„Können Sie mir einen PCI DSS-zertifizierten Kartenleser verkaufen?" ist die falsche Frage

Bei ID TECH erhalten wir viele technische Fragen zum Zahlungsverkehr. Manchmal herrscht Verwirrung rund um die Anforderungen der Payment Card Industry. So erreichen uns zum Beispiel Fragen wie: „Können Sie mir ein PCI DSS-Zertifikat für diese Geräte ausstellen?" oder „Ich finde Produkt X nicht auf der PCI-Website – ist es P2PE-zertifiziert?"

Diese Fragen sind durchaus gängig, beruhen jedoch mitunter auf falschen Annahmen. Wer davon ausgeht, dass nicht PCI-zertifizierte Geräte grundsätzlich weniger sicher sind als PCI-zertifizierte, liegt schlicht falsch.

ID TECH bietet PCI PTS SRED-zertifizierte Hardware an (etwa den SREDKey, abgebildet rechts, sowie die Augusta S, Spectrum Pro, SecuRED, VP8800 und weitere), doch auch unsere Geräte ohne SRED-Zertifizierung sind hochsichere Produkte, die für die meisten auf dem Markt entwickelten Zahlungslösungen eingesetzt werden können.

PCI DSS ist eine Systemlösung, die die Zertifizierung aller Bestandteile eines Zahlungssystems erfordert – nicht nur der Hardware. PCI DSS umfasst 12 konkrete Anforderungen daran, wie eine konforme Lösung die Sicherheit von Zugängen und Karteninhaberdaten gewährleisten muss. Die nachfolgenden Punkte entstammen direkt der PCI-Dokumentation.

Kontrollziele

PCI DSS-Anforderungen

Bei der Lektüre der Anforderungen findet sich kein Hinweis darauf, welche peripheren Zahlungs-Hardware-Komponenten PCI von Lösungsanbietern verlangt. PCI legt vor allem Wert darauf, dass die Anforderungen erfüllt werden, und weniger darauf, wie Sie die Anforderungen erfüllen. Wenn ein Lösungsanbieter eine PCI DSS-Zertifizierung anstrebt, könnte er zwar einen nicht-verschlüsselnden Lesegerät verwenden, doch würde dies die Lösung einer zusätzlichen Prüfung hinsichtlich des Umgangs mit sensiblen Daten aussetzen. Durch den Einsatz eines verschlüsselnden Kartenlesers – bei dem der Händler weder lokal noch innerhalb der Zahlungsumgebung in der Lage ist, die Kartendaten zu entschlüsseln – kann der QSA (Qualified Security Assessor) dem Händler mit hoher Wahrscheinlichkeit dabei helfen, eine wertvolle Reduzierung des Prüfungsumfangs in den Anforderungen Nr. 3, 4 und 9 zu erzielen. (Die tatsächliche Umfangsreduzierung liegt jedoch im Ermessen des Prüfers.)

Nur sehr wenige PCI-Anforderungen betreffen die Hardware. Die einzige Hardware, die PCI im eigentlichen Sinne zertifiziert, sind sogenannte PCI PTS (PIN Transaction Security)- oder SRED-Geräte, in denen die Anforderung zur sicheren Erfassung und Übertragung von Daten (Secure Reading and Exchange of Data, SRED) verankert ist. Nicht-SRED-Geräte können dieselben Verschlüsselungsfunktionen wie SRED-Geräte aufweisen – und tun dies in der Regel auch –, verfügen jedoch nicht über die erforderlichen Manipulationsschutzmechanismen, die für eine SRED-Qualifizierung notwendig sind. (Hinweis: PCI stellt an Hersteller strenge Anforderungen hinsichtlich der sicheren Entwicklung und Aktualisierung von Software usw. SRED-Geräte müssen über den gesamten Lebenszyklus hinweg sicher sein.) Die verschlüsselnden Geräte von ID TECH – auch jene, die keine SRED-Geräte sind – können technisch gesehen als PCI-konform gelten, da sie in zahlreichen aktuell zertifizierten PCI DSS-Lösungen eingesetzt werden. Die Lesegeräte selbst sind jedoch nicht „PCI-zertifiziert". Die PCI DSS-Zertifizierung bezieht sich auf die gesamte Lösung und ist kein gerätebezogener Standard.

P2PE

In der Zahlungsbranche besteht ein weit verbreitetes Missverständnis rund um den Begriff „P2PE" (Point-to-Point Encryption). Wenn Menschen von „P2PE" sprechen, meinen sie häufig eigentlich E2EE (End-to-End-Verschlüsselung). Wenn ein Händler ein Zahlungssystem einsetzt, das Karteninhaberdaten auf Hardware-Ebene verschlüsselt und diese verschlüsselten Daten an ein (entferntes) Zahlungs-Gateway weiterleitet, spricht man von „End-to-End"-Verschlüsselung. P2PE hingegen ist eine offizielle PCI-Zertifizierung, die alle Aspekte einer Transaktion umfasst: die eingesetzte Hardware (die SRED-zertifiziert sein muss), die Einsatzumgebung, die Datenverarbeitung (die den P2PE-Vorschriften entsprechen muss), die Zahlungsanwendung sowie die Einrichtung zur Schlüsseleinspeisung und Entschlüsselung. Das bloße Vorhandensein eines SRED-Geräts macht ein System nicht automatisch P2PE-konform.

Es ist wichtig zu wissen, dass P2PE-Zertifizierungen äußerst kostspielig und selten sind. Die meisten Unternehmen, die glauben, „P2PE" zu benötigen, tun dies in der Realität nicht. Analysieren Sie Ihren Bedarf daher sorgfältig.

Haben Sie Fragen zur PCI DSS-Zertifizierung oder zur Sicherheit von Zahlungsgeräten? Die technischen Experten von ID TECH helfen Ihnen gerne weiter. Rufen Sie uns jederzeit an unter:

Gebührenfreie Rufnummer
1-800-984-1010

Der Beitrag dieses Monats wurde von Jason Hall, ID TECH's Product Manager für unbeaufsichtigte Lösungen, in Zusammenarbeit mit Kas Thomas verfasst.