1. Support /
  2. Glossar /

PCI-Compliance

Was ist PCI-Compliance?

Der Payment Card Industry Data Security Standard wurde 2006 vom Payment Card Industry (PCI) Security Standards Council – einem Zusammenschluss der großen Kreditkartenanbieter – als Reaktion auf die Zunahme von Online-Transaktionen erarbeitet. Seitdem besteht für Unternehmen, die Kreditkartenzahlungen abwickeln, die Verpflichtung zum Nachweis ihrer PCI-Compliance im Rahmen eines Zertifizierungsverfahrens. Seit den frühen 2000er Jahren ist die Anzahl von Unternehmen, die die Zahlungsabwicklung per Kreditkarte übers Internet anbieten, drastisch angestiegen. Damit einher ging eine wachsende Akzeptanz von Online-Kreditkartenzahlungen bei den Verbrauchern.

Der PCI DSS (Payment Card Industry Data Security Standard) definiert Standards für eine sichere Zahlungsabwicklung. Dadurch wird gewährleistet, dass Verkäufer bei der Erfassung, Speicherung, Verarbeitung und Übertragung der Daten von Karteninhabern im Zuge von Kreditkartentransaktionen geeignete Sicherheitsvorkehrungen anwenden. Der PCI DSS wurde als Reaktion auf die Zunahme von Datendiebstählen von den fünf größten Kreditkartenanbietern (Visa, MasterCard, Discover, American Express und JCB) entwickelt.

Der PCI DSS wurde mit dem Ziel der Verhinderung oder zumindest Eindämmung des Missbrauchs von Verbraucher- und Bankdaten entwickelt. Die Schaffung dieses Regelwerks sowie die Gründung des PCI Security Standards Council als unabhängiger Organisation zur Überwachung und Prüfung der PCI-Compliance bedeutete einen entscheidenden Schritt zur Regulierung der Online-Zahlungsabwicklung und zum Schutz von Verbrauchern und Unternehmen vor Cyber-Angriffen.

Der PCI Security Standards Council ist verantwortlich für die Festlegung der Standards sowie der Anforderungen, die Verkäufer erfüllen müssen. Ergänzend hinzu kommt die Selbstverpflichtung zur PCI-Compliance als wesentliche Komponente des Regelwerks. Die Haftung für die Einhaltung des PCI DSS liegt somit bei den Kreditkartenanbietern, die dafür sorgen müssen, dass Verkäufer und Unternehmen, die Online-Zahlungen abwickeln, die entsprechenden Anforderungen erfüllen.

Alle Händler, die Kreditkartenzahlungen akzeptieren, sind zur Verhinderung von Datenschutzverstößen an diese Bestimmungen gebunden. Die Anforderungen umfassen die Festlegung von Datensicherheitsrichtlinien für Ihr Unternehmen und Ihre Mitarbeiter ebenso wie die Verpflichtung zum Entfernen von Kartendaten aus Ihrem Verarbeitungssystem und von Zahlungsterminals.

Anforderungen zur Erfüllung der PCI-Regelungen

Aufbau und Pflege eines sicheren Netzwerks. Unternehmen sind zur Erstellung einer Richtlinie für die Firewall-Konfiguration und Entwicklung eines entsprechenden Testverfahrens zum Schutz der Daten von Karteninhabern verpflichtet.

Schutz der Daten von Karteninhabern. Diese Anforderung betrifft ausschließlich solche Unternehmen, die diese Daten nach der Zahlungsabwicklung zur Wiederverwendung bei zukünftigen Transaktionen speichern. Unternehmen, die die Daten von Karteninhabern bei der Zahlungsabwicklung nicht automatisch speichern, reduzieren dadurch das Risiko, dass diese Daten missbraucht werden; entsprechend unterliegen sie weniger strengen Compliance-Anforderungen.

Einsatz und regelmäßiges Update von Virenschutzprogrammen. Virenschutzprogramme müssen eingesetzt und zum Schutz vor neuartigen Formen von Malware regelmäßig aktualisiert werden. Wenn Daten auf ausgelagerten Servern gehostet werden, gilt diese Anforderung für den jeweiligen Serveranbieter.

Umsetzung strenger Maßnahmen zur Zugriffssteuerung. Die Beschränkung des Zugriffs auf vertrauliche Daten auf eine möglichst kleine Gruppe befugter Mitarbeiter ist ein wesentlicher Schritt zur Reduzierung des Risikos von Sicherheitsverstößen. Dies kann erreicht werden, indem jeder zum Zugriff auf die Computer berechtigten Person eine eindeutige ID zugewiesen wird.

Einführen und Einhalten einer Richtlinie zur Gewährleistung der Datensicherheit. In dieser Richtlinie sollten Regeln für die zulässige Nutzung von Technologie, Überprüfungen und jährliche Verfahren zur Risikoanalyse, betriebliche Sicherheitsverfahren und andere allgemeine Verwaltungsaufgaben festgelegt werden.

Die aufgeführten PCI-Anforderungen gelten für sämtliche Hardware- und Web-Anwendungen:

  • Kartenlesegeräte
  • Verkaufsterminals
  • Netzwerke und WLAN-Router in Geschäften
  • Speicherung und Übertragung von Zahlungskartendaten
  • In Papierform gespeicherte Zahlungskartendaten
  • Anwendungen und Warenkörbe zur Abwicklung von Online-Zahlungen

Die Erlangung und Aufrechterhaltung der PCI-Compliance ist für viele Händler ein komplexes Unterfangen. Häufig müssen Sicherheitskontrollen implementiert, externe Berater zur Unterstützung bei der Installation kostspieliger Software und Hardware verpflichtet und verbindliche Verträge unterzeichnet werden, unter denen Sie den Bedingungen der Bank für die jährliche Überprüfung der PCI-Konformität zustimmen. Jährliche Selbstbewertungen sind in der Regel ebenfalls erforderlich.

Warum PCI Compliance von Interesse ist

Die Technologien, die für Effizienz im Geschäftsalltag sorgen, erleichtern Hackern zugleich den Zugriff auf sensible Daten. Deswegen müssen für KMUs, die Kreditkartenzahlungen nur im geringen Umfang abwickeln, genauso strenge Verpflichtungen zur Sicherung dieser Kartendaten gelten wie für große Einzelhändler, die Millionen von Transaktionen verarbeiten.

Bei richtiger Implementierung bieten die Anforderungen des PCI-DSS allen Unternehmen einen starken Schutz vor Cyberkriminalität und den entsprechenden Haftungsansprüchen und gewährleisten zugleich ein hohes Maß an Kundenzufriedenheit und -sicherheit.

PCI-Compliance - weiterführende Ressourcen

Weiterführende Ressourcen

Wie Barracuda Sie unterstützen kann

Mithilfe leistungsstarker Datenschutztechnologien kann die Barracuda CloudGen Firewall auch bei hohen Benutzerzahlen und mehreren Standorten die PCI-DSS-Konformität Ihres Unternehmens mit minimalem IT-Ressourcen- und Personalaufwand sicherstellen. Durch die Unterstützung von Amazon AWS, Microsoft Azure, Google Cloud Platform und VMware vCloud Air ermöglicht sie zudem die Erweiterung von Unternehmensrichtlinien für sichere Netzwerksegmentierung und PCI DSS-Konformität auf führende Public-Cloud-Anbieter.

Die Barracuda Web Application Firewall schützt Netzwerke vor unbefugtem Zugriff, Datenverlust, Defacement von Websites und anderen Angriffen. Für Unternehmen, die Kreditkartendaten speichern, verarbeiten und/oder übertragen, bieten sie Unterstützung beim Schutz ihrer Webanwendungen sowie beim Erlangen der PCI-DSS-Compliance.

Haben Sie weitere Fragen zum Thema PCI-Compliance? Wir helfen gerne weiter.

Telefonisch: +1 888 268 4772

Live-Chat

Per E-Mail