Sorry, you need to enable JavaScript to visit this website.
Vielen Dank für Ihre Kontaktanfrage. Wir werden uns bei Ihnen schnellstmöglich zurückmelden.

PCI-DSS

Alle Lexikon

PCI DSS – der Payment Card Industry Security Standards Council / PCI DSS

Seit 2006 besteht der PCI SSC (Payment Card Industry Security Standards Council) mit dem Ziel die PCI-Sicherheitsstandards weiterzuentwickeln, darüber aufzuklären und diese zu verwalten. Das SSC wurde begründet von den Kreditkartenunternehmen American Express, Discover Financial Services, JCB International, MasterCard Worldwide und Visa Inc.

Alle Gründungsmitglieder verpflichten sich darauf den PCI DSS (Payment Card Industry Security Data Security Standard) als technische Voraussetzung in die Konformitätsprogramme zur Datensicherheit des jeweiligen Unternehmens zu integrieren. Diese gelten also auch für alle Dienstleister und Unternehmen, die mit den Mitgliedsunternehmen Kreditkartenabwicklungen vornehmen. Dies bedeutet diejenigen, die Kreditkarten-Transaktionen speichern, übermitteln oder abwickeln, müssen das Regelwerk erfüllen.

Somit unterliegen auch alle Online-Shopbetreiber und E-Commerce-Unternehmen, die die Kreditkartenzahlung anbieten möchten, diesen Konformitätsregelungen. Da die technische Umsetzung der Kriterien sehr aufwendig ist und die Zertifizierung eines einzelnen Shops selten lohnt, ist der gängige Weg über einen Payment Service Provider mit PCI DSS-konformen Payment-Plugins.

Die Sicherheitsanforderungen des PCI-DSS in einer zusammengefassten Übersicht:

1. Karteninhaberdaten werden nur in verschlüsselter Form über das öffentliche Netz übertragen
2. Ständige Überprüfung und Verfolgung der Zugriffe auf Karteninhaberdaten und Netzwerk-Ressourcen
3. Installation, Einrichtung und regelmäßige Aktualisierung der Firewall zum Schutz von Daten
4. Entwicklung und Verwendung sicherer Systeme und Anwendungen
5. Schutz der gespeicherten Daten: Keine unnötige Abspeicherung der Transaktions- und Kreditkartendaten wie bswp. vollständige Daten, Kartennummer, CVV2, usw.
6. Keine Verwendung der von Lieferanten/Herstellern vorgegebenen System-Passwörter bzw. anderer Sicherheits-Parameter
7. Nutzung und regelmäßige Aktualisierung von Anti-Viren-Programmen
8. Unternehmensrichtlinien in Sachen Informationssicherheit
9. Zuweisung von eindeutigen Kennungen für allen Personen mit Zugriff zu einem Computersystem
10. Einschränkung sensibler Karteninhaberdaten durch restriktive Zugriffsberechtigungen
11. Laufende Überwachung der Sicherheitssysteme und -prozesse
12. Beschränkung des Datenzugriffs