Kategorien
blog pci

8 Tipps für Händler: Schutz der Kartendaten

Der Schutz der Kartendaten von Kunden ist eines der obersten Gebote im kartenbezogenen Zahlungsverkehr. Dies zu berücksichtigen ist für viele kleine Geschäfte nunmehr Realität geworden – da Covid-19 sie dazu bewegt (gezwungen) hat, die bisher akzeptierten Zahlungsmethoden zu überdenken.

Bis Anfang des Jahres war bei kleineren Geschäften mit Publikumsverkehr oftmals Bargeld das Hauptzahlungsmittel. Um die mehrwöchige Ladenschließzeit und die danach folgenden Einschränkungen zu überstehen, erfolgte bei zahlreichen Händlern eine kurzfristige Umstellung hin zu bzw. Ergänzung um Online- und Telefonbestellungen.

Um die Eindämmung von Covid-19 zu unterstützen, setzen Kunden zudem verstärkt auf kontaktloses Bezahlen. Das Limit, ab dem eine manuelle Autorisierung erforderlich wird, wurde von den kartenausgebenden Instituten kurzfristig auf bis zu EUR 50,00 angehoben.

Dieser Artikel ist für kleine(re) und mittlere Händler bzw. Unternehmen geschrieben.

Schutz der Kartendaten – was nun, was tun?

Mit dem vermehrten und ggf. für Sie als Händler neu hinzugekommenen Einsatz von Karten als Zahlungsmittel (girocard, Debitkarten, Kreditkarten) sind Sie mehr denn je verpflichtet, für den Schutz der Kartendaten zu sorgen. Ihre Kernkompetenz liegt im Verkauf Ihrer Produkte, und sicherlich taucht diese Frage immer wieder auf:

Was kann ich als Händler tun, um die Kartendaten meiner Kunden zu schützen?

QIR Qualified Integrator and Reseller Logo

Das Payment Card Industry Security Standards Council (PCI SSC) hat kürzlich acht Tipps für Händler herausgegeben, um den Schutz der Kartendaten zu verbessern bzw. zu gewährleisten. Ich habe diese Tipps übersetzt und versucht, sie so einfach wie möglich zu erklären.

Als zertifizierter Qualified Integrator and Reseller des PCI SSC kann ich Ihnen bei Fragen hierzu gerne behilflich sein. Am Einfachsten und Schnellsten erreichen Sie mich auf diesen Kanälen.

Nun aber zu den Tipps zum Schutz der Kartendaten.

Tipp 1: Keine Kartendaten außerhalb der gesicherten technischen Umgebung

Der beste Schutz gegen Datenklau und Missbrauch der Kundendaten ist, keine Daten bei sich in irgendeiner Art und Weise zu hinterlegen. Schreiben Sie Kartendaten nicht auf Zettel, in E-Mails, Textverarbeitungsprogramme, Tabellen, in Ihrem Bestellsystem, an die Wand, usw.

Anders formuliert bedeutet das: Kartendaten befinden sich nur in Ihrem offiziellen und gesicherten Terminal bzw. Anbindung an Ihren Zahlungsverkehrsanbieter. Nur da, sonst nirgends. Immer.

Tipp 2: Benutzen Sie gute und starke Passwörter

Dies ist eine der einfachsten Schutzmaßnahmen, die Sie ergreifen können. „start“ oder „admin“ sind keine guten Passwörter, genauso wenig wie „0000“ oder „1234“. Schwache Passwörter sind eines der Haupteinfallstore beim Datenmissbrauch.

Beachten Sie bitte die folgenden Punkte, und Sie werden die Sicherheit beim Schutz Ihrer Kunden- und Kartendaten deutlich erhöhen.

  • aktualisieren Sie Ihre Passwörter regelmäßig (alle 30-60 Tage)
  • benutzen Sie nicht das gleiche Passwort für alle Anwendungen/Systeme
  • ändern Sie umgehend sogenannte Default-Passwörter nach Systeminstallationen
  • Passwörter sollten idealerweise
    • nicht im Duden zu finden sein und enthalten
    • Großbuchstaben
    • Kleinbuchstaben
    • Ziffern
    • Sonderzeichen.

Tipp 3: Halten Sie Ihre Software auf dem neuesten Stand

Software-Updates sind nervig: sie kosten Zeit, funktionieren manchmal nicht (und kosten noch mehr Zeit), und bringen keinen zusätzlichen Umsatz.

Soweit korrekt, aber… Updates schließen neben allgemeinen Fehlern oftmals auch bekanntgewordene Sicherheitslücken. Software-Updates über einen längeren Zeitraum nicht durchzuführen, vor allem bei Systemen, die kritische Daten Ihrer Kunden beherbergen, ist grundsätzlich keine gute Idee.

Installieren Sie (bzw. lassen Sie installieren) immer die neuesten Updates, um softwaretechnisch auf dem aktuellen Stand zu sein. Hierdurch erschweren Sie es Kriminellen, sich Zugang zu Ihren und letztendlich den Daten Ihrer Kunden zu verschaffen.

Sogenannte Vulnerability Scans (Verwundbarkeits-Scans) helfen beim Identifizieren von Schwachstellen und Sicherheitsproblemen in Ihren Systemen. Sie können dies von einem PCI-zertifizierten PCI Approved Scanning Vendor (ASV) durchführen lassen.

Tipp 4: Benutzen Sie eine starke Verschlüsselung

Verschlüsselte Daten, auch Zahlungs- bzw. Kartendaten, können nur gelesen werden, wenn ein entsprechender Schlüssel zum Entschlüsseln vorhanden ist. Hiermit sichern Sie Ihre Daten ab, vor allem wenn Sie sie regelmäßig elektronisch „irgendwohin“ übertragen.

Was können Sie hier für den Schutz der Kartendaten tun?

Fragen Sie bei Ihrem Zahlungsverkehrsdienstleister (über den Sie Ihre Kartenzahlungen abwickeln) nach, ob die Verschlüsselung Ihres Terminals bzw. Ihrer Anwendungen über sogenannte Point-to-Point Encryption (P2PE) gesichert ist. Ebenso sollten Sie fragen, ob dies auf der Liste der vom PCI SSC genehmigten Systeme/Lösungen steht.

Sollten Sie eine Website betreiben oder gerade aufsetzen, so stellen Sie bitte sicher, dass der Checkout (Einkaufswagen) mit einer sicheren Verschlüsselung versehen ist. D.h. aktuell mindestens TLS Version 1.2.

Tipp 5: Benutzen Sie nur gesicherten Remote-Zugriff

Selbst als Einzelhändler kann es sein, dass externe Zugriffe auf Ihr System, Ihre Daten erforderlich sind. Sobald Sie Zugriffe von außerhalb Ihres lokalen Netzwerkes auf Ihre Daten erlauben,

  • schränken Sie dies so weit wie möglich ein
  • deaktivieren Sie den Remotezugriff, wenn er nicht benötigt wird
  • ändern Sie regelmäßig die Passwörter für den Remotezugriff
  • vergeben Sie nicht das gleiche Passwort an unterschiedliche Nutzer
  • und aktivieren Sie die sogenannte Multi-Factor Authentication, d.h. die Authentifizierung mit mehr als nur dem Passwort (z.B. zusätzlich mit einem variablen Sicherheitscode).

Tipp 6: Stellen Sie sicher, dass Ihre Firewall korrekt konfiguriert und auf dem neuesten Stand ist

Die Firewall ist Ihr Schutzwall zwischen Ihrem Netzwerk, Ihren Daten, und dem Internet. Es ist eine Barriere, die ungewünschten Datenverkehr und vor allem ungewünschte Zugriffe auf Ihre Daten abwehrt.

Das Aufsetzen einer Firewall in einer Art und Weise, die sie nahezu undurchdringbar macht, sollten Sie aufgrund der Komplexität einem Netzwerkspezialisten überlassen.
Aber: Selbst eine einfach aufgesetzte Firewall mit wenigen Konfigurationseinstellungen ist besser als keine.

Tipp 7: Erst nachdenken, dann klicken

Es gibt zahlreiche Methoden und Vorgehensweisen, um mit Hilfe von „normal“ aussehenden E-Mails oder Social Media-Nachrichten das sogenannte Phishing zu starten.

Ziel solcher Aktionen sind die nicht öffentlich zugänglichen Daten, bevorzugt natürlich Zahlungsverkehrsdaten. Dazu gehören Kartendaten Ihrer Kunden, aber auch Ihre Zugänge bei Zahlungsverkehrsanbietern, Ihrer Bank oder generell Benutzerkennungen und Passwörter jeglicher Art.

Bevor Sie auf Links in E-Mails oder anderen Nachrichten klicken, überlegen Sie bitte kurz:

  • kenne ich den Absender
  • kenne ich den Betreff
  • hat das was mit mir bzw. meinem Unternehmen zu tun
  • ist der Text der Nachricht in Bezug auf den Inhalt/Absender schlecht oder unpassend formuliert
  • zeigt der Link, der geklickt werden soll, auf eine seltsam anmutende URL.

Tipp 8: Wählen Sie vertrauenswürdige Partner

Es gibt zahlreiche Zahlungsverkehrsanbieter auf dem Markt, und die meisten sind (hoffentlich) ehrliche Geschäftsleute. Doch woher wollen und sollen Sie das wissen?

Fragen Sie Ihren Zahlungsverkehrsanbieter (Payment Service Provider, PSP):

Sind Sie PCI DSS zertifiziert bzw. arbeiten Sie PCI DSS konform?

Der Payment Card Industry Data Security Standard (PCI DSS) ist ein Sicherheitsstandard, den Unternehmen einhalten müssen, die Kreditkartendaten be- und verarbeiten. Die Zertifizierung muss, je nach zutreffenden Kriterien, vierteljährlich oder jährlich erneuert werden.

Zusammenfassung: Acht Tipps zum Schutz der Kartendaten

Nach all den Zeilen fasse ich die acht Tipps zum Schutz der Kartendaten Ihrer Kunden noch einmal zusammen.

  1. Keine Kartendaten außerhalb der gesicherten technischen Umgebung
  2. Benutzen Sie gute und starke Passwörter
  3. Halten Sie Ihre Software auf dem neuesten Stand
  4. Benutzen Sie eine starke Verschlüsselung
  5. Benutzen Sie nur gesicherten Remote-Zugriff
  6. Stellen Sie sicher, dass Ihre Firewall korrekt konfiguriert und auf dem neuesten Stand ist
  7. Erst nachdenken, dann klicken
  8. Wählen Sie einen vertrauenswürden Partner

Dieses Thema, die acht Tipps und Datensicherheit an sich mag alles nach sehr viel Aufwand und damit verbundenen Kosten klingen. Dem will ich auch gar nicht widersprechen.

Vergleichen Sie dies jedoch mit dem Aufwand und den Kosten, die auf Sie zukommen (könnten), wenn Kunden- und/oder Kartendaten aus Ihrem Bestand kompromittiert wurden, dann relativiert sich dies alles.

Die Welt des Zahlungsverkehrs und der Datensicherheit

…ist nicht immer spannend und aufregend. Leider ist es heutzutage jedoch erforderlich, dass Sie sich, wenn Sie Kartenzahlungen akzeptieren, damit auseinandersetzen.

Sie haben Fragen zur Welt der Banken, des Zahlungsverkehrs, Kartenzahlungen und Datensicherheit?

Sprechen Sie mich gerne an.

Denn nichts zu tun ist keine Lösung.

Das Thema PCI…

…ist auch im Newsletter vertreten. Der Newsletter erscheint unregelmäßig, eher selten, und anmelden können Sie sich hier:

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.