MulticheckMulticheck Domainsuche
Menü anzeigen

PCI-DSS

Definitionen und Erklärungen zu PCI-DSS

Startseite > Glossar > PCI-DSS

PCI-DSS – Sicherheitsstandard für den Schutz von Kreditkartendaten

PCI-DSS (Payment Card Industry Data Security Standard) ist ein weltweit gültiger Sicherheitsstandard, der von den großen Kreditkartenorganisationen (u.a. Visa, MasterCard, American Express, Discover und JCB) entwickelt wurde. Der Standard definiert verbindliche Anforderungen zum Schutz von Kreditkartendaten während der Speicherung, Verarbeitung und Übertragung.

Ziele von PCI-DSS

Hauptziel des PCI-DSS-Standards ist es, sensible Kreditkartendaten vor Datendiebstahl und Missbrauch zu schützen. PCI-DSS umfasst dabei technische, organisatorische und administrative Anforderungen, um Sicherheitsrisiken zu minimieren.

Die zentralen Ziele umfassen:

  • Sicherstellung der Vertraulichkeit von Kreditkartendaten
  • Schutz vor Betrug und Identitätsdiebstahl
  • Reduzierung des Risikos von Datenverlusten und -lecks
  • Verbesserung der allgemeinen IT-Sicherheitsstandards

Wer muss PCI-DSS einhalten?

Der PCI-DSS-Standard betrifft alle Unternehmen, Händler und Dienstleister, die Kreditkartendaten verarbeiten, speichern oder übertragen. Das gilt unabhängig von der Größe des Unternehmens oder dem Umfang der Transaktionen:

  • Online-Shops und E-Commerce-Unternehmen
  • Point-of-Sale-Systeme (POS)
  • Zahlungsdienstleister und Zahlungsabwickler
  • Webhosting- und Cloud-Anbieter, die Zahlungsdaten verarbeiten oder speichern

Die 12 Anforderungen von PCI-DSS im Überblick

Der Standard definiert klare Anforderungen, die in sechs Bereichen gruppiert sind:

  1. Aufbau und Betrieb sicherer Netzwerke:
    • Installation und Pflege einer Firewall-Konfiguration
    • Keine Standard-Passwörter und Sicherheitseinstellungen
  2. Schutz gespeicherter Kartendaten:
    • Sicherer Umgang mit gespeicherten Kartendaten (z. B. Verschlüsselung)
    • Übertragung von Kartendaten stets verschlüsselt (TLS/SSL)
  3. Pflege eines Programms zur Schwachstellenverwaltung:
    • Regelmäßige Updates und Patches von Software
    • Verwendung und Aktualisierung von Antivirus-Software
  4. Umsetzung strikter Zugriffskontrollen:
    • Beschränkung des Zugriffs auf Kreditkartendaten nach dem Need-to-Know-Prinzip
    • Eindeutige Benutzeridentifikation für alle Personen mit Systemzugriff
    • Physischer Schutz der Zugänge zu Kreditkartendaten
  5. Regelmäßige Überwachung und Test der Netzwerke:
    • Protokollierung und Monitoring des Zugriffs auf Netzwerkressourcen und Kreditkartendaten
    • Regelmäßige Sicherheitstests (z. B. Penetrationstests)
  6. Pflege einer Informationssicherheitsrichtlinie:
    • Schriftliche Sicherheitsrichtlinien und regelmäßige Schulungen aller Mitarbeiter

Compliance mit PCI-DSS – Verfahren und Nachweise

Je nach Unternehmensgröße und Transaktionsvolumen müssen Unternehmen ihre Compliance nachweisen:

  • Self-Assessment Questionnaire (SAQ): Selbstauskunft bei kleineren Unternehmen mit geringem Transaktionsvolumen
  • PCI-DSS-Audit: Externe Sicherheitsprüfung bei Unternehmen mit höherem Transaktionsvolumen oder bei speziellen Sicherheitsanforderungen
  • Regelmäßige Scans: Durchführung externer und interner Schwachstellen-Scans durch zertifizierte Anbieter

Folgen bei Nichteinhaltung des PCI-DSS-Standards

  • Hohe Geldstrafen und Vertragsstrafen durch Kreditkartenorganisationen
  • Haftungsrisiken im Falle von Datenmissbrauch oder -verlust
  • Reputationsverlust und Vertrauensverlust bei Kunden und Partnern
  • Verlust der Berechtigung, Kreditkartenzahlungen entgegenzunehmen

Vorteile durch die Einhaltung von PCI-DSS

  • Verbesserter Schutz sensibler Daten und Kundeninformationen
  • Reduzierung des Betrugs- und Missbrauchsrisikos
  • Stärkung des Kundenvertrauens und der Marktposition
  • Minimierung rechtlicher Risiken und finanzieller Schäden im Schadensfall

Fazit

PCI-DSS ist ein essenzieller Sicherheitsstandard für jedes Unternehmen, das Kreditkartenzahlungen verarbeitet oder speichert. Die strikte Einhaltung der PCI-DSS-Anforderungen gewährleistet einen wirksamen Schutz sensibler Kreditkartendaten, minimiert Risiken und schafft Vertrauen bei Kunden und Partnern. Unternehmen sollten daher PCI-DSS ernst nehmen und kontinuierlich sicherstellen, dass die Anforderungen erfüllt werden.

Alle Angaben ohne Gewähr.

<-- PayloadPenetrationstest -->
Preise inkl. MwSt. Angebote sind zeitlich begrenzt verfügbar und teilweise an Mindestvertragslaufzeiten gebunden.