Definition: Der Payment Card Industry Data Security Standard (PCI DSS) ist eine Sammlung von Richtlinien und Verfahren, die von der Zahlungskartenbranche entwickelt wurden, um die Sicherheit von Kredit-, Debit- und Geldkartentransaktionen zu verbessern und Karteninhaber vor Identitätsdiebstahl zu schützen.
Payment Card Industry Data Security Standard
Der PCI DSS wurde 2004 von Visa, MasterCard, Discover und American Express, vier großen Kreditkartenunternehmen, ins Leben gerufen und wird vom Payment Card Security Standards Council verwaltet.
Der PCI Data Security Standard enthält zwölf Compliance-Anforderungen, die in sechs logisch zusammengehörige Gruppen, die sogenannten „Kontrollziele“, unterteilt sind. Die sechs Gruppen lauten wie folgt:
- Aufbau und Pflege eines sicheren Netzwerks und sicherer Systeme
- Schutz von Karteninhaberdaten
- Pflege eines Programms zum Management von Schwachstellen
- Implementierung starker Zugangskontrollmaßnahmen
- Regelmäßiges Überwachen und Testen von Netzwerken
- Aufrechterhaltung einer Informationssicherheitsrichtlinie
Jede Organisation, die Kreditkarteninformationen speichert, verarbeitet oder übermittelt, muss dem PCI-Standard entsprechend Zahlungskartendaten absichern. Dies bedeutet, dass jeder Händler oder Dienstleister, der Daten von Karteninhabern verarbeitet, Folgendes einhalten muss:
- Händler akzeptieren Debit- oder Kreditkartenzahlungen für Waren oder Dienstleistungen. Beachten Sie, dass der PCI DSS für Händler auch dann gilt, wenn sie die Verarbeitung von Zahlungskarten an Dritte weitergegeben haben.
- Dienstleister sind direkt an der Verarbeitung, Speicherung oder Übermittlung von Karteninhaberdaten im Auftrag einer anderen Organisation beteiligt.
Einige Organisationen können sowohl als Händler als auch als Dienstleister fungieren. So ist beispielsweise ein Unternehmen, das Datenverarbeitungsdienste für andere Händler anbietet, auch ein Händler, wenn es Kartenzahlungen annimmt.
Ob ein Unternehmen PCI DSS-konform wird, hängt von der Komplexität seiner Zahlungsumgebung und den bereits vorhandenen Datenschutzmaßnahmen ab. Jede Organisation muss individuell bewertet werden.
Die Sicherheit im Zahlungsverkehr ist für jedes Unternehmen, das mit Kartendaten arbeitet, unerlässlich.