PCI-Geschichte: Wie der Standard entstanden ist
Mit der Kreditkarte einen Latte in Ihrem örtlichen Café zu kaufen, dauert nur Sekunden.
Doch es gab eine Zeit, in der Kartenlesegeräte nicht existierten und Unternehmen Kreditkartenunternehmen anrufen mussten, um Ihre Kartendaten zu überprüfen. Bis die Transaktion genehmigt wurde, war Ihr Kaffee kalt und Ihre Geduld auf die Probe gestellt.
Der Payment Card Industry Data Security Standard (PCI DSS) ist teilweise einer der Gründe für den heute vereinfachten und sichereren Kartenverwendungsvorgang bei Transaktionen.
PCI DSS entstand aus dem Bedürfnis nach einem international einheitlichen Standard, um Kartentransaktionen sowohl für das Unternehmen als auch für den Kunden sicherer zu machen.
Im Folgenden betrachten wir die Geschichte von PCI, was zu seiner Entstehung führte und die Zukunft der PCI-Konformität.
Während PCI DSS ein bekannter Standard für alle ist, die an Kartentransaktionen beteiligt sind, hat er seit seinem Debüt in den frühen 2000er Jahren einen weiten Weg zurückgelegt. Im Folgenden gehen wir darauf ein, was zum PCI DSS führte und wie er sich entwickelt hat.
Was ist PCI DSS?
Der Payment Card Industry Data Security Standard (oder PCI DSS) legt Sicherheitsrichtlinien für Unternehmen fest, die Karteninhaberdaten speichern, verarbeiten und übertragen. Die Einhaltung des PCI DSS ist für alle Händler oder Dienstleister erforderlich, die Kartentransaktionen und Karteninhaberdaten abwickeln.
Die Einhaltung des PCI DSS bedeutet, dass 12 Anforderungen erfüllt werden müssen, die Maßnahmen zur Netzwerksicherheit und interne Sicherheitskontrollen umfassen, wie z. B. die Beschränkung des Benutzerzugriffs auf Karteninhaberdaten und die Aufrechterhaltung von Sicherheitspolicies.
Der ultimative Leitfaden zu PCI DSS
Erfahren Sie alles, was Sie über die Anforderungen, den Prozess und die Kosten der PCI-Zertifizierung wissen müssen.
Wer hat PCI entwickelt?
Die Gründungsmitglieder von PCI sind American Express, Discover Financial Services, JCB International, Mastercard und Visa. Zusammen bilden diese fünf Mitglieder den Payment Card Industry Security Standards Council (PCI SSC).
Wann wurde PCI DSS eingeführt?
PCI DSS wurde erstmals im Dezember 2004 eingeführt. Davor war Visa das erste große Zahlungskartenunternehmen, das 2001 seine eigenen Sicherheitsstandards für Unternehmen, die Online-Zahlungen akzeptieren, festlegte.
Andere Zahlungsunternehmen folgten diesem Beispiel, aber jedes Zahlungsunternehmen begann, seine eigenen Sicherheitsstandards zu verlangen. Händler hatten Schwierigkeiten, die Compliance-Anforderungen zu erfüllen, um mehrere Kartenmarken zu akzeptieren.
Die Gründungsmitglieder des PCI SSC kamen zusammen, um eine einheitliche Methode zur Regulierung der Zahlungssicherheit unter Händlern und Dienstleistern festzulegen. Dies führte zur ersten Version des PCI DSS, die als PCI DSS 1.0 bezeichnet wurde.
Warum wurde PCI entwickelt?
PCI wurde aufgrund der Einführung des Online-Shoppings und des zunehmenden Kreditkartenbetrugs in den späten 1990er und frühen 2000er Jahren entwickelt.
Als Kleinunternehmen und große Unternehmen gleichermaßen hastig begannen, Online-Shops zu eröffnen, stand die Zahlungssicherheit nicht oft im Vordergrund. Die fehlenden Sicherheitsmaßnahmen, die heute auf E-Commerce-Websites üblich sind, wie die Verwendung von Firewalls und die Verschlüsselung von Kartenhalterdaten, waren in den frühen Jahren nicht so bekannt oder verstanden.
Laut CyberSource verloren nordamerikanische Online-Händler allein im Jahr 2000 durchschnittlich 3,6 % ihres Umsatzes durch gestohlene oder betrügerische Kreditkarten.
Mit beiden Unternehmen und Zahlungskartenunternehmen, die die Auswirkungen von Kreditkartenbetrug im E-Commerce zu spüren bekamen, schlossen sich Branchenriesen wie Visa, Mastercard und American Express zusammen, um einen globalen Sicherheitsstandard zu schaffen, der Kartenzahlungen schützt und sicherere Praktiken für Kartenhalterdaten fördert.
Empfohlene Lektüre
Warum ist PCI-Compliance wichtig?
Eine Zeitachse von PCI
Von der ersten Version des PCI DSS 1.0 bis heute hat sich der internationale Standard weiterentwickelt, um mit dem Stand des E-Commerce und ausgeklügelteren Cyber-Bedrohungen Schritt zu halten.
Im Folgenden tauchen wir in die Zeitachse des PCI DSS seit seiner Entstehung ein und werfen einen Blick darauf, was noch kommt.
- Dezember 2004: PCI DSS 1.0 wird eingeführt.
- September 2006: PCI DSS v1.1 erfordert Firewalls für webbasierten Anwendungen und eine professionelle Überprüfung von benutzerdefiniertem Anwendungscode.
- Oktober 2008: PCI DSS v1.2 umfasst neue Anforderungen für Antivirensoftware und drahtlose Netzwerksicherheit.
- August 2009: PCI DSS v1.2.1 sorgt für Klarheit und Konsistenz zwischen Standards und Dokumentation.
- Oktober 2010: PCI DSS v2.0 führt Richtlinien zur Datenverschlüsselung und Benutzerzugangsbeschränkungen ein.
- November 2013: PCI DSS v3.0 bietet Informationen zu neuen Cloud-basierten Technologien und Richtlinien für Penetrationstests.
- April 2015: PCI DSS v3.1 bietet ein kurzfristiges Update, um Händlern und Dienstleistern die Einhaltung von PCI DSS v3.2 zu ermöglichen.
- April 2016: PCI DSS v3.2 führt Richtlinien zur Multi-Faktor-Authentifizierung (MFA) und internen und externen Scans ein.
- Mai 2018: PCI DSS v3.2.1 bietet Klarstellungen und überarbeitet einige der Standardanforderungen des ursprünglichen PCI DSS 1.0.
- März 2022: PCI DSS v4.0 umfasst erweiterte MFA-Anforderungen, klar definierte Rollen und Verantwortlichkeiten für jede Anforderung und neue Anforderungen für E-Commerce und Phishing, um fortlaufende Bedrohungen zu adressieren.
- März 2024: PCI DSS v3.2.1 wird außer Dienst gestellt und durch v4.0 ersetzt.*
- März 2025: Die zukünftigen PCI DSS v4.0-Anforderungen werden offiziell wirksam.*
*Hinweis: Diese Daten basieren auf Prognosen des PCI SSC und können sich ändern.
Zusätzliche PCI SSC-Standards
Im Laufe der Jahre hat der PCI SSC zusätzliche Standards veröffentlicht, die Aspekte der Kartendatensicherheit abdecken, die im PCI DSS nicht enthalten sind.
Payment Application Data Security Standard (PA-DSS)
PA-DSS wurde erstellt, um Sicherheitsrichtlinien bereitzustellen, die Unternehmen wie Softwareanbieter dabei unterstützen, konforme Zahlungsanwendungen für Händler und Dienstleister zu entwickeln.
Im Gegensatz zu PCI DSS, das die Einhaltung von jedem Unternehmen verlangt, das Kartendaten speichert, verarbeitet und überträgt, gilt PA-DSS nur für Unternehmen, die Zahlungsanwendungen erstellen und verkaufen.
PCI SSC hat angekündigt, dass PA-DSS im Oktober 2022 außer Dienst gestellt und durch das PCI Software Security Framework (SSF) ersetzt wird. Dieses Rahmenwerk wird einen stärkeren Fokus auf die Sicherheitspraktiken rund um Kartentransaktionssoftware legen.
Payment Card Industry PIN Transaction Security (PCI PTS)
PIN-Transaktionssicherheitsgeräte (PTS) werden am Point of Interaction (POI) verwendet, um Kartendaten zu erfassen und die Genehmigung zur Verwendung während der Transaktion zu validieren.
PCI PTS legt Anforderungen fest, nach denen Produkte von Anbietern bewertet werden, um die Genehmigung für POI-Geräte zu erhalten.
PCI PTS-Standards werden alle drei Jahre aktualisiert. Während dieser Zyklen werden PTS-Geräte in Drittlabors zur Bewertung nach den aktuellen PCI PTS-Anforderungen eingereicht. Nach Genehmigung wird ein Genehmigungsschreiben (LOA) ausgestellt, um die Einhaltung der aktuellen PCI PTS-Version nachzuweisen.
Payment Card Industry Point-to-Point Encryption Standard (PCI P2PE)
Dieser Standard definiert Anforderungen, wie Unternehmen Kartendaten sicher verschlüsseln und Verschlüsselungs- und Entschlüsselungsgeräte verwalten sollten.
Wie sich das PCI entwickelt hat
Seit seiner Einführung im Jahr 2004 ist PCI DSS gewachsen und umfasst viele Updates, die mit technologischen und sicherheitstechnischen Fortschritten wie Firewalls und Antivirensoftware Schritt halten.
Die PCI DSS-Updates haben auch die Bedeutung der PCI-Konformität betont und den Fokus auf interne Sicherheitspraktiken und Schulungen zur Sicherheitsbewusstseinsbildung für Mitarbeiter gelegt.
Der PCI SSC befindet sich inmitten eines neuen Versionsupdates — PCI DSS v4.0 — das im ersten Quartal 2024 in Kraft treten soll. Einige der neuen Anforderungen werden jedoch erst ab dem 31. März 2025 verpflichtend.
Der neue Standard wurde offiziell am 31. März 2022 veröffentlicht und wird Händlern und Dienstleistern Zeit geben, notwendige Anpassungen vorzunehmen, bis die aktuelle Version (PCI DSS v3.2.1) am 31. März 2024 abgeschafft wird.
PCI DSS v4.0 umfasst eine Vielzahl von Änderungen, die darauf abzielen, mit neuen Bedrohungen und Technologien Schritt zu halten. Bemerkenswerte Änderungen umfassen:
- Aktualisierte Passwortanforderungen
- Erweiterte Anforderungen an die Multi-Faktor-Authentifizierung (MFA)
- Klar definierte Rollen und Verantwortlichkeiten für jede Anforderung
- Neue Anforderungen im Bereich E-Commerce und Phishing zur Bekämpfung fortlaufender Bedrohungen
Wie die Geschichte von PCI zeigt, wird sich die Zukunft der Compliance weiterhin gemeinsam mit neuen Technologien und Zahlungsmöglichkeiten entwickeln.
Unternehmen wie Secureframe können dazu beitragen, dass Ihr Unternehmen stets auf dem neuesten Stand der PCI DSS-Versionen bleibt.
Mit PCI DSS-Experten im eigenen Haus werden Sie über alle PCI SSC-Updates informiert, die Sie betreffen könnten. Die automatische Beweissammlung von Secureframe sendet Echtzeit-Benachrichtigungen über etwaige Abweichungen, sodass Sie die PCI-Compliance mit weniger Stress für Ihr Team aufrechterhalten können.
Fordern Sie eine Demo an, um zu sehen, wie Secureframe Ihnen helfen kann, PCI-Compliance über Jahre hinweg zu erreichen und aufrechtzuerhalten.