Der Schutz von Karteninhaberdaten ist das Kernziel von PCI DSS. Alle 12 Hauptanforderungen des Standards konvergieren auf einem einzigen Ergebnis: Karteninhaberdaten dürfen nicht in unbefugte Hände gelangen, weder durch externe Angriffe noch durch interne Fehler noch durch Nachlässigkeit in der Infrastrukturverwaltung. Das Verständnis, welche Daten als Karteninhaberdaten gelten und welche spezifischen Pflichten deren Schutz nach sich zieht, ist der Ausgangspunkt für jeden PCI-Compliance-Plan.
Was als Karteninhaberdaten gilt: PAN, CVV, Track-Daten
PCI DSS definiert zwei Kategorien sensibler Zahlungsdaten: Karteninhaberdaten (CHD) und sensible Authentifizierungsdaten (SAD). Karteninhaberdaten umfassen die PAN (Primary Account Number, die 16-stellige Kartennummer), den Namen des Karteninhabers, das Ablaufdatum und den Servicecode. Sensible Authentifizierungsdaten umfassen den vollständigen Magnetstreifen-Track (Track 1 und Track 2), den PIN-Block und den CVV/CVC-Code.
Die entscheidende Unterscheidung ist zwischen Daten, die unter bestimmten Bedingungen gespeichert werden dürfen, und Daten, die niemals nach der Autorisierung gespeichert werden dürfen. Die PAN kann nach der Autorisierung gespeichert werden, muss aber unlesbar gemacht werden (Verschlüsselung, Tokenisierung, Trunkierung). Sensible Authentifizierungsdaten – CVV/CVC, vollständiger Track, PIN – dürfen niemals gespeichert werden, nicht einmal temporär oder in verschlüsselter Form.
PCI-DSS-Schutzpflichten: Verschlüsselung, Zugangskontrolle, Überwachung
Wenn ein Unternehmen PANs speichert, werden spezifische Schutzpflichten ausgelöst. Die wichtigsten sind:
- Verschlüsselung im Ruhezustand: Gespeicherte PANs müssen mit starken Algorithmen verschlüsselt sein (AES-256 oder RSA 2048+). Der Verschlüsselungsschlüssel muss sicher verwaltet werden, getrennt von den verschlüsselten Daten.
- Zugangskontrolle: Der Zugang zu Karteninhaberdaten muss auf diejenigen beschränkt sein, die sie für geschäftliche Zwecke benötigen, gemäß dem „Need to Know"-Prinzip. MFA ist für alle CDE-Zugriffe erforderlich.
- Überwachung und Protokollierung: Alle Zugriffe auf Systeme, die Karteninhaberdaten enthalten, müssen protokolliert und diese Protokolle für 12 Monate aufbewahrt werden.
- Netzwerksegmentierung: Die CDE muss von anderen Unternehmensnetzwerken durch Firewalls oder andere Segmentierungskontrollen getrennt sein.
- Physische Sicherheit: Physischer Zugang zu Systemen, die Karteninhaberdaten enthalten, muss auf autorisiertes Personal beschränkt sein.
Tokenisierung: das Problem an der Wurzel beseitigen
Der effektivste Ansatz zur Erfüllung von PCI-DSS-Datenschutzanforderungen ist, PAN nie in eigene Systeme einzulassen. Mit Tokenisierung über PCI Proxy EU passieren Kartendaten die Systeme des Händlers nicht: Das Erfassungsformular ist von PCI Proxy EU gehostet, die PAN wird abgefangen und im zertifizierten Vault gespeichert, ein wertloser Token wird an den Händler zurückgegeben. Das Ergebnis: Keine Schutzpflichten für die PAN, da keine vorhanden ist. Keine CDE, keine Verschlüsselungsanforderungen für Datenbanken, keine dedizierten Zugangskontrollrichtlinien für Zahlungsdaten.
Im Vergleich zu einer Architektur, bei der PANs intern gespeichert werden, schätzen wir, dass Tokenisierung die PCI-DSS-Compliance-Kosten um 70 bis 90 % senkt, erheblich das Risiko einer Datenpanne reduziert und die Zeit für die jährliche Compliance-Verwaltung deutlich verkürzt.
Häufig gestellte Fragen
Kann ich die ersten 6 oder letzten 4 Ziffern der PAN speichern?
Ja. PCI DSS erlaubt die Anzeige der ersten 6 und letzten 4 Ziffern (BIN + letzte 4) als verkürzte PAN zu Anzeigezwecken. Die vollständige PAN, einschließlich des mittleren Teils, darf jedoch niemals im Klartext gespeichert werden. Wenn Sie einen Token verwenden und die letzten 4 Ziffern zu Anzeigezwecken in Ihrer Datenbank speichern, fallen diese Daten nicht in die CDE-Definition.
Muss ich Protokolle der Karteninhaberdaten-Transaktionen aufbewahren?
Sie müssen Transaktionsprotokolle aufbewahren, die zeigen, dass Zahlungen stattgefunden haben, aber diese Protokolle sollten keine vollständige PAN enthalten. Wenn Ihre Protokolle vollständige Kartennummern aufzeichnen, sind diese Protokolle Teil Ihrer CDE und müssen geschützt werden. Die beste Praxis ist, Protokolle mit Transaktions-IDs zu führen, die auf den Vault des Anbieters verweisen, ohne sensible Kartendaten zu enthalten.
Ist das Speichern von CVV für wiederkehrende Zahlungen erlaubt?
Nein. Das Speichern des CVV/CVC nach der Autorisierung ist ausdrücklich von PCI DSS verboten, auch für Card-on-File-Szenarien und wiederkehrende Zahlungen. Für Folgezahlungen nach der ersten Transaktion ist kein CVV erforderlich: Das Zahlungsnetzwerk erkennt es als Händler-initiierte Transaktion an. Das CVV-Speichern, auch wenn verschlüsselt, ist eine schwerwiegende PCI-Verletzung.
Die effektivste Methode zum Schutz von Karteninhaberdaten? Sie niemals in Ihren Systemen haben. Entdecken Sie PCI Proxy EU.