Wir empfehlen: Laden Sie unser KOSTENLOSES Whitepaper "Best Practices zur Vermeidung von Datenverlusten" herunter. Download

PCI DSS-Compliance: Alles, was Sie wissen müssen

Der Payment Card Industry Data Security Standard (PCI DSS) ist eine Sicherheitsanforderung, die Organisationen dabei hilft, ihre Zahlsysteme vor Datenverletzungen, Betrug und Diebstahl von Karteninhaberdaten zu schützen. Sie entstand aus der Notwendigkeit, die Sicherheitsanforderungen der weltweit größten Kartenanbieter zu standardisieren und anzugleichen: American Express, Discover, JCB, MasterCard und Visa. Gemeinsam gründeten die fünf Unternehmen den Payment Card Industry Security Standards Council (PCI SSC), der die Aufgabe hat, die Entwicklung von PCI DSS zu überwachen und zu fördern.

Der PCI-Datensicherheitsstandard ist zwar rechtlich nicht bindend und ersetzt weder Bezirks- noch Landes- oder Kommunalgesetze, wurde aber von Finanzinstituten weltweit als allgemein gültiger Standard angenommen. Das bedeutet, dass jede Organisation, die Kredit- oder Debitkartenzahlungen akzeptiert, egal ob persönlich, telefonisch oder online, den Standard einhalten muss.

PCI DSS Version 4.0 wurde am 31. März 2022 veröffentlicht. Ziel des aktualisierten Sicherheitsstandards für den Zahlungsverkehr ist es, auf neue Gefährdungen und Technologien einzugehen und die Entwicklung innovativer Methoden zur Bekämpfung neuer Bedrohungen für Kundenzahlungsdaten zu ermöglichen. Basierend auf dem Konzept des „Zero Trust“ führt PCI DSS 4.0 neue Bestimmungen ein, wie z. B. den zwingenden Einsatz automatisierter Mechanismen zum Schutz vor Phishing und Web Application Firewalls. Für die Version 3.2.1 des PCI DSS, die am 31. März 2024 außer Kraft tritt, gilt eine zweijährige Übergangsfrist.

PCI DSS besteht aus zwölf grundlegenden Konformitätsanforderungen und fast 200 zugehörigen Sicherheitskontrollen. Dazu gehören sowohl grundlegende Sicherheitsmaßnahmen wie der Einsatz von Firewalls, Antivirensoftware und die Änderung von Standardpasswörtern als auch komplexere Maßnahmen, die die Entwicklung und Pflege sicherer Netzwerke, Systeme und Anwendungen umfassen.

Für wen gilt PCI DSS?

PCI DSS gilt für alle Unternehmen, die an der Verarbeitung von Kartenzahlungen beteiligt sind, einschließlich Händlern, Verarbeitern, Akzeptanzstellen, Emittenten und Dienstleistern. Organisationen, die Karteninformationen und/oder sensible Authentifizierungsdaten speichern, verarbeiten oder übertragen, fallen ebenfalls unter den Geltungsbereich.

Unternehmen, die ihre Tätigkeiten an externe Zahlungsabwickler auslagern, sind dafür verantwortlich, dass die Kreditkartendaten weiterhin geschützt sind und dass die Drittparteien PCI DSS-konform sind.

Welche Art von Daten werden durch PCI DSS geschützt?

PCI DSS schützt zwei Kategorien von Daten: Karteninhaberdaten und sensible Authentifizierungsdaten. Karteninhaberdaten sind Informationen wie primäre Kontonummern, Name des Karteninhabers, Ablaufdatum der Karte und Servicecode. Zu den sensiblen Authentifizierungsdaten gehören dagegen vollständige Trackingdaten (Magnetstreifendaten oder entsprechende Daten auf einem Chip), PINs und PIN-Blöcke sowie Kartenprüfwerte (CAV2/CVC2/CVV2/CID).

Speicherung von Karteninhaberdaten

Gemäß PCI DSS-Anforderung 3.2 dürfen alle Daten, die unter die Kategorie der sensiblen Authentifizierungsdaten fallen, nicht gespeichert werden, auch wenn sie verschlüsselt sind. Alle empfangenen sensiblen Authentifizierungsdaten sollten nach Abschluss des Autorisierungsprozesses unwiederbringlich gelöscht werden.

Primäre Kontonummern können gespeichert werden, müssen aber überall unlesbar gemacht werden, auch auf tragbaren digitalen Medien, in Sicherungsdateien und Protokollen. Der PCI Security Standards Council empfiehlt eine schlüsselbasierende Kodierung, Index-Tokens und Pads, die Verwendung von Einweg-Hashes und eine Datenkürzung, um die Unkenntlichkeit zu erreichen.

Der Rat warnt jedoch, dass eine mit einem Hash versehene und eine gekürzte Version derselben Kontonummer verwendet werden kann, um die ursprüngliche Nummer zu rekonstruieren. Wenn ein Händler beides verwendet, müssen zusätzliche Sicherheitsmaßnahmen ergriffen werden, um zu verhindern, dass arglistige Unbefugte die Nummern miteinander in Verbindung bringen.

In der Zwischenzeit können Karteninhabernamen, Ablaufdaten und Service-Codes gespeichert werden und müssen nicht unlesbar gemacht werden, aber die Speicherung muss auf ein Minimum beschränkt werden. Außerdem müssen klare Richtlinien für die Datenaufbewahrung und -entsorgung festgelegt werden.

Zwölf primäre Anforderungen des PCI DSS

Der PCI DSS enthält eine Reihe von technischen und betrieblichen Anforderungen zum Schutz von Kontodaten. Sie sind in zwölf Anforderungen unterteilt, die zusammen fast 200 Sicherheitskontrollen umfassen:

  1. Installation und Pflege von Netzwerk-Sicherheitskontrollen
  2. Anwendung sicherer Konfigurationen auf alle Systemkomponenten
  3. Schutz der gespeicherten Kontodaten
  4. Schutz von Karteninhaberdaten durch starke Verschlüsselungsverfahren bei der Übertragung über offene, öffentliche Netzwerke
  5. Schutz aller Systeme und Netzwerke vor bösartiger Software
  6. Entwicklung und Pflege sicherer Systeme und Software
  7. Beschränkung des Zugriffs auf Systemkomponenten und Karteninhaberdaten nach dem Kriterium der geschäftlichen Notwendigkeit
  8. Identifizierung von Benutzern und Authentifizierung des Zugriffs auf Systemkomponenten
  9. Beschränkung des physischen Zugriffs auf Karteninhaberdaten
  10. Protokollierung und Überwachung des Zugriffs auf Systemkomponenten und Karteninhaberdaten
  11. Regelmäßige Durchführung von Tests zur Sicherheit von Systemen und Netzwerken
  12. Unterstützung der Informationssicherheit durch organisatorische Richtlinien und Programme

Der PCI DSS bietet neben einer detaillierten Beschreibung der einzelnen Anforderungen und der Gründe, warum diese erforderlich sind, auch Anleitungen dazu, wie sie getestet werden können und wie ihre Einhaltung gewährleistet werden kann. Neben Firewalls und Antivirensoftware können Unternehmen, die eine Verletzung der Vorschriften vermeiden wollen, auch strenge Zugangskontrollmaßnahmen und Richtlinien zur Informationssicherheit anwenden, um den Zugriff auf Kartendaten zu beschränken.

Zum Schutz gespeicherter Kontodaten können Unternehmen auf Data Loss Prevention (DLP) zurückgreifen. Diese Tools verhindern Datenverluste durch DLP-Richtlinien, die die Übertragung und Speicherung von Dateien mit sensiblen Informationen wie personenbezogenen Daten und Kontodaten identifizieren, überwachen und kontrollieren. DLP-Tools unterstützen die Einhaltung von Standards wie PCI DSS, aber auch von Datenschutzrichtlinien wie DSGVO oder HIPAA.

PCI DSS-Einhaltungsstufen

PCI DSS hat vier verschiedene Konformitätsstufen für Unternehmen festgelegt. Die Stufe hängt davon ab, wie viele Kartentransaktionen ein Unternehmen pro Jahr verarbeitet. Um die strengste PCI DSS-Konformitätsstufe, Stufe 1, zu erreichen, müssen Händler jährlich mehr als 6 Millionen Kartentransaktionen verarbeiten.

Unternehmen der Stufe 1 müssen jährlich einen Berichtsbogen (Report on Compliance, RoC) vorlegen, der ein Audit durch einen vom PCI Security Standards Council zertifizierten Qualified Security Assessor (QSA) oder Internal Security Assessor (ISA) umfasst. Der Gutachter legt den RoC den Institutionen vor, die die Daten der betreffenden Organisation erwerben, um deren Konformität nachzuweisen. Außerdem müssen sie sich einem jährlichen Netzwerk-Scan durch einen zugelassenen Scan-Anbieter (ASV) unterziehen.

Für die Stufen 2 bis 4 können Händler einen Fragebogen zur Selbsteinschätzung (Self-Assessment Questionnaire, SAQ) ausfüllen, von dem es mehrere Versionen gibt, um den verschiedenen Arten von Unternehmen und Verarbeitungsmethoden gerecht zu werden. Die Anforderungen für diese Stufen können jedoch je nach Kartensystem abweichen: MasterCard zum Beispiel verlangt von Unternehmen der Stufe 2, dass sie ihren SAQ mit Unterstützung eines geschulten QSA oder ISA ausfüllen.

Strafen (Sanktionen)

Unternehmen, die die PCI DSS-Anforderungen nicht erfüllen, müssen mit Geldstrafen von bis zu 100.000 US-Dollar/Monat und erhöhten Transaktionsgebühren rechnen. Im schlimmsten Fall kann die Zulassung zu ihrer Bank dauerhaft gekündigt werden und sie werden möglicherweise auf die MATCH-Liste (Merchant Alert to Control High-Risk) gesetzt, was zur Folge hätte, dass sie nie wieder Kartenzahlungen verarbeiten dürfen. Händler, die eine Datenschutzverletzung verzeichnen, können auch bestraft werden, indem ihre PCI DSS-Konformitätsstufe heraufgestuft wird.

In diesem Artikel:

    DEMO ANFRAGEN
    * Wir geben Ihre Daten nicht an Dritte weiter. Machen Sie sich mit unserer Datenschutz-Richtlinie vertraut.