• blogangle-right
  • Wer muss PCI-konform sein?

Table of Contents

Wer muss PCI-konform sein?

  • June 30, 2022

Im Jahr 2019 gab es allein in den USA 39,6 Milliarden Kartentransaktionen und über 80 % der Verbraucher bevorzugen es, mit Karte zu zahlen anstatt mit Bargeld.

Dieser Anstieg der Kartentransaktionen führte zur Einführung des Payment Card Industry Data Security Standard (PCI DSS). Der Standard zielt darauf ab, Karteninformationen zu schützen und unbefugte Nutzung zu verhindern.

Falls Sie sich jemals gefragt haben: „Wer muss PCI-konform sein?“, lautet die Antwort: jedes Unternehmen, das Debit- oder Kreditkartenzahlungen akzeptiert — genau wie die an den 39,6 Milliarden Transaktionen beteiligten Unternehmen, die oben hervorgehoben wurden.

Obwohl diese Erklärung einfach erscheint, steckt weit mehr hinter der PCI-Konformität, als auf den ersten Blick ersichtlich ist.

Im Folgenden behandeln wir, wann PCI-Konformität erforderlich ist, für welche Arten von Unternehmen sie gilt und was passiert, wenn Sie nicht konform sind.

Kurze Übersicht: Was ist PCI DSS-Konformität?

Der Payment Card Industry Data Security Standard (PCI DSS) wird von Kreditkartenunternehmen vorgeschrieben, um die Daten der Karteninhaber zu schützen. Der Standard bietet Richtlinien für die sichere Speicherung, Übertragung und Verarbeitung von Kartenzahlungen.

Diese Sicherheitsrichtlinien sind in den 12 PCI DSS-Anforderungen enthalten. Jede Anforderung muss erfüllt werden, um PCI-Konformität zu erreichen.

Die 12 PCI DSS-Anforderungen:

  1. Installieren und Warten einer Firewall-Konfiguration zum Schutz von Karteninhaberdaten
  2. Verwenden Sie keine standardmäßigen Systempasswörter und anderen Sicherheitseinstellungen des Anbieters
  3. Schützen Sie gespeicherte Karteninhaberdaten
  4. Verschlüsseln Sie die Übertragung von Karteninhaberdaten über offene, öffentliche Netzwerke
  5. Verwenden und aktualisieren Sie regelmäßig Anti-Virus-Software oder -Programme
  6. Entwickeln und warten Sie sichere Systeme und Anwendungen
  7. Beschränken Sie den Zugriff auf Karteninhaberdaten nach betrieblichem Bedarf
  8. Weisen Sie jeder Person mit Computerzugriff eine eindeutige ID zu
  9. Beschränken Sie den physischen Zugriff auf Karteninhaberdaten
  10. Verfolgen und überwachen Sie alle Zugriffe auf Netzwerkressourcen und Karteninhaberdaten
  11. Testen Sie regelmäßig Sicherheitssysteme und -prozesse
  12. Pflegen Sie eine Richtlinie, die die Informationssicherheit für alle Mitarbeiter anspricht

Empfohlene Lektüre

Wie man PCI-konform wird

Ist PCI-Konformität erforderlich?

Ja. PCI-Konformität ist für jedes Unternehmen erforderlich, das Karteninhaberdaten verarbeitet, speichert oder überträgt — unabhängig von der Größe und dem Umfang Ihres Unternehmens.

Ein kleines Unternehmen, das 100 Kartentransaktionen im Jahr abwickelt, muss genauso wie ein Unternehmen auf Unternehmensebene, das 1 Million Transaktionen abwickelt, den PCI DSS einhalten.

Allerdings sieht die PCI-Konformität für ein kleines Unternehmen etwas anders aus als für ein Unternehmen auf Unternehmensebene. Wir werden diese Unterschiede weiter unten erläutern.

Wer muss PCI DSS einhalten?

PCI DSS gilt für jede Organisation, die Kartendaten akzeptiert, verarbeitet, speichert oder übermittelt. Der Standard gilt auch für jede Organisation, die die Handhabung, Speicherung oder Übertragung von Kartendaten beeinflusst.

Einfach gesagt, gilt PCI DSS für jedes Unternehmen, das Kredit- und Debitkartenzahlungen akzeptiert.

Der PCI DSS-Standard teilt Unternehmen in zwei Hauptkategorien: Händler und Dienstleister. Im Folgenden diskutieren wir die Unterschiede zwischen den beiden Kategorien.

PCI DSS für Händler

Ein Händler ist jedes Unternehmen, das Zahlungen mit einer Karte akzeptiert, die das Logo eines der fünf großen Kreditkartenunternehmen trägt: American Express, Visa, Mastercard, Discover und JCB.

Die Schritte zur Einhaltung von PCI DSS variieren je nachdem, welche der vier PCI-Konformitätsstufen für Ihr Unternehmen gelten. Diese Stufen werden durch die Anzahl der Kartentransaktionen bestimmt, die Ihr Unternehmen in einem Jahr abwickelt.

Hier ist eine Übersicht über die Händler-Konformitätsstufen:

  • Stufe 1: Händler, die jährlich über 6 Millionen Kartentransaktionen abwickeln
  • Stufe 2: Händler, die jährlich 1 Million bis 6 Millionen Transaktionen abwickeln
  • Stufe 3: Händler, die jährlich 20.000 bis 1 Million Transaktionen abwickeln
  • Stufe 4: Händler, die jährlich weniger als 20.000 Transaktionen abwickeln

PCI DSS für Dienstleister

Ein Dienstleister ist direkt an der Verarbeitung, Speicherung oder Übertragung von Kartendaten im Auftrag eines Händlers beteiligt.

Ein Unternehmen, das Dienstleistungen anbietet, die die Sicherheit von Kartendaten kontrollieren oder beeinflussen könnten, gilt ebenfalls als Dienstleister.

Häufige Beispiele für Dienstleister sind:

  • Zahlungsabwickler
  • Anbieter von verwalteten Point-of-Sale (POS) Systemen
  • Transaktionsabwickler
  • Zahlungsgateways
  • Webhosting-Unternehmen
  • Drittanbieter-Marketingfirmen
  • Anbieter, die POS-Wartung durchführen
  • Anbieter, die verwaltete Netzwerk-Firewall-Lösungen anbieten

Es gibt zwei Konformitätsstufen für Dienstleister, die durch die Anzahl der Transaktionen bestimmt werden, die sie speichern, verarbeiten oder übermitteln.

  • Stufe 1: Dienstleister, die jährlich mehr als 300.000 Kreditkartentransaktionen speichern, verarbeiten oder übermitteln
  • Stufe 2: Dienstleister, die jährlich weniger als 300.000 Kreditkartentransaktionen speichern, verarbeiten oder übermitteln

Ihre Dienstleister-Stufe bestimmt die Berichtsanforderungen, die Sie benötigen, um die Konformität nachzuweisen. Beispielsweise wird ein Dienstleister der Stufe 1 jährlichen Audits unterzogen, die von einem QSA durchgeführt werden, um die Konformität nachzuweisen, während ein Dienstleister der Stufe 2 ein jährliches SAQ D abschließt.

Was passiert, wenn Sie nicht PCI-konform sind?

Es gibt einige Konsequenzen für Unternehmen, die die PCI DSS nicht einhalten.

Am bemerkenswertesten ist, dass Sie die Möglichkeit verlieren könnten, Kartenzahlungen zu akzeptieren. Ihr Akquirer (auch bekannt als Ihre Akquirerbank) könnte sich dafür entscheiden, die Beziehung zu beenden, was dazu führt, dass Sie keine Kartenzahlungen mehr akzeptieren können.

Unternehmen können auch mit Bußgeldern und erhöhten Transaktionsgebühren konfrontiert werden.

Eine weitere mögliche Folge der Nichterfüllung ist eine Datenpanne. Da PCI DSS von Unternehmen verlangt, Sicherheitskontrollen aufrechtzuerhalten, um Kartendaten sicher zu halten, könnte Nichterfüllung bedeuten, dass Kartendaten anfällig für eine Panne sind.

Wenn Ihr Unternehmen eine Datenpanne bei Kartendaten erlebt, müssen Sie möglicherweise Validierungsanforderungen für eine höhere Konformitätsstufe erfüllen. Beispielsweise kann ein Unternehmen der Stufe 4, das eine Datenpanne erlebt, die Berichtsschritte eines Händlers der Stufe 1 befolgen müssen, was ein viel strengerer Prozess ist.

Empfohlene Lektüre

Warum ist PCI-Compliance wichtig?

Wie Secureframe Ihnen helfen kann, PCI-Compliance zu erreichen

PCI-konform zu werden, ist keine leichte Aufgabe.

Unser Team kann Ihnen helfen, die über 300 Sicherheitskontrollen und 12 Anforderungen zu bewältigen, um PCI-Compliance zu erreichen und aufrechtzuerhalten, und einige der Compliance-Belastungen von den Schultern Ihres Teams zu nehmen.

Fordern Sie noch heute eine Demo an, um mehr zu erfahren.