PCI DSS: Schutz der Daten von Karteninhabern

Der Schutz von Finanzdaten ist für Unternehmen immer wichtiger geworden. Da die Gesellschaft bargeldlose Transaktionen akzeptiert und Unternehmen sich einer digitalen Transformation unterziehen, nimmt die Cyber-Bedrohungslandschaft weiter zu, was sowohl für Einzelpersonen als auch für Organisationen ein erhöhtes Risiko darstellt. Der Payment Card Industry Data Security Standard (PCI DSS) wurde zum Schutz sensibler Karteninhaberdaten geschaffen. Dies und andere Cybersicherheitsstandards und Frameworks helfen beim Schutz kritischer Daten.

Melissa Parsons
Technischer Redakteurin
PCI DSS - C-Risk

Was ist PCI DSS v.4.0?

Das Datensicherheitsstandard der Zahlungskartenbranche (PCI DSS) ist eine umfassende Reihe von Sicherheitsanforderungen, die sicherstellen sollen, dass Unternehmen, die mit Kreditkarteninformationen umgehen, eine sichere Umgebung aufrechterhalten. Der Payment Card Industry Security Standards Council, ein globales Forum, das den PCI-DSS-Standard entwickelt hat, wurde 2006 von großen Kreditkartenunternehmen wie American Express, Discover Financial Services, JCB International, MasterCard und Visa Inc. gegründet. PCI DSS gilt für alle Unternehmen, die Karteninhaberdaten verarbeiten, speichern oder übertragen, unabhängig von deren Größe oder Transaktionsvolumen.

Im Kern beschreibt PCI DSS die technischen und betrieblichen Anforderungen zum Schutz sensibler Finanzinformationen. Dazu gehören Netzwerksicherheitsmaßnahmen, Datenschutzprotokolle für Karteninhaber, Verfahren zum Umgang mit Sicherheitslücken, Maßnahmen zur Zugriffskontrolle, kontinuierliche Netzwerküberwachung und -tests sowie die Umsetzung robuster Richtlinien zur Informationssicherheit. Der vom PCI Security Standards Council verwaltete Standard ist kein Kontrollkästchen für die einmalige Einhaltung der Vorschriften, sondern ein kontinuierlicher Bewertungsprozess, Sanierung, und Berichterstattung. Die PCI-DSS-Compliance ist zwar nicht gesetzlich vorgeschrieben, wird aber häufig durch Verträge zwischen Händlern und Zahlungsabwicklern oder Banken vorgeschrieben und dient in unserer zunehmend digitalen Welt als wichtiger Schutz vor Kreditkartenbetrug und Datenschutzverletzungen.

 

PCI DSS-Anforderungen

Das PCI-DSS-Norm Die Dokumentation bietet einen allgemeinen Überblick über die Anforderungen, die Unternehmen zum Schutz von Kontodaten einhalten sollten. Sie ist in 12 übergeordnete Anforderungen unterteilt.

Gemäß der Norm sind dies die Mindestanforderungen für Kartenprozessoren. Je nach Region oder anderen regulatorischen und rechtlichen Anforderungen sind zusätzliche Kontrollen und Methoden zur Risikominderung erforderlich.

 

PCI DSS 12-Anforderungen

Das Datensicherheitsstandard der Zahlungskartenbranche Umrisse 12 Anforderungen die Unternehmen einhalten müssen, um die Einhaltung der Vorschriften und die Sicherheit der Karteninhaberdaten zu gewährleisten. Diese Anforderungen bilden den Rahmen des Standards mit dem Ziel, sensible Finanzinformationen zu schützen.

  1. Installation und Wartung von Netzwerksicherheitskontrollen
  2. Wenden Sie sichere Konfigurationen auf alle Systemkomponenten an
  3. Schützen Sie gespeicherte Kontodaten
  4. Schützen Sie Karteninhaberdaten mit starker Kryptografie bei der Übertragung über offene, öffentliche Netzwerke
  5. Schützen Sie alle Systeme und Netzwerke vor bösartiger Software
  6. Entwicklung und Wartung sicherer Systeme und Software
  7. Beschränken Sie den Zugriff auf Systemkomponenten und Karteninhaberdaten je nach geschäftlichem Bedarf
  8. Identifizieren Sie Benutzer und authentifizieren Sie den Zugriff auf Systemkomponenten
  9. Beschränken Sie den physischen Zugriff auf Karteninhaberdaten
  10. Protokollieren und überwachen Sie den gesamten Zugriff auf Systemkomponenten und Karteninhaberdaten
  11. Testen Sie regelmäßig die Sicherheit von Systemen und Netzwerken
  12. Unterstützen Sie die Informationssicherheit mit organisatorischen Richtlinien und Programmen

PCI-DSS-Bereich

Die Einhaltung von PCI DSS ist für Unternehmen verbindlich, die Karteninhaberdaten und/oder sensible Authentifizierungsdaten speichern, verarbeiten oder übertragen oder die die Sicherheit der Karteninhaberdatenumgebung beeinträchtigen könnten. Dazu gehören Händler, Verarbeiter, Acquirer, Emittenten und andere Dienstleister. Alle Unternehmen, die Karteninhaberdaten verarbeiten, speichern oder übertragen, können in den Geltungsbereich fallen, unabhängig von ihrer Größe oder der Anzahl der von ihnen verarbeiteten Transaktionen.

In der Leitfaden für PCI-DSS-Scoping und Netzwerksegmentierung Durch die vom PCI Security Standards Council veröffentlichte Dokumentation können sich Unternehmen ein klareres Bild von Umfang und Segmentierung im Hinblick auf die PCI-DSS-Konformität machen. Dem PCI Security Standards Council zufolge ist es eine bewährte Methode, vor der Entscheidung, was in den Geltungsbereich fällt oder nicht, von der Annahme auszugehen, dass alles ist im Geltungsbereich.

 

Konsequenzen bei Nichteinhaltung

Die Nichteinhaltung des Datensicherheitsstandards der Zahlungskartenindustrie kann schwerwiegende Folgen haben, insbesondere im Falle eines Cyberangriffs. Unternehmen, die diese Standards nicht einhalten, können mit einer Reihe von Strafen rechnen und langfristige Auswirkungen haben, die den Betrieb und die Rentabilität erheblich beeinträchtigen können.

Zu den unmittelbaren Folgen einer Nichteinhaltung der Vorschriften gehören:

  • Betriebsstörungen
  • Finanzielle Strafen
  • Höhere Transaktionsgebühren
  • Klagen

Zu den langfristigen Folgen einer Nichteinhaltung der Vorschriften gehören:

  • Rufschädigung bei Finanzinstituten und Kunden
  • Langfristige finanzielle Auswirkungen
  • Verstärkte behördliche Kontrolle