PCI DSS Compliance

Wie ein Payment-Provider in sechs Monaten PCI-DSS-Level-1-zertifiziert wurde

solutions L3 list bg

Über Payrexx

40.000 zufriedene Kunden

Payrexx wurde 2015 in Thun gegründet und hat sich als Zahlungsinstitut auf die Abwicklung von digitalen Zahlungsmethoden spezialisiert. Das Schweizer Unternehmen betreibt als eingetragener Payment-Facilitator von Mastercard und Visa eine selbst entwickelte Zahlungsplattform. Über 40.000 Kunden wickeln europaweit ihren Zahlungsverkehr über die cloudbasierte Plattform ab. Die Spanne reicht dabei von regional starken Unternehmen wie BKW, Schweizer Jugendherbergen und Swissmilk bis zu Großkonzernen wie SBB, die Schweizerische Post, und Swisscom.
Die Plattform vereint über 40 Zahlungsanbieter und mehr als 200 Zahlungsmethoden und Währungen aus aller Welt über eine einzige Schnittstelle. Darunter zählen beliebte Zahlungsarten wie Mastercard und Visa sowie TWINT, PostFinance, PayPal und Samsung Pay.


Im Interview mit Ueli Kramer (Chief Information Officer Payrexx) sprechen wir darüber, warum die Wahl auf AWS fiel und wie die Cloud-Lösung genau aussieht.

Was hat Sie zur Nutzung einer Cloud-Umgebung bewogen und welche Herausforderungen hofften Sie zu lösen?

Payrexx besteht in der IT vorwiegend aus Software-Entwickler*innen und wir hatten intern keine vertieften System- und Netzwerkkenntnisse. Wir suchten daher einen Partner für eine langjährige Zusammenarbeit zur Bewältigung der Compliance-Anforderungen von PCI DSS für die Verarbeitung von Kreditkartendaten. Mittlerweile verfügt Skaylink selbst über eine PCI-DSS-Level-1-Zertifizierung und kann uns somit seine Services bereits in Compliance mit PCI DSS anbieten.

Wie konnte Skaylink Ihr Problem lösen und welche Vorteile ergaben sich dadurch für Sie und Ihre Kunden?

Wir erreichten in einem gemeinsamen PCI DSS Audit im Juli 2019 den PCI DSS Level 1 Service Provider Status. Dadurch konnten wir die Wertschöpfungskette, unsere Funktionen im Bereich des Online-Payment und unsere Geschäftsbeziehungen, ausbauen und uns stets auf unser Kerngeschäft – das Online-Payment und die Webprogrammierung – fokussieren.

Mit der aktuellen Lösung und der Zusammenarbeit mit Skaylink sind wir sehr zufrieden und wir können Skaylink als Partner wärmstens empfehlen.

Wie sieht die genutzte AWS-Infrastruktur im Detail aus?

Die Infrastruktur besteht aus zwei separierten Produktivumgebungen: die Plattform- und die CDE (Cardholder Data Environment)-Umgebung. Folgende Komponenten wurden dabei eingesetzt:

Plattform

  • Basisumgebung (DMZ, VPC, Firewall, Bastion)
  • RDS  Aurora Mysql
  • EC2 – Webserver (Autoscaling, Redundant)
  • EC2 – Cron Single Instance
  • EFS – Shared Folder
  • ElastiCache – Redis (Single)
  • AWS NAT-GW 
  • Load Balancer einschl. ACM Certificates
  • WAF – AWS Web Application Firewall 
  • Route53 – DNS Zone Hosting
  • Cloudtrail einschl. Alarm Notification
  • Per OpenSSH und persönlichem Key erreichbar

CDE

  • Basisumgebung (DMZ, VPC, Firewall, Bastion)
  • EC2 – Webserver (Autoscaling, Redundant)
  • AWS NAT-GW 
  • Load Balancer einschl. ACM Certificates
  • WAF – AWS Web Application Firewall 
  • Route53 – DNS Zone Hosting
  • Cloudtrail einschl. Alarm Notification
  • MFA-Enabled OpenVPN Access

Weitere eingesetzte Lösungen:

  • Skaylink Code Deploy
  • Auditd Linux Framework 
  • Anti-Virus Solution
  • AWS Guardduty
  • AWS Secrets Manager
  • IAM User and Policies
  • EC2 – OpenVAS Single Instance (Teil der Skaylink PCI DSS Solution)
  • EC2 – Wazuh Single Instance (Teil der Skaylink PCI DSS Solution)

Warum haben Sie sich für Skaylink und AWS entschieden?

Amazon Web Services ist im Marktvergleich unseres Wissens nach der Leader. Zudem verfügt die Mehrheit der AWS-Dienste bereits über eine PCI DSS Compliance.

Nach Rücksprache mit Amazon wurde uns Skaylink als AWS-Partner für unser Vorhaben vermittelt. Die Geschäftsführung von Skaylink war sehr aufgeschlossen und bereit, diese Hürden zusammen mit uns zu meistern. Nach der Migration in die Cloud konnten wir im Rahmen eines Projektes die gesamte Umgebung und die Prozesse auf PCI DSS abstimmen.

Welche Verbesserungen konnten Sie seither feststellen? Und wie hat sich dies auf Ihre Kennzahlen ausgewirkt?

Ohne die Hilfe von Skaylink hätten wir uns das Wissen selber aneignen müssen und hätten uns zwischenzeitlich nicht auf das Kerngeschäft fokussieren können. Durch die Expertise von Skaylink können wir Infrastrukturthemen getrost abgeben. Die 24/7 SLA von Skaylink ermöglicht uns zudem bei Störungen schnell zu handeln. Da Skaylink nun selber PCI-DSS-konforme Services anbieten kann, verringert sich der PCI DSS Scope von Payrexx erheblich. Im Rahmen dieser Partnerschaft war es für alle eine Win-win-Situation. Payrexx kann sich weiter auf den Betrieb und die Weiterentwicklung der Plattform fokussieren und Skaylink hatte durch den gemeinsamen Audit im Jahr 2019 bereits einige Vorarbeiten und Erfahrungen machen können, die zur Erfüllung von PCI DSS beigetragen haben.

Vielen Dank Herr Kramer für diesen besonderen Einblick. Wir wünschen Ihnen auch weiterhin viel Erfolg und freuen uns auf die weitere gemeinsame Arbeit mit Ihnen!

Möchten Sie auch in die Cloud wechseln? Vereinbaren Sie Ihr persönliches Beratungsgespräch mit unseren Cloud-Expert*innen.

Fakten & Zahlen

In 6 Monaten

zur PCI-DSS-Zertifizierung

40.000

zufriedene Payrexx-Kunden

24/7

Managed Services mit SLA

Weitere Case Studies

Starten wir gemeinsam in die Zukunft

Unsicher, wohin die digitale Reise bei Ihnen führen soll? Unsere Expert*innen stehen Ihnen gerne unverbindlich für Ihre Fragen zur Verfügung!

Einfach das nebenstehende Formular ausfüllen und wir melden uns umgehend bei Ihnen.