});

PCI-DSS

Der Payment Card Industry Data Security Standard

Kartenzahlungen in Internet stellen für viele Kunden eine Gefahrquelle dar. Auch wenn der Anbieter bekannt ist und Sicherheit über seine ….. herrscht, kann man ja nie wissen, wer die eigenen Kartendaten stehlen könnte.

Um die Sicherheit der Kartendaten gewährleisten zu können, haben 2004 die größten Kreditkartenanbieter – darunter VISA, Master Card und American Express – den Payment Card Industry Data Security Standard entwickelt. Dieses Regelwerk zielt auf die Risikominimierung bei Kredit- und EC-Karten-Transaktionen und den Schutz der Karteninhaber vor dem Missbrauch ihrer persönlichen Informationen. Er dient als Rahmenwerkzeug beinhaltet den Schutz, das Erkennen und das angemessene Verhalten bei Sicherheitsvorfällen. 2006 wurde das PCI Security Standard Council (PCI-SSC) gegründet, der die weltweite Einführung konsistenter Datensicherheitsmaßnahmen unterstützt.

Banken, Prozessoren, Payment Service Provider und Händler, also alle Unternehmen, die Kartenzahlungen akzeptieren, alle Einrichtungen, die an der Verarbeitung von Zahlungsdaten beteiligt sind (z.B. Vertragsunternehmen, EDV-Dienstleister, abrechnenden Stellen, etc.) und alle Stellen, die Karteninhaberdaten speichern, verarbeiten oder übertragen, fallen unter die Wirkung des Standards und müssen sich an dessen Sicherheitsvorgaben halten. Dabei ist die Größe des Geschäfts und der Umfang der Kartentransaktionen irrelevant. Die Form der Daten – elektronisch oder papierhaft – ist ebenfalls unerheblich.

Der Standard bietet somit den Kunden eine erhöhte Sicherheit an, indem er Organisationen unterstützt die Kundendaten präventiv zu schützen. Gleichzeitig stellt er jedoch für manche Unternehmen eine Herausforderung dar, da sie ihre Konformität nachweisen müssen. Auf dem Markt werden verschiedene Lösungen angeboten, die einzelnen Anforderungen ansprechen.  Insbesondere entsprechende Scanner können eingesetzt werden um das Netzwerk zu überprüfen und die Kriterien zu kontrollieren. Die Scanergebnisse werden anschließend mit dem PCI-DSS-Kriterienkatalog abgeglichen und protokolliert.