Sicher unterwegs im Online Handel mit PCI DSS

Sicherheitsstandard für die Aufbewahrung und Weiterverarbeitung sensibler Karteninhaberdaten

Sicherheit im Zahlungsverkehr und der Schutz von Kreditkarteninformationen und Transaktionsdaten ist Voraussetzung für das Vertrauen der Verbraucher und aller am Zahlungsprozess beteiligten Parteien.

Um dieses Vertrauen zu stärken und weiter auszubauen, spielt das Thema Sicherheit bei allen Kreditkartenorganisationen eine zentrale Rolle mit folgenden Zielen:

  • Schutz von Kreditkartendaten vor Diebstahl und Missbrauch
  • Abwehr von Angriffen aus dem Internet
  • Abwehr von technischer Manipulation der Systemumgebung
  • Reduzierung von Haftungsrisiken
  • Vermeidung von Reputationsschäden

Was ist der „Payment Card Industry (PCI) Data Security Standard“?

Um eine einheitliche Vorgehensweise bei der Umsetzung dieser Sicherheitsanforderungen zu ermöglichen, haben sich die Kreditkartenorganisationen Visa, MasterCard, American Express, Discover und JCB auf einen gemeinsamen Sicherheitsstandard geeinigt, den „Payment Card Industry (PCI) Data Security Standard (DSS)“ (aktuelle Version: 3.2, Stand April 2016).

PCI DSS umfasst sowohl technische als auch organisatorische Maßnahmen. Die Einhaltung dieser
zwölf Anforderungen ist von allen Akzeptanzstellen und Service Providern sicherzustellen und gegebenenfalls nachzuweisen:

  1. Installation und Wartung einer Firewall-Konfiguration zum Schutz von Kartendaten
  2. Keine vom Anbieter gelieferten Standardeinstellungen für Systemkennwörter und andere Sicherheitsparameter verwenden
  3. Schutz gespeicherter Kartendaten
  4. Verschlüsselung bei der Übertragung von Kartendaten über offene, öffentliche Netze
  5. Schutz sämtlicher Systeme vor Malware und regelmäßige Aktualisierung von  Antivirensoftware und Programmen
  6. Entwicklung und Wartung sicherer Systeme und Anwendungen
  7. Beschränkung des Zugriffs auf Karteninhaberdaten je nach Geschäftsinformationsbedarf
  8. Zugriff auf Systemkomponenten identifizieren und authentifizieren
  9. Physischen Zugriff auf Karteninhaberdaten beschränken
  10. Verfolgung und Überwachung des gesamten Zugriffs auf Netzwerkressourcen und Kartendaten
  11. Regelmäßiges Testen der Sicherheitssysteme und -prozesse
  12. Verwaltung einer Informationssicherheitsrichtlinie für das gesamte Personal

Was bedeuten die PCI-Datenschutz-Standards für Händler und Service Provider?

Händler und Service Provider sind verpflichtet, den „PCI Data Security Standard“ bei der Verarbeitung von Karten- und Transaktionsdaten einzuhalten. Konkret bedeutet dies, dass Sie einen Zertifizierungsprozess durchlaufen müssen.

Über Art und Umfang des Zertifizierungsablaufs entscheiden die jährliche Anzahl der durchgeführten Transaktionen, der Transaktionskanal (POS, E-Commerce oder MoTo) und die Tatsache, inwiefern Kreditkartendaten gespeichert werden. In Abhängigkeit der Level-Einstufung muss die Zertifizierung durch ein Audit von einem vom PCI Security Standards Council (SSC) akkreditierten Unternehmen durchgeführt werden.

Die nachfolgende Tabelle stellt die Anforderungen der Kartenorganisationen an Händlerbanken nach Anzahl und Art der Transaktionen der angeschlossenen Vertragsunternehmen dar:

Bedeutung der PCI-Datenschutz-Standards

Jetzt zertifizieren!

Haben Sie noch Fragen?

Unser PCI Competence-Center (deutsch- und englischsprachig) ist von montags bis freitags von 8 bis 18 Uhr erreichbar:

Telefon: +49 (0) 7805 91696 - 4856

E-Mail: support@pci.de

Diese Informationen als PDF-Datei finden Sie hier.