in die PCI-Compliance-Stufen 1 oder 2 fällt, müssen Sie möglicherweise ein SAQ ausfüllen und/oder von einem QSA auditiert werden.

3. Planen und absolvieren Sie Ihre Bewertung

Die SAQ-Überprüfung kann persönlich oder virtuell durchgeführt werden, je nach Präferenz Ihres QSA. Wenn sie anhand Ihres SAQs feststellen, dass Sie PCI DSS-konform sind, erhalten Sie von ihnen Ihr AoC.

Wenn der Compliance-Level Ihrer Organisation ein QSA-Audit erfordert, wird der QSA Ihre Sicherheitslage, Systeme und die allgemeine Compliance mit PCI bewerten. Wenn sie nach ihrer Bewertung feststellen, dass Ihre Organisation PCI-konform ist, stellen sie Ihnen ein AoC (und höchstwahrscheinlich auch ein RoC) aus.

Muster-Attestation-of-Compliance-Dokument

Sobald Ihre Organisation als PCI-konform gilt, erhalten Sie ein AoC. Sehen Sie sich das Muster-AoC unten an, um die Informationen zu verstehen, die es enthalten sollte.

Sichern Sie sich Ihr PCI-AoC mühelos mit Secureframe

Es ist wichtig, PCI-konform zu werden — aber dies ohne Hilfe zu tun, ist nicht einfach.

Der Standard erfordert von Organisationen die Einführung von über 300 strengen Sicherheitskontrollen und einem Dutzend Sicherheitsanforderungen. Dies kann erhebliche Zeit und Energie in Anspruch nehmen und den Prozess der Bewertung durch einen QSA und den Erhalt Ihres AoC verzögern.

Doch mit Secureframe muss das Erreichen der PCI-Compliance nicht stressig sein. Unsere Compliance-Automatisierungsplattform spart Hunderte von Stunden im Compliance-Prozess und hilft Ihrer Organisation, alle notwendigen Betriebskontrollen zu erfüllen und Sicherheitsbest Practices umzusetzen.

Erfahren Sie mehr darüber, wie Sie unsere Plattform nutzen können, um PCI-konform zu werden und zu bleiben — fordern Sie noch heute eine Demo an.