Bewährte Verfahren für die PCI-DSS-Konformität

Die Einhaltung der PCI-DSS-4.0-Regeln kann zunächst entmutigend erscheinen. In diesem Artikel werden wir einige der wichtigsten Änderungen, die mit dem neuen Rahmenwerk eingeführt wurden, im Detail erläutern und bewährte Verfahren vorstellen, um Ihnen die Umstellung so einfach wie möglich zu machen.

 

Haftungsausschluss

Dieses Dokument sollte nur zu Orientierungszwecken verwendet werden und ist nicht als endgültige Empfehlung zu verstehen. Wir laden Sie ein, zur Klärung einen PCI-DSS Qualified Sicherheit Assessor (QSA) zu konsultieren.

 

Online Zahlungen

Als allgemeine Empfehlung können Sie die PCI-Konformität aufrechterhalten, indem Sie:

  • Verwenden Sie eine der von Mollie empfohlenen Integrationen für Zahlungen, um die Zahlungsinformationen sicher direkt an Mollie zu übermitteln.
  • Sicherstellung, dass Ihre Zahlungsseiten mit Transport Layer Sicherheit (TLS) und unter Verwendung von HTTPS gesichert sind.

Es gibt zahlreiche weitere Anforderungen, die Teil des PCI-DSS-Rahmens sind.

Bitte beachten Sie, dass Mollie Ihnen keine definitiven Ratschläge für Ihre eigene PCI-Konformität geben kann, da wir nicht alle Details über Ihre Einrichtung kennen. Da es keine allgemeingültigen Ratschläge zur Einhaltung der PCI-Richtlinien gibt, können Sie bei der Speicherung/Verarbeitung von Kartendaten möglicherweise PCI-Anforderungen erfüllen.  Je nach Ihrer Integration und Einrichtung sind Sie für die Einhaltung der geltenden PCI-DSS-Anforderungen verantwortlich. 

 

Offline-Zahlungen

Kunden von Mollie, die POS-Lösungen verwenden, tragen auch eine gewisse Verantwortung für die Sicherheit ihrer Systeme und den Schutz sowohl der Terminal-Hardware als auch der über sie verarbeiteten sensiblen Daten.

 

Akzeptieren und Installieren von Software-Updates, die an die Terminals gesendet werden

 

Mollie erwartet von den Händlern, dass sie Software-Updates und Patches für Sicherheitslücken akzeptieren, wenn sie auf die Terminals aufgespielt werden, und dass sie diese Updates nicht unnötig aufschieben.

 

 

Netzwerk Sicherheit

 

Sie sollten sicherstellen, dass Ihre Netzwerkinfrastruktur durch Firewalls und Intrusion Detection Systeme (falls zutreffend) gesichert ist. Darüber hinaus sind Sie für die Sicherung Ihrer Integrationssysteme mit Mollie verantwortlich, um sie vor Manipulationen zu schützen.

 

Maßnahmen zur physischen Sicherheit

 

Sie sollten physische Sicherheitsmaßnahmen ergreifen, um POS-Lösungen vor Diebstahl, Manipulation oder unbefugtem Zugriff zu schützen. Dies kann die Installation von Sicherheitskameras, die Verwendung von Schließfächern und die Beschränkung des Zugangs zu Bereichen, in denen sich POS-Lösungen befinden, beinhalten.

 

Mitarbeiterschulung

 

Sie sollten Ihre Mitarbeiter, die mit POS-Lösungen umgehen und diese nutzen, regelmäßig in Sachen Sicherheit schulen. Die Schulungen sollten Themen wie Phishing, Skimming und Substitutionsbewusstsein abdecken, wie in den unten verlinkten Leitlinien beschrieben.

 

Überprüfen Sie die Identität von Drittpersonen oder Anfordern von Fernverbindungen

 

Bevor Sie Zugang zu Ihren Geräten gewähren, um sie zu verändern oder Fehler zu beheben, müssen Sie zunächst die Identität von Dritten (die sich als Reparatur- oder Wartungspersonal ausgeben) überprüfen, die entweder persönlich bei Ihnen vor Ort erscheinen oder versuchen, per Fernzugriff eine Verbindung zu Ihnen oder Ihrem Terminal herzustellen.

 

Führen Sie eine aktuelle Geräteliste

 

Wenn Sie Ihre POS-Lösung von Mollie erhalten, überprüfen Sie Ihr Händler-Dashboard oder Ihre Rechnung, um sicherzustellen, dass Sie das richtige Gerät erhalten haben, bevor Sie es benutzen. Sie können Ihre Geräte in Ihrem eigenen Inventar, z. B. in einer Tabellenkalkulation, verfolgen oder das Händler-Dashboard von Mollie verwenden.

 

Regelmäßige Geräteinspektion

 

Wie von PCI-DSS gefordert, sollten Sie Ihre POS-Lösungen regelmäßig überprüfen, um sicherzustellen, dass sie gegen Manipulationen und unbefugten Austausch geschützt sind.

 

Wir haben eine Muster-Checkliste für die Geräteprüfung erstellt, um Ihnen die periodische Geräteprüfung zu erleichtern. Sie können dieses Dokument über den unten stehenden Link herunterladen: