What is PCI DSS Compliance?

Was bedeutet PCI DSS?

PCI DSS ist die Abkürzung von Payment Card Industry Data Security Standards und dieser Begriff steht für die Regulierung des Mindeststandards der globalen Datensicherheit bei der Verarbeitung von Kreditkartendaten im Zahlungssystem.

Mit der Absicht Kreditkarteninformationen zu schützen, wurde der Mindeststandard vom PCI Security Standards Council (PCI SSC) ausgearbeitet, entwickelt und im Jahre 2006 eingeführt. Schützen soll der Mindeststandard die Daten von Privatpersonen sowie Banken selbst und andere Teilnehmer. Entstanden ist die PCI SSC durch die Zusammenarbeit von Mastercard, Visa, American Express, Discover und JCB.

PCI DSS konform zu sein, ist für Unternehmen oder Organisationen nicht gesetzlich verpflichtend. Allerdings können Unternehmen mit hohen Geldstrafen rechnen, wenn diese durch fahrlässiges Verhalten mit der Verarbeitung von Kreditkartendaten auffallen. PCI DSS ist ein großer Schritt, der dazu beiträgt, Kreditkartenbetrug zu vermeiden und jedes Unternehmen, das sich an der PCI DSS Konformität beteiligt, wirkt am Erreichen der Ziele von PCI SSC aktiv mit.

Was bedeutet es Kreditkarteninformationen zu verarbeiten bei PCI DSS?

Unter der Verarbeitung nach PCI DSS fallen unter anderem die Speicherung, die Weiterleitung von Kreditkarteninformationen oder aber auch das direkte Verarbeiten von Kreditkarteninhaberinformationen. Die Verarbeitung dieser Daten kann im Netzwerk, digital oder in Papierform vorgenommen werden. PCI DSS gilt somit für alle Unternehmen oder Organisationen, die Kreditkarten als Zahlungsmittel akzeptieren oder Kreditkarteninformationen in anderen Formen verarbeiten.

Wie gelangen Unternehmen zur PCI DSS Konformität?

Unternehmen oder Organisationen, die Kreditkarteninformationen verarbeiten, (vom kleinen Online-Händler bis hin zur großen Finanzbank) sind aufgefordert, die Regulierung der PCI DSS Konformität zu erreichen und die Mindestanforderungen laufend einzuhalten. Für die Feststellung, ob die nötigen Mindestanforderungen erfüllt sind, kann es genügen, den richtigen Selbstwertungsfragebogen (SAQ) vollständig und wahrheitsgemäß ausgefüllt einzureichen oder es muss ein vom PCI-Beirat genehmigter Prüfer hinzugezogen werden.

Für die Erfüllung von PCI DSS sind 12 Punkte zu beachten, die wiederum mit vielen Unterpunkten versehen sind. Insgesamt sind es über 300 Anforderungen, die erfüllt werden könnten. Nicht jedes Unternehmen muss gleichviele Punkte erfüllen. Welchen Mindeststandard ein Unternehmen vorweisen muss, um PCI DSS konform zu sein, ist davon abhängig, bei welchen der vier von PCI SSC vorgegebenen Level das Unternehmen einzustufen ist.

Level 1 bis Level 4 der PCI DSS-Compliance

Die Level unterscheiden sich hauptsächlich in der Anzahl der Transaktionen, die von einem Unternehmen oder einer Organisation durchgeführt werden. Es gibt neben diesen Kriterien noch weitere, durch die eine Leveleinstufung möglich ist, auf die wir hier nicht weiter eingehen werden. Im Folgenden wird die Anzahl der Transaktionen der jeweiligen Level benannt:

Level 1
Jährlich mehr als 6 Millionen Transaktionen über Visa und/oder Mastercard oder jährlich mehr als 2,5 Millionen Transaktionen über Amercian Express

Level 2
Eine Anzahl von 1 bis 6 Millionen Transaktionen pro Jahr

Level 3
ährliche Transaktionsanzahl zwischen 20.000 und einer Million

Level 4
Pro Jahr eine Anzahl von unter 20.000 Transaktionen bis hin zu einer Million

Die 12 Hauptanforderungen von PCI DSS

  1. Es müssen zum Schutz der Karteninhaberdaten Firewall-Konfigurationen installiert und gepflegt werden.
  2. Standardeinstellungen (bezüglich Systempasswörter und andere relevanten Sicherheitsparameter) von Lieferanten dürfen nicht beibehalten und müssen somit geändert werden.
  3. Schutz der Karteninhaberdaten durch Verschlüsselung und Einhaltung von bestimmten Prozeduren bei der Entsorgung und Speicherung von Daten.
  4. Verschlüsselte Übertragung von Kreditkarteninhaberdaten in offenen und öffentlichen Netzwerken (z.B. Bluetooth)
  5. Systeme müssen durch die Installation und regelmäßiger Aktualisierung von Antisoftware- oder Programmen vor Viren, Malware und anderen Angriffen geschützt sein.
  6. Entwicklung sicherer Systeme und Instandhaltung mit laufenden Aktualisierungen z.B. in Form von Updates.
  7. Zugang zu Kreditkarteninformationen nur den Personen gewähren, die mit geschäftlichen Erfordernissen zu begründen sind („Need to know“-Prinzip).
  8. Systemkomponenten müssen bestimmten Personen zugewiesen werden können und diese Personen müssen die Möglichkeit zur Authentifizierung erhalten. Dies kann beispielsweise durch die Verwendung von Berechtigungen und Multi Faktor Authentisierung vorgenommen werden.
  9. Neben den digitalen Zugängen müssen auch die physischen Zugänge zu Karteninhaberdaten eingeschränkt genutzt und überwacht werden.
  10. Zugriffe auf Netzwerkressourcen und den Kartendaten müssen verfolgt und überwacht werden.
  11. Sicherheitssysteme und Sicherheitsabläufe müssen regelmäßig getestet und nach Bedarf verbessert werden.
  12. Einbringungen von Richtlinien, die Dateninformationssicherheit von Mitarbeitern enthalten und diese bearbeiten.

PCI DSS Konformität erreicht und nun?

Wer sich mit PCI DSS beschäftigt hat, wird wissen, dass es nicht das Einfachste ist, zu prüfen, welche Anforderungen für welches Unternehmen überhaupt gelten. Diese umzusetzen und nachzuweisen ist aufwendig, aber es soll sich lohnen. Wer nicht PCI-DSS konform ist, kann unter Umständen damit rechnen, dass B2B Verbindungen abbrechen werden, Partnerschaften gar nicht erst zustande kommen oder das informierte Kunden abspringen und sich anderwärtig umschauen. Darüber hinaus ist nicht zu vergessen, dass das einmalige Erreichen der Konformität mit PCI DSS nicht ausreichend ist, um dauerhaft zertifiziert zu bleiben. Payment Card Industry Data Security Standards ist als dauerhafter Prozess zu verstehen und dementsprechend muss sich auch fortlaufend um die Erfüllung der Mindestanforderung gekümmert werden.

Die Anforderungen werden alle drei Jahre überarbeitet und veröffentlicht. Wer in der Zwischenzeit auf dem Laufenden bleiben möchte und Aktualisierungen nicht verpassen mag, der sollte die Option in Erwägung ziehen, Mitglied der PCI Security Standard Council zu werden.

Sei in guter Gesellschaft

MasterCard
VISA
SEPA
SWIFT
PCI Security Standards Council

Sei in guter Gesellschaft

MasterCard
VISA
SEPA
SWIFT
PCI Security Standards Council

Newsletter abonnieren und als PayPodo-Insider die Vorteile genießen!

Du möchtest stets alle Neuigkeiten von PayPodo erhalten? Dann bist du hier genau richtig! Melde dich noch heute an und verpasse nichts mehr!

PayPodo operates under CustomHash AG, a company registered in Germany with Legal Entity Identifier 391200VTCFSYUNN7YA32 and with offices at Oberwallstraße 6/4, 10117 Berlin, Germany. CustomHash AG (Certificate) is an authorized Electronic Money Institution intermediary of Verified Payments UAB (Licence No. 27), which is a licensed Electronic Money Institution supervised by Bank of Lithuania under the Electronic Money Regulations.