Um die Anforderungen des PCI DSS zu erfüllen, muss es zunächst wichtig sein, zu verstehen, welche Zahlungskartendaten als Zahlungsinformationen gelten (und welche nicht). Im Allgemeinen gilt die Verordnung nur für die primäre Kontonummer (Pan) von Kreditkarten. Wenn andere Datenelemente wie der Name des Karteninhabers, das Ablaufdatum und/oder der Sicherheitscode ohne PaN vorhanden sind, gilt der PCI-Datensicherheitsstandard nicht. Wenn diese anderen Datenelemente jedoch mit der Pan gespeichert, verarbeitet oder übertragen werden oder anderweitig in der Kartendatenumgebung (CDE) vorhanden sind, müssen sie gemäß den PCI-Datensicherheitsanforderungen (auf der Website des PCI Security Standards Council) geschützt werden . 

laut PCI-Bestimmungen muss die Speicherung von Pan über Verschlüsselung, Abgeschnitten, Tokenisierung oder One-Way-Hashing unlesbar sein (PCI FAQ 1222). Unabhängig davon, ob die Karte verschlüsselt oder tokenisiert ist, gelten die PCI-Anforderungen für das System, das die Nummer enthält, da die PaN rückgängig gemacht werden kann, wenn der Verschlüsselungsschlüssel oder die Token-Nachschlagetabelle kompromittiert wird. Wenn die Nummer jedoch abgeschnitten (nicht maskiert) wird, sodass das System nur maximal die ersten 6 Ziffern oder nur die letzten 4 Ziffern der Pan speichert, gilt die Nummer nicht mehr als Pan (PCI FAQ 1091), womit die Notwendigkeit entfällt die PCI-Anforderungen zu erfüllen. 

Wie hilft mir Zendesk bei der Einhaltung der PCI-Compliance-Anforderungen?

In Zendesk gibt es eine Funktion namens PCI-konforme Ticketfelder. Damit können Sie in der Zendesk-Agentenoberfläche eine Primärkontonummer (Pan) in ein angepasstes Ticketfeld eingeben. Die letzten vier Stellen dieser Nummer werden dann geschwärzt, bevor die Daten an die Benutzeroberfläche übertragen werden. Damit werden die PCI-Compliance-Anforderungen zum Schutz von Zahlungskarten erfüllt. Beachten Sie, dass diese PCI DSS-konforme Funktion nur für das Support-Produkt gilt. Weitere Informationen zu den Sicherheits- und Datenschutzkontrollen von Zendesk, einschließlich derer, die die PCI-Compliance unterstützen, finden Sie unter „Ist Zendesk PCI-konform?“. 

Eine Kopie der Erfüllungsbescheinigung (Attestation of Compliance, AoC) anfordern (unter „Artefakt“)

Was passiert, wenn ich nicht möchte, dass Endbenutzer die vollständige Pan in meine Zendesk-Instanz übernehmen? 

Wir empfehlen zwar dringend, PaN nur über das PCI-konforme Ticketfeld einzugeben, um die Einhaltung der PCI-Standards sicherzustellen, aber Sie können Maßnahmen ergreifen, um die Offenlegung dieser Daten zu reduzieren, sollten sie außerhalb dieses dedizierten Felds eingegeben werden. 

Automatische Schwärzung

Zendesk Support hat eine Funktion namens „automatische Schwärzung“. Nachdem Sie sie im Admin Center aktiviert haben, können Sie sie verwenden, um neue Zahlungskartendaten zu schwärzen. Dadurch kann das System nach Nummern mit zwischen 12 und 16 Zeichen suchen und sie schwärzen die ersten 6 und die letzten 4 Ziffern. Dadurch wird das Risiko reduziert, dass sensible Daten weitergegeben oder missbraucht werden. und Messaging-Tickets unterstützt. Bitte beachten Sie, dass die automatische Schwärzung nicht auf das Help Center, Zendesk Chat oder andere Zendesk-Produkte angewendet wird. 

Manuelle Schwärzung (mit API-Tools)

Um Data Loss Prevention (DLP) und API-Tools verwenden zu können, müssen Sie Ihre Zendesk-Ticketdaten an einen sicheren Ort exportieren. Wie das funktioniert, erfahren Sie im Beitrag Ticketdaten als CSV- oder XML-Datei exportieren. Anschließend können Sie die Incremental API verwenden, um Tickets aus einem bestimmten Datumsbereich abzurufen, oder die Listing CommentsAPI, um Kommentare aus Tickets abzurufen. Sobald Sie die erforderlichen Zahlungskartendaten isoliert haben, können Sie eines der vielen verfügbaren Open-Source-Tools anwenden, um sensible Daten wie PaN zu identifizieren. Mit der Redaction APIkönnen Sie diese Informationen aus den Ticketkommentaren entfernen. 

Nutzungs- und Speicherkontrollen

Sie können außerdem die Offenlegung sensibler Kontoinhaberdaten minimieren, indem Sie Zahlungskartendaten nur dann speichern, wenn es absolut notwendig ist und im Rahmen einer legitimen Geschäftsanforderung erfolgt. Die Weitergabe von ungeschützten PAN per E-Mail, Sofortnachricht, Chat oder auf andere Kommunikationsmethode sollte ebenfalls vermieden werden, um die PCI-Datensicherheitsanforderungen einzuhalten. 

Ebenso sollte PaN immer unleserlich sein, wenn es gespeichert wird, einschließlich an Backup-Standorten, in Protokollen und auf Mobilgeräten. One-Way-Hash-Kryptografie, verkürzte Daten, bei denen nur die letzten vier Ziffern einer PIN angezeigt werden, und ähnliche Speicherkontrollmethoden wie Verschlüsselung, Maskierung und/oder verkürzte Datenspeicherung sind ebenfalls möglich. 

Als allgemeine Best Practice sollten Sie Ihre Mitarbeiter im Hinblick auf die Sicherheit schulen, damit sie jede nicht konforme Offenlegung, Verwendung oder Verteilung von Zahlungskartendaten in Ihrem System oder im Tagesbetrieb erkennen und melden können. 

Wie bestimme ich, ob eine Anwendung oder ein System die PCI-Compliance erfüllt?

Werden im System Zahlungskartendaten gespeichert, übertragen oder verarbeitet? Wenn ja, ist es für PCI vorgesehen. Jedes Unternehmen ist dafür verantwortlich, die Systeme in seiner Umgebung zu identifizieren, für die PCI DSS -Anforderungen gelten. Bei dieser Bewertung müssen Sie bedenken, dass nicht nur alle Baseline-Systeme, die Zahlungskartendaten speichern, übertragen oder verarbeiten, sondern auch alle Systeme, die direkt mit diesen Baseline-Systemen verbunden sein müssen. Sie können die Gültigkeitsdauer anhand der folgenden Schritte festlegen:

1. Als Erstes sollten Sie alle bekannten Datenflüsse und Systeme erkennen und dokumentieren, die Zahlungskartendaten übertragen, verarbeiten und/oder speichern sollen . Diese Systeme bilden die Grundlage für Ihre CDE.
2. Als Nächstes dokumentieren Sie alle direkt mit der Baseline-Umgebung verbundenen Systemkomponenten. Diese Systeme gelten ebenfalls als Teil Ihres CDE.
3. Drittens untersuchen Sie Systeme außerhalb des CDE, bei denen Sie Grund zur Annahme haben , dass sie Zahlungskartendaten übertragen, verarbeiten und/oder speichern. Dokumentieren Sie alle gefundenen Tickets und verfolgen Sie ihren Pfad bis zum CDE. Einige der gängigsten Beispiele sind E-Mail-Systeme, Help-Desks, HR-Repositorys, Finanzberichtsysteme, Unternehmenstabellen usw.

Wie kann ich die PCI-DSS-Compliance leichter handhaben?  

Um die PCI-DSS-Compliance zu managen, müssen Sie den PCI-Umfang reduzieren. Überprüfen Sie Ihr CDE und jede Oberfläche, über die Zahlungskartendaten übertragen, verarbeitet oder gespeichert werden. Halten Sie sich an bewährte Datenschutzpraktiken, die besagen, dass Sie nur sensible Daten erwerben und nutzen dürfen, die für Ihren Betrieb unbedingt erforderlich sind. Stellen Sie sich folgende Frage:

• Erfordern unsere Geschäftsprozesse die Verwendung einer Zahlungskarte? Wie verwenden wir die PaN?
• Speichern wir die vollständige PaN als Referenznummer oder wird sie für andere Geschäftsprozesse verwendet (z. B. automatische Abrechnung oder Chargebacks)? Wenn wir die vollständige Pan als Referenznummer verwenden, können wir die Nutzung und Speicherung durch Abschneiden einschränken?
• Haben wir Kontrolle darüber, ob eine Kartennummer in ein bestimmtes System eingegeben wird oder nicht? Ist das System beispielsweise mit einem Webformular, E-Mail, einem Helpdeskoder einer anderen kundenorientierten Oberfläche verbunden? Wenn ja, können wir eine Möglichkeit entwickeln, die Daten beim Eingang des Systems zu entfernen oder zu schwärzen?
• Gibt es Zusatzsysteme mit einer Verbindung zum CDE, die wir nicht wirklich brauchen? Können wir diese Systeme anhand von Firewall-Regeln segmentieren oder überhaupt die Oberflächen entfernen?
• Sind unsere kritischen Geschäftsprozesse organisch? Können wir einige unserer Prozesse vereinfachen und Systeme aus dem PCI-Bereich entfernen?
• Speichern wir Zahlungskartendaten aus Gründen der Benutzerfreundlichkeit? Wird der Speicher-Anwendungsfall von den internen Stakeholdern klar akzeptiert und verstanden oder wird er in Vorbereitung auf einen zukünftigen Bedarf gespeichert, der sich möglicherweise ergibt oder nicht?
• Ist der Zugriff auf die vollständige PAN ein Ausnahmefall oder gängige Praxis? Erfüllt unsere Architektur diese Edge-Cases?

Das Reduzieren des PCI-Zugriffs hat folgende Vorteile: Je nach Erfahrung, Ressourcen und verfügbarer Zeit kann es sinnvoll sein, einen PCI-Experten zu beauftragen, der Sie bei der Beschreibung des Umfangs unterstützt.

 

Rechtlicher Hinweis

 

Glossar der Begriffe (auf Englisch).

Käufer – Auch als „Merchant Bank“, „Accounting Bank“ oder „Accounting Accounting“ bezeichnet. Organisation initiiert und unterhält Beziehungen zu Händlern, die die Annahme von Zahlungskarten ermöglichen. In der Regel ist der Käufer dafür verantwortlich, die PCI-Compliance im Konto des Händlers zu überwachen.

AoC – Akronym für „Attestation of Compliance“. Aus dem Auditbericht geht hervor, ob und wie eine Organisation PCI-konform ist.

Karteninhaberdaten – Die Karteninhaberdaten bestehen mindestens aus der vollständigen Primärkontonummer (Pan). Daten des Karteninhabers können auch in Form der vollständigen PAN plus der folgenden Angaben angezeigt werden: Name des Karteninhabers, Ablaufdatum und/oder Servicecode.

CDE – Umgebung für Karteninhaberdaten.Die Personen, Prozesse und Technologien, die Karteninhaberdaten oder sensible Authentifizierungsdaten speichern, verarbeiten oder übertragen.

DLP – Schutz vor Datenverlust. Software zur Verhinderung von Datenverlust soll potenzielle Datenschutzverletzungen oder Datenverluste erkennen.

Verschlüsselung – Prozess der Umwandlung von Informationen in eine nur für Inhaber eines bestimmten kryptografischen Schlüssels unverständliche Form. Durch Verschlüsselung werden die Informationen zwischen dem Verschlüsselungsprozess und dem Entschlüsselungsprozess (Umgekehrt zur Verschlüsselung) vor unbefugter Offenlegung geschützt.

Luhn prüfen – Dieser Algorithmus, auch als „Mod 10“-Algorithmus bekannt, verwendet eine einfache Prüfsummenformel zur Validierung einer Vielzahl von Identifizierungsnummern, wie z. B. Kreditkartennummern. Die meisten Kreditkarten verwenden den Algorithmus als einfache Methode, um gültige Nummern von falsch eingegebenen oder anderweitig falschen Nummern zu unterscheiden.

Maskieren – Eine Methode zum Verbergen eines Datensegments beim Anzeigen oder Drucken. Die Maskierung wird verwendet, wenn es keine geschäftliche Anforderung gibt, die gesamte PaN anzuzeigen. Maskierung dient zum Schutz von PaN beim Anzeigen oder Drucken.

PCI-konformes Ticketfeld – Dieses Feld akzeptiert Kreditkartennummern von Agenten, wobei die letzten vier Ziffern automatisch geschwärzt werden, bevor die Daten an die Zendesk-Plattform übertragen werden. Dieses Feld muss aktiviert werden, damit Sie von der AoC von Zendesk profitieren können.

PCI-SSC – Akronym für Payment Card Industry Security Standards Council. Dieser Beirat wurde 2006 von den fünf Kreditkartenmarken (VISA, MasterCard, American Express, Discover, JCB) ins Leben gerufen.

PCI-DSS – Datensicherheitsstandard der Kreditkartenbranche. Durch den PCI SSC wurde ein einheitlicher Standard geschaffen, der für alle Händler und Dienstanbieter gelten sollte.

PAN – Primäre Kontonummer. Wird auch als „Kontonummer“ bezeichnet. Eindeutige Kreditkartennummer (in der Regel bei Kredit- oder Debitkarten), die den Aussteller und den jeweiligen Karteninhaber identifiziert.

Serviceprovider – Geschäftseinheit (kein Kreditkartenaussteller), die im Auftrag einer anderen juristischen Person direkt an der Verarbeitung, Speicherung oder Übertragung von Karteninhaberdaten beteiligt ist. Dazu gehören auch Unternehmen, die Dienste bereitstellen, die die Sicherheit der Daten von Karteninhabern kontrollieren oder beeinträchtigen könnten. Hierzu gehören beispielsweise Managed-Service-Provider, die Managed Firewalls, IDS und andere Services bereitstellen, sowie Hosting-Provider und andere Einheiten.

QSA – Qualifizierter Sicherheitsassessor. Der PCI SSC hat Firmen, die PCI-Bewertungen durchführen und bei der PCI-Validierung helfen. die Bezeichnung ist eine QSA-Firma, bzw. eine Einzelperson bei einer QSA-Firma kann als individuelle QSA zertifiziert werden.

Schwärzen – Entfernen sensibler Informationen wie Paun, wenn sie nicht benötigt werden.

SAQ – Fragebogen zur Selbsteinschätzung. Eine Instanz, die die PCI-Compliance validiert, muss sich entweder einer externen Bewertung durch eine QSA unterziehen oder eine SAQ ausfüllen und bei der Kartenmarke oder der Händlerbank einreichen.

Tokenisieren – Der Prozess, einen Datenfluss aussagekräftigem Text, wie z. B. Kreditkartennummer, in Datenelemente zu unterteilen, die als Token bezeichnet werden und zwar die eigentlichen Daten darstellen, für sich genommen aber nichts bedeutungslos sind. Durch Tokenisierung werden Kreditkartendaten aus Systemen oder Datenbanken entfernt, wodurch der Umfang der CDE reduziert wird.

Abgeschnitten: – Methode, die vollständige PaN durch dauerhaftes Entfernen eines Segments der Pan-Daten unleserlich zu machen. Kürzung bezieht sich auf den Schutz der PaN bei der Speicherung in Dateien, Datenbanken usw.