POS-Terminal Handling – PCI DSS-Anforderungen an Händler
Aufgrund der vielen Anfragen von Händlern und Service Providern fassen wir hier die Anforderungen an das POS-Terminal-Handling bei Händlern nochmals zusammen. Bereits mit der Version 3.0 des PCI DSS wurde Requirement 9.9 angepasst, die Anforderungen sind ab 1. Juli 2015 verbindlich. In Version 3.1 wurden nochmals textuellen Überarbeitungen durchgeführt, welche jedoch keine neuen Anforderungen definieren.
Da POS-Terminals potentiellen Risiken durch Manipulation, der Anbringung von zusätzlichen Komponenten (Skimming), oder dem Austausch durch ein modifiziertes POS ausgesetzt sind, werden in Requirement 9.9 konkrete Prüfanforderungen für den Händler definiert. Diese Anforderungen müssen ab dem 1. Juli 2015 verpflichtend vom Händler umgesetzt werden.
Im Einzelnen werden in Requirement 9.9 folgende Anforderungen hinsichtlich des POS Terminal-Handling an den Händler gestellt:
Führen einer Geräte-Liste (Requirement 9.9.1)
Der Händler ist verpflichtet eine aktuelle Liste aller bei ihm im Einsatz befindlichen POS Terminals zu führen. Diese Liste muss laufend aktualisiert werden (Austausch, Neuanschaffung, Verlegung von POS, etc.) und mindestens folgende Informationen enthalten:
- Modell und Bezeichnung des POS-Terminals (z.B. Verifone Vx820, Ingenico iPP350)
- Eine eindeutige Identifikation des POS-Terminals, z.B. anhand der Seriennummer
- Genaue Angaben, wo das POS-Terminal installiert ist (z.B. Adressangabe der Filiale oder Geschäftes, bei mobilen Geräten die verantwortliche Person die im Besitz des Geräts ist)
Diese Liste kann manuell gepflegt werden oder automatisch z.B. über ein Terminal-Management-System.
Regelmäßige Inspektion auf Manipulation oder Austausch (Requirement 9.9.2)
Für die regelmäßige Prüfung müssen schriftliche Anweisungen existieren die festlegen, wie ein Terminal geprüft wird, wer hierfür verantwortlich ist und in welchen Intervallen die Prüfungen erfolgen. Die Ausgestaltung der Prüfung auf Manipulation hängt vom jeweiligen Gerätetyp ab und kann z.B. durch folgende Tätigkeiten erfolgen:
- Prüfen von Siegel (häufig vom Terminalhersteller bereits angebracht, ansonsten durch händlerindividuelle Siegel oder Kennzeichnungen)
- Vergleich des POS-Terminals mit einem Foto eines Original-POS zur Aufdeckung von baulichen Unterschieden (z.B. durch Austausch) oder zusätzlich angebrachten Skimming-Komponenten.
- Vergleich der Seriennummer
Die Festlegung der Periodizität der Inspektionen obliegt dem Händler. Dies hat er im Rahmen seines jährlichen Risk Assessment Prozesses gemäß PCI DSS Requirement 12.2 festzulegen, u.a. auch unter Berücksichtigung von Faktoren wie Standort des Terminal (in-house, public area) und ob es sich um ein attended/unattended POS handelt.
Training des Personals (Requirement 9.9.3)
Durch entsprechendes Trainingsmaterial oder Informationsschulungen ist bei den Mitarbeitern eine Sensibilisierung zu fördern, um die Manipulation oder den Austausch von POS-Terminals zu erschweren. Folgende Punkte sollten hierbei mindestens adressiert werden:
- Identifikation von Dritten (z.B. Wartungstechniker), die ein POS-Terminal warten oder austauschen wollen, bevor diese Person Zugriff auf das POS erhält
- Installation, Austausch oder Rücksendung eines Terminals erst nach Prüfung das diese Aktivität geplant und freigegeben ist
- Verdächtige Handlungen Fremder in der Nähe oder am Terminal direkt
Häufig versuchen Kriminelle sich als Wartungstechniker auszugeben um das POS-Terminal vor Ort zu manipulieren oder auszutauschen. Hier sollte sich der Mitarbeiter beim verantwortlichen Manager oder der Wartungsfirma rückversichern, dass eine Reparatur oder ein Austausch tatsächlich erfolgen soll. Eine andere Variante ist das Zusenden eines POS Terminals zu Austauschzwecken, wobei hier gleichzeitig ein Retourenauftrag zur kostenfreien Rücksendung beiliegt. Dadurch erhalten Kriminelle ein voll funktionsfähiges, operationales POS Terminal für die anschließende Analyse und Manipulation.
Begleitend hierzu möchten wir auch auf das informative Dokument zum Thema Skimming auf der PCI Council Website hinweisen (externer Link zum Dokument).