Karteninhaberdaten oder Informationen, die mit einer bestimmten Kredit- oder Debitkarte verbunden sind, sind für böswillige Akteure äußerst wertvoll, da sie damit Betrug und Diebstahl begehen können.
Tatsächlich war von 2017 bis 2019 und erneut im ersten Halbjahr 2022 Kreditkartenbetrug die häufigste Form des Identitätsdiebstahls.
PCI DSS hat neue Standards zum Schutz von Zahlungsdaten eingeführt, um diese illegalen Aktivitäten zu verhindern. Um diesen zu entsprechen, müssen Händler und Dienstleister verstehen, was als Karteninhaberdaten gilt und wie diese Daten gemäß PCI DSS geschützt werden.
PCI-Händler vs. Dienstleister
Bevor Sie Ihre PCI DSS-Stufe bestimmen, müssen Sie feststellen, in welche Kategorie Ihr Unternehmen fällt: Händler oder Dienstleister.
Händler sind Unternehmen, die Kartenzahlungen von einem der fünf Mitglieder des PCI Security Standards Council akzeptieren (American Express, Discover, JCB, MasterCard oder Visa).
Dienstleister sind keine Kartenmarken, können aber direkt in die Verarbeitung, Speicherung und Übertragung von Karteninhaberdaten für einen Händler involviert sein, was in der Regel die Datensicherheit der Kundenkarteninhaberdaten beeinflusst.
Dienstleister umfassen auch Unternehmen, die Dienstleistungen anbieten, die die Sicherheit von Karteninhaberdaten beeinflussen können. Beispiele für Dienstleister sind Managed Service Provider, die verwaltete Firewalls anbieten, und Hosting-Anbieter.
Kartenmarken teilen Händler und Dienstleister in verschiedene Berichtsebenen ein, basierend auf der Anzahl der Transaktionen, die sie in einem bestimmten Jahr durchführen. Schauen wir uns die Stufen für jede Gruppe unten an.
Karteninhaberdaten gemäß PCI DSS
Gemäß PCI DSS werden Karteninhaberdaten als vollständige Primärkonto-Nummer (PAN) definiert. Die folgenden Informationen — der Name des Karteninhabers, das Ablaufdatum und der Servicecode — werden ebenfalls als Karteninhaberdaten betrachtet, wenn sie zusammen mit der vollständigen PAN gehandhabt werden.
Gemäß Anforderung 3 des PCI DSS können Organisationen vollständige Hauptkontonummern (PAN), Karteninhabernamen, Ablaufdaten und Servicedaten speichern. Organisationen dürfen jedoch nach der Autorisierung keine sensiblen Authentifizierungsdaten speichern, es sei denn, es handelt sich um einen Aussteller.
Sensible Authentifizierungsdaten
Gemäß PCI DSS sind sensible Authentifizierungsdaten sicherheitsrelevante Informationen, die zur Authentifizierung von Karteninhabern und/oder zur Autorisierung von Zahlungstransaktionen verwendet werden. Beispiele umfassen Kartencode-/Wertüberprüfungen wie CVV2- und CVC2-Daten, vollständige Magnetstreifendaten oder deren Äquivalent auf einem Chip, PIN-Codes und PIN-Blöcke.
Diese zusätzlichen Datenelemente können im Rahmen einer Zahlungstransaktion übertragen oder verarbeitet werden, dürfen jedoch gemäß PCI DSS nach der Autorisierung nicht gespeichert werden, es sei denn, Sie sind ein Aussteller.