Der Payment Application Data Security Standard (PA-DSS) spielt eine wesentliche Rolle bei der Zahlungssicherheit. Um den sicheren Umgang mit Karteninhaberdaten bei Transaktionen zu gewährleisten, legt PA-DSS Standards für Software-Anbieter und andere am Zahlungsprozess Beteiligte fest. Das Verständnis dessen, was PA-DSS ist und welche Anforderungen es für die Einhaltung stellt, ist für das Compliance-Management von Unternehmen unerlässlich.
PA-DSS-Definition
Der Payment Application Data Security Standard (PA-DSS) ist eine Reihe globaler Sicherheitsstandards, die Software-Anbietern bei der Entwicklung sicherer Zahlungsanwendungen helfen sollen. Diese Anwendungen speichern keine verbotenen Daten, wie z. B. vollständige Magnetstreifen-, CVV2- oder PIN-Daten, und stellen sicher, dass ihre Software den Payment Card Industry Data Security Standards (PCI-DSS) entspricht.
Was ist PCI-DSS?
Der Payment Card Industry Data Security Standard (PCI-DSS) ist von entscheidender Bedeutung, da er den Maßstab für den Schutz von Karteninhaberdaten auf der ganzen Welt setzt. PCI-Konformität trägt dazu bei, Datenschutzverletzungen zu verhindern und das Betrugsrisiko zu verringern, wodurch das Vertrauen der Kunden gestärkt und der Ruf der Unternehmen geschützt wird.
Was ist der Unterschied zwischen PCI-DSS und PA-DSS?
Der PC DSS gilt für alle Unternehmen, die Karteninhaberdaten speichern, übermitteln und verarbeiten. Diese Norm deckt das gesamte Ökosystem der Karteninhaberdaten ab und befasst sich mit der Sicherheit von Zahlungsanwendungen, geht aber nicht näher auf die Anwendungen selbst ein.
PA-DSS hingegen gilt nur für Anbieter, die Zahlungsanwendungen für Dritte entwickeln. PA-DSS ist ein vom PCI Security Standards Council (PCI SSC) verwalteter Standard, der früher unter der Aufsicht von Visa Inc. stand. Der Standard stellt sicher, dass diese Anwendungen keine verbotenen Daten speichern, wie z. B. den vollständigen Magnetstreifen, den Kartenprüfungscode oder -wert oder die PIN.
Ein weiterer entscheidender Unterschied zwischen den beiden Rahmenwerken besteht darin, dass eine PA-DSS-Zertifizierung bedeutet, dass eine Anwendung dem Standard entspricht, nicht aber, dass das Unternehmen automatisch PCI-DSS-konform ist.
Für wen gilt PA-DSS?
PA-DSS gilt zwar in erster Linie für Drittanbieter von Zahlungsanwendungen, erstreckt sich aber auch auf Unternehmen, die Zahlungsanwendungen für den privaten Gebrauch entwickeln. Sie gilt nicht für Zahlungsanwendungen, die von Zahlungsabwicklern angeboten werden, oder für Anwendungen, die lediglich als Gateway zu einem Abwickler fungieren.
PA-DSS-Compliance-Anforderungen:
-
Behalten Sie nicht den vollständigen Magnetstreifen, den Kartenvalidierungscode oder -wert oder die PIN-Blockdaten
Zahlungsanwendungen müssen so konzipiert sein, dass sensible Daten nicht nach der Autorisierung gespeichert werden.
-
Schutz der gespeicherten Karteninhaberdaten
Gespeicherte Karteninhaberdaten müssen durch geeignete Verschlüsselung oder andere sichere Methoden geschützt werden. Kreditkartendaten dürfen niemals auf einem mit dem Internet verbundenen Server gespeichert werden, um Datenverstöße zu verhindern.
-
Sichere Authentifizierungsfunktionen bereitstellen
Die Zahlungsanwendung sollte eine sichere Benutzerauthentifizierung beinhalten, z. B. durch komplexe Passwörter, Verschlüsselung oder Zwei-Faktor-Authentifizierung.
-
Protokollierung der Zahlungsanwendungsaktivitäten
Alle Aktionen innerhalb der Zahlungsanwendung sollten protokolliert werden, und die Protokolle sollten für Prüfungszwecke zugänglich sein.
-
Entwicklung sicherer Zahlungsanwendungen
Der Softwareentwicklungsprozess sollte sicheren Kodierungspraktiken folgen, und die resultierenden Anwendungen sollten gründlichen Tests und Codeüberprüfungen unterzogen werden.
-
Schutz der drahtlosen Übertragungen
Die übermittelten Daten müssen verschlüsselt werden, wenn die Zahlungsanwendung eine drahtlose Technologie verwendet.
-
Testen von Zahlungsanwendungen zur Behebung von Schwachstellen
Es sollten regelmäßige Tests durchgeführt werden, um etwaige Sicherheitslücken in der Zahlungsanwendung zu ermitteln und zu schließen.
-
Erleichterung der Implementierung eines sicheren Netzwerks
Die Zahlungsanwendung sollte die Nutzung von Netzwerksicherheitsmaßnahmen wie Firewalls nicht beeinträchtigen.
-
Sichere Remote-Softwareupdates ermöglichen.
Wenn die Zahlungsanwendung Fernaktualisierungen zulässt, müssen diese sicher durchgeführt werden, um unbefugten Zugriff zu verhindern.
-
Gewährleistung eines sicheren Fernzugriffs auf die Zahlungsanwendung
Jeder Fernzugriff auf die Zahlungsanwendung sollte sicher sein.
-
Verschlüsselung des sensiblen Datenverkehrs über öffentliche Netze
Empfindliche Daten, die über öffentliche Netzwerke übertragen werden, sollten verschlüsselt werden, um Abfangen zu verhindern.
-
Verschlüsselung aller administrativen Zugriffe, die nicht von der Konsole aus erfolgen
Der administrative Zugriff auf die Zahlungsanwendung sollte verschlüsselt werden, wenn er über ein Netz erfolgt.
-
Bereitstellung aktueller Schulungsunterlagen und Schulungsprogramme für Kunden, Wiederverkäufer und Integratoren
Die Softwareanbieter sollten ausreichende Unterlagen und Schulungen anbieten, damit die Endnutzer ihre Zahlungsanwendungen sicher implementieren und verwalten können.
Wie man PA-DSS-Konformität erreicht
1. Bewertung des Zahlungsantrags
Der erste Schritt zur Erreichung der PA-DSS-Konformität besteht in einer eingehenden Bewertung der Zahlungsanwendung anhand der PA-DSS-Anforderungen.
2. Behebung festgestellter Schwachstellen
Alle bei der Bewertung festgestellten Schwachstellen müssen behoben werden.
3. Validierung
Sobald alle Schwachstellen beseitigt sind, muss ein PA-QSA (Payment Application Qualified Security Assessor) die Anwendung validieren.
4. Zusammenstellung des Berichts
Die PA-QSA erstellt einen Validierungsbericht, der dann an das PCI SSC (Payment Card Industry Security Standards Council) geschickt wird.
5. Auflistung auf der PCI SSC-Website
Sobald der PCI SSC den Bericht akzeptiert, wird die Zahlungsanwendung auf seiner Website als PA-DSS-konform aufgeführt.
PA-DSS für Unternehmen
Das Verständnis und die Implementierung von PA-DSS ist für jedes Unternehmen, das Zahlungsanwendungen entwickelt oder einsetzt, unerlässlich. Es trägt nicht nur dazu bei, den sicheren Umgang mit sensiblen Karteninhaberdaten zu gewährleisten, sondern hilft Organisationen auch, ihr Engagement für die Sicherheit ihrer Kunden zu zeigen. Mit den hier beschriebenen Schritten können Unternehmen die PA-DSS-Konformität erreichen und zu einem sichereren Zahlungsumfeld beitragen.