Home

PCIDSSKonformität

PCIDSSKonformität bezeichnet die Einhaltung des PCI Data Security Standards (PCI DSS), einem branchenweiten Sicherheitsstandard zum Schutz von Kreditkartendaten. Der Standard wird vom PCI Security Standards Council (PCI SSC) verwaltet und ist kein Gesetz, sondern eine vertragliche und organisatorische Anforderung vieler Kreditkartenunternehmen und Zahlungsdienstleister.

Geltungsbereich und Zweck richten sich nach dem Cardholder Data Environment (CDE). Unternehmen, die Kartendaten speichern, verarbeiten

Der PCI DSS umfasst zwölf Anforderungen, die sich auf sechs Sicherheitsziele verteilen: den Aufbau und Betrieb

Validation erfolgt je nach Unternehmensgröße und Art der Datenverarbeitung. Kleine Händler nutzen meist das Self-Assessment Questionnaires

Vorteile der Konformität sind der verbesserten Datensicherheit, erhöhter Vertrauensschutz bei Kunden sowie Erfüllung vertraglicher Anforderungen. Herausforderungen

oder
übertragen
oder
deren
Sicherheitsfähigkeit
diese
Systeme
beeinflusst,
müssen
häufig
PCI
DSS-Compliance
nachweisen.
Dazu
gehören
Händler,
Zahlungsdienstleister,
Abrechnungs-
und
Hosting-Anbieter
sowie
Dienstleister
in
der
Lieferkette.
sicherer
Netzwerke
und
Systeme,
den
Schutz
von
Kartendaten,
das
regelmäßige
Pflege
eines
Schwachstellenmanagementprogramms,
die
Implementierung
starker
Zugriffskontrollen,
das
fortlaufende
Monitoring
und
Tests
der
Netzwerke
sowie
eine
umfassende
Informationssicherheitspolitik.
Diese
Anforderungen
legen
technische
und
organisatorische
Maßnahmen
fest,
von
Firewall-
und
Verschlüsselungsstandards
bis
hin
zu
Protokollierung,
Audit
und
Schulung.
(SAQ)
mit
einer
Attestation
of
Compliance
(AOC).
Größere
Organisationen
oder
Dienstleister
legen
Reports
on
Compliance
(ROC)
vor,
oft
verbunden
mit
regelmäßigen
externen
Scans
durch
Approved
Scanning
Vendors
(ASV).
umfassen
Kosten,
fortlaufende
Aktualisierung
an
neue
PCI
DSS-Versionen
(aktueller
Stand:
Version
4.x)
und
den
operativen
Aufwand
für
Dokumentation,
Tests
und
Monitoring.