Home » PCI DSS

PCI DSS

PCI DSS bildet die Abkürzung für Payment Card Industry Data Security Standard. Hierbei handelt es sich um ein Regelwerk für die Datensicherheit beim Zahlungsverkehr mit Kreditkarten. In diesem Regelwerk sind insgesamt 12 Anforderungen enthalten, die seit dem Jahre 2007 für alle Händler verbindlich sind. Bei Nichteinhaltung droht eine Strafe.

    Die 12 Anforderungen des PCI-DSS-Regelwerkes:

    Aufbau und Wartung eines sicheren Netzwerks

  • 1. Die Installation und Verwaltung einer Firewallkonfiguration zum Schutz von Karteninhaber-Daten
  • 2. Nichtverwendung von: Keine Standardeinstellungen für Systemkennwörter, die vom Anbieter festgelegt wurden und andere Sicherheitsparameter

    • Schutz von Karteninhaberdaten

  • 3. Schutz von gespeicherten Karteninhaberdaten
  • 4. Die Verschlüsselung während der Übertragung von Karteninhaberdaten über geöffnete, öffentliche Netze

    • Wartung eines Anfälligkeits-Managementprogramms

  • 5. Regelmässige Aktualisierung und Verwendung von Antiviren-Software
  • 6. Verwaltung und Entwicklung sicherer Systeme und Anwendungen

    • Implementierung starker Zugriffskontrollmassnahmen

  • 7. Beschränkung des Zugriffs auf Karteninhaberdaten (je nach geschäftlichem Informationsbedarf)
  • 8. Zuweisung einer eindeutigen ID für jede Person mit Computerzugriff
  • 9. Beschränkung des physischen Zugriffs auf Karteninhaberdaten

    • Regelmäßige Überwachung und Tests von Netzwerken

  • 10. Überwachung und Verfolgung des gesamten Zugriffs auf Karteninhaberdaten und Netzwerkressourcen
  • 11. Regelmässige Tests der Sicherheitssysteme und Sicherheitsprozesse

    • Befolgung einer Informationssicherheitsrichtlinie

  • 12. Befolgen einer Informationssicherheitsrichtlinie für die Mitarbeiter und die beauftragten Unternehmen

Die Sicherheitsprogramme von Visa, MasterCard und American Express dienten als Grundbaustein für das Regelwerk PCI DSS.

Alle Händler sind im Rahmen von PCI DSS dazu verpflichtet, Virenschutzprogramme einzusetzen und später entsprechende Updates durchzuführen. Außerordentlich wichtig sind auch die Einrichtung und die Pflege von sicheren Systemen und Anwendungen. Datenzugriffe müssen auf das absolut notwendige Maß beschränkt werden.
Für jede Person ist die Zuteilung einer eindeutigen Nutzerkennung mit Rechnerzugang erforderlich. Der physikalische Zugriff auf die Daten von Kreditkarteninhabern sollte beschränkt werden. Alle Zugriffe auf die Daten von Kreditkartenunternehmen müssen protokolliert und geprüft werden. Sehr wichtig ist auch die regelmäßige Überprüfung aller relevanten Sicherheitssysteme. Darüber hinaus enthält PCI DSS die Pflicht zur Einführung und zur Einhaltung aller Richtlinien in Bezug auf die Informationssicherheit.