Im Jahr 2020 wurden 27 % aller Zahlungen mit Kreditkarten getätigt, laut einer Studie der Federal Reserve Bank of San Francisco. Dies war der höchste Stand seit Beginn der Studie im Jahr 2016. Debitkarten machten 28 % aus. Die Nutzung von Bargeld machte 19 % aller Zahlungen aus und sank um sieben Prozentpunkte im Vergleich zu 2019. Andere Zahlungsinstrumente, einschließlich ACH-Zahlungen, Zahlungen mit Bankkontonummern, Online-Banking-Rechnungszahlungen und Prepaid-Karten, machten 26 % aus.

Die Annahme von Zahlungskarten bedeutet, dass Ihr Unternehmen den Payment Card Industry Data Security Standards (PCI DSS) entsprechen muss, um Kundendaten zu schützen.

Dieser Artikel behandelt die Grundlagen von PCI DSS und Compliance, um Ihnen zu helfen, die wesentlichen Elemente des Rahmenwerks zu verstehen und wie es auf Ihr Unternehmen angewendet werden kann.

Was ist PCI DSS und was bedeutet PCI DSS?

PCI DSS steht für Payment Card Industry Data Security Standard (Datensicherheitsstandard der Kreditkartenindustrie). Dieses Rahmenwerk ist eine Reihe von Sicherheitsanforderungen für Händler und Dienstleister, die Kartendaten speichern, verarbeiten, übertragen oder die Sicherheit der Kartendaten beeinflussen könnten.

PCI DSS wird vom PCI Security Standards Council (PCI SSC) verwaltet und kontrolliert, einem unabhängigen Gremium, das von den führenden Kreditkartenmarken wie Visa, MasterCard, American Express, Discovery und JCB gegründet wurde. Die Kreditkartenmarken sind für die Durchsetzung der Compliance zuständig.

Ist PCI DSS ein Gesetz?

Auch wenn PCI keine gesetzliche Vorschrift ist, ist es Teil einer vertraglichen Vereinbarung zwischen einer Acquirer-Bank und den Kreditkartenunternehmen, mit denen sie zusammenarbeiten. Da Acquirer-Banken bei Nichteinhaltung durch die Kreditkartenmarken haftbar sind, bestimmen sie, wie ihre Händler ihre PCI-DSS-Compliance nachweisen müssen, und werden wahrscheinlich Strafen an sie weitergeben.

Darüber hinaus wurden in einigen Bundesstaaten wie Nevada, Minnesota und Washington bestimmte Teile von PCI DSS in staatliche Gesetze integriert.

Was ist PCI-DSS-Compliance?

PCI-DSS-Compliance bedeutet, mit Ihren Kunden oder Acquirer-Banken zusammenzuarbeiten, um zu bestimmen, wie Ihr Service die Kartendaten beeinflussen könnte, genau zu bestimmen, welche PCI-DSS-Anforderungen Ihre Organisation umsetzen muss, und die im PCI-DSS-Rahmenwerk aufgeführten Sicherheitskontrollen einzuhalten.

Diese Anforderungen umfassen eine breite Palette an betrieblichen und technischen Kontrollen, die nicht nur die Art und Weise beeinflussen, wie die Daten der Karteninhaber gespeichert, verarbeitet oder übertragen werden, sondern auch die Sicherheit der an diesen Prozessen beteiligten Maschinen und Netzwerke sowie des für die Verwaltung dieser Kontrollen verantwortlichen Personals.

Die 12 Anforderungen sind:

1. Netzwerksicherheitskontrollen installieren und pflegen: Diese erste Anforderung betrifft hauptsächlich die Sicherheit Ihres Karteninhaber-Datennetzwerks. Die Implementierung von Netzwerkkonponenten gemäß einem Konfigurationsstandard, die Festlegung von Firewall-Regeln, um nur den für die Geschäftstätigkeit erforderlichen Datenverkehr zuzulassen, und die Implementierung von Netzwerksicherheitskontrollen wie der internen Netzwerksegmentierung und der Anforderung einer persönlichen Firewall-Software auf den Arbeitsplätzen.
2. Sichere Konfigurationen für alle Systemkomponenten anwenden: Bedingung 2 betrifft speziell die Implementierung der Systeme in Ihrer Karteninhaber-Datenumgebung. Netzwerke, Server und andere Ressourcen, die in das Netzwerk integriert sind, müssen vor ihrer Implementierung sicher konfiguriert werden, indem Konfigurationsstandards wie CIS oder die Dokumentation des Anbieters verwendet werden. Durch die Verwendung von Implementierungsleitlinien wird sichergestellt, dass alle Standard-IDs oder -Passwörter des Anbieters aus den Systemen entfernt werden, bevor sie in Ihre Karteninhaber-Datenumgebung integriert werden.
3. Gespeicherte Kontodaten schützen: Bedingung 3 bezieht sich speziell auf den Schutz gespeicherter Karteninhaberdaten. Diese Bedingung gibt an, welche Daten gespeichert werden dürfen und welche Kontrollen zur sicheren Speicherung der Daten erfolgen müssen, einschließlich Verschlüsselungsanforderungen, Schlüsselmanagement, einschließlich der Verantwortlichkeiten der Schlüsselverwalter und wie die Daten der Karteninhaber sicher gelöscht werden, wenn sie gelöscht oder nach Ablauf der Aufbewahrungsfristen gelöscht werden.
4. Karteninhaberdaten bei der Übertragung über offene und öffentliche Netzwerke mit starker Kryptographie schützen: Bedingung 4 betrifft die Sicherheit der Karteninhaberdaten während der Übertragung. Zu den spezifischen Anforderungen gehört die Verwendung starker Verschlüsselung, wenn Karteninhaberdaten über das Internet übertragen werden, sowie die sichere Übertragung von Daten über Endbenutzer-Messaging-Technologien und drahtlose Netzwerke.
5. Alle Systeme und Netzwerke vor Schadsoftware schützen: Bedingung 5 bezieht sich auf die Verwendung von Antivirensoftware auf allen Servern und Arbeitsplätzen, die als allgemein betroffen von Schadsoftware angesehen werden, und wie die Überwachung für Systeme durchgeführt wird, die als nicht allgemein betroffen von Schadsoftware angesehen werden. Diese Bedingung umfasst Kontrollen in Bezug auf die Häufigkeit der Scans, die Unfähigkeit der Benutzer, Antivirensoftware zu deaktivieren, und die ordnungsgemäße Protokollierung aller Antivirensoftware.
6. Sichere Systeme und Software entwickeln und pflegen: Bedingung 6 dreht sich um die Sicherheit der Softwareentwicklungsprozesse und die Gewährleistung, dass Systeme zeitnah gepatcht werden. Diese Bedingung umfasst Kontrollen wie die Schulung der Entwickler in sicherem Code, den Schutz von Webanwendungen vor gängigen Sicherheitslücken und die Installation kritischer Sicherheitspatches auf den Systemen innerhalb eines festgelegten Zeitraums.
7. Den Zugriff auf Systemkomponenten und Karteninhaberdaten nach geschäftlichen Erfordernissen einschränken: Bedingung 7 bezieht sich auf die logische Zugangskontrolle. Die Anforderungen drehen sich speziell darum, den Zugriff nur für geschäftliche Zwecke zu autorisieren und eine standardmäßige Ablehnung für alle Zugriffe vorzusehen, die nicht ausdrücklich als autorisiert definiert sind.
8. Benutzer identifizieren und den Zugang zu Systemkomponenten authentifizieren: Bedingung 8 umfasst Authentifizierungssteuerungen und Anforderungen wie Zugangsüberprüfungen, schnelle Zugangsaufhebungen und Passwortanforderungen. Die Umsetzung von Konfigurationen wie Sitzungstimeouts, Passwortkomplexität und Benutzerzugangsbeschränkungen für geteilte Konten.
9. Den physischen Zugang zu Karteninhaberdaten einschränken: Bedingung 9 dreht sich um die physische Sicherheit Ihrer Karteninhaberdatenumgebung, einschließlich Büros, Rechenzentren und der Verwaltung physischer Medien. Stellen Sie sicher, dass physische Sicherheitskontrollen vorhanden sind, wie Besuchermanagement, Zugangskontrollmechanismen und eine ordnungsgemäße Verwaltung physischer Medien, die Karteninhaberdaten enthalten.
10. Protokollieren und überwachen Sie alle Zugriffe auf Systemkomponenten und Karteninhaberdaten: Bedingung 10 umfasst Protokollierungs- und Überwachungssteuerungen wie spezifische Sicherheitsmetriken, die protokolliert, gemeldet und von einem Informationssicherheitsteam gelöst werden müssen. Die rechtzeitige Erkennung und Reaktion auf diese Sicherheitsereignisse ist erforderlich und durch Kontrollen wie die Konfiguration der Protokollierung für alle betroffenen Systeme, die 24/7-Überwachung von Ereignissen durch das Personal und die Einrichtung eines Prozesses zur Reaktion auf Ereignisse abgedeckt.
11. Regelmäßig die Sicherheit von Systemen und Netzwerken testen: Bedingung 11 enthält Steuerungen im Zusammenhang mit der Einrichtung eines Vulnerability-Management-Prozesses. Zu den Steuerungen gehören die Durchführung vierteljährlicher interner und externer Schwachstellenscans und ein jährlicher Penetrationstest.
12. Die Informationssicherheit mit organisatorischen Richtlinien und Programmen unterstützen: Bedingung 12 enthält Steuerungen im Zusammenhang mit der operativen Sicherheit Ihrer Organisation, wie die Verwaltung von Richtlinien und Verfahren, die Risikobewertungsmethode und die Protokolle zur Reaktion auf Vorfälle.

Ist PCI-DSS-Konformität obligatorisch?

Ja. Die PCI-DSS-Konformität ist für jeden Händler oder Dienstanbieter, der Karteninhaberdaten verarbeitet, speichert, überträgt oder die Sicherheit dieser Daten beeinflussen könnte, unabhängig von der Größe und dem Umfang Ihres Unternehmens, obligatorisch.

Ein kleines Unternehmen, das 100 Kartentransaktionen pro Jahr abwickelt, muss sich an PCI-DSS halten, ebenso wie ein großes Unternehmen, das 1 Million Transaktionen abwickelt.

Die PCI-Konformität für ein kleines Unternehmen wird jedoch etwas anders sein als für eine große Organisation.