Wenn Ihr Unternehmen mit Kreditkartendaten umgeht und die PCI-Standards nicht einhält, drohen Ihnen hohe Strafen, wenn diese Bestimmungen nicht umgesetzt werden.

Was bedeutet PCI Compliance? Payment Card Industry Compliance bezieht sich auf eine Reihe von Anforderungen, die vom PCI Security Standards Council aufgestellt wurden und von jedem Unternehmen, das mit Kreditkartendaten arbeitet, die Einhaltung bestimmter Regeln zum Schutz von Verbraucherdaten verlangt.

Was bedeutet PCI DSS?

Der Payment Card Industry Data Security Standard (PCI DSS) ist ein Framework für Cybersicherheit und Datenschutz, das sich an alle Unternehmen richtet, die Kredit- oder Debitkartenzahlungen akzeptieren, entweder persönlich oder online. Ursprünglich wurde PCI im Dezember 2004 von den großen Kreditkartenanbietern (American Express, Discover, JCB International, Mastercard und Visa) entwickelt und veröffentlicht. Der Standard soll diesen Netzwerken und allen, die Kreditkarten von diesen Anbietern verarbeiten, die Möglichkeit geben, den Datenschutz ihrer Kunden zu organisieren, Betrug zu verhindern und Verbraucherinformationen vor unbefugter Offenlegung zu schützen.

Es soll auch die unterschiedlichen Programme zur Informationssicherheit vereinheitlichen, die viele dieser Unternehmen bereits eingeführt hatten. Im Gegensatz zu einigen anderen Rahmenwerken für die Cybersicherheit wird PCI DSS nicht durch staatliche Gesetze geregelt oder vorgeschrieben.

Zwar gibt es strafrechtliche Sanktionen für Diebstahl und Betrug, doch verweist die PCI auf die technischen und administrativen Anforderungen, die Zahlungsdienstleister erfüllen müssen, um an Kreditkartentransaktionen teilnehmen zu können. Die Kreditkartenanbieter erstellen oder aktualisieren diese Anforderungen und setzen sie durch. Die Strafen für die Nichteinhaltung werden ebenfalls von diesen Unternehmen verwaltet.

Einige der Strafen, die bei Nichteinhaltung gegen Händler und Zahlungsdienstleister verhängt werden, sind die folgenden:

  • Fortgesetzte Nichteinhaltung der Vorschriften: Gebühren zwischen US$ 5.000 und US$ 100.000 pro Monat, basierend auf dem Volumen der jährlich von einem Unternehmen verarbeiteten Transaktionen.
  • Erhöhte Transaktionsgebühren: Händler und Dienstleister mit hohem Risiko müssen möglicherweise mit höheren Gebühren für Transaktionen rechnen, die auf der Nichteinhaltung von Vorschriften und der Bedrohung durch Sicherheitsverletzungen beruhen.
  • Verlust des Händlerkontos: In schwerwiegenden Fällen von Datenschutzverletzungen, Diebstahl oder Betrug im Zusammenhang mit fortgesetzter Nichteinhaltung von Vorschriften können Kreditkartenunternehmen einem Unternehmen die Möglichkeit entziehen, Transaktionen zu verarbeiten.

Diese Strafen stehen nur in direktem Zusammenhang mit dem PCI DSS. Bei Verstößen kann ein Unternehmen auch rechtlich haftbar gemacht werden, wenn es von der Generalstaatsanwaltschaft oder im Rahmen einer Sammelklage verklagt wird.

Der PCI DSS, der derzeit unter der Version 3.2.1 läuft, soll im 1. Quartal 2022 ein größeres Update, die Version 4.0, erhalten. Nach Angaben des PCI Security Standards Council (PCI SSC) handelt es sich bei diesem Update um eine bedeutende Aktualisierung, die neue Anforderungen zur Unterstützung des zunehmenden Online-Handels und der Kaufabwicklung über mobile Geräte enthält.

Wie lauten die 12 PCI DSS-Anforderungen?

Die PCI-Datensicherheit verlangt von den Zahlungsdienstleistern, dass sie beim Umgang mit Kundendaten die geeigneten technischen und administrativen Maßnahmen ergreifen. Diese Maßnahmen beziehen sich auf mehrere allgemeine Ziele, darunter der Aufbau sicherer Netzwerke, der Schutz von Daten, die Implementierung von Zugangskontrollen, die Überwachung und Prüfung von Systemen und die Einhaltung von Sicherheitsrichtlinien.

Um diese Ziele zu erreichen, stellt der PCI DSS 12 spezielle Anforderungen bezüglich der Cybersicherheit von Daten:

  1. Installieren und pflegen Sie eine Firewall-Konfiguration zum Schutz der Daten von Karteninhabern: Dies ist eigentlich selbsterklärend – Installieren und pflegen Sie eine Firewall als Perimeter um ein Gerät oder System, das Kreditdaten von Kunden speichert oder überträgt.
  2. Verwenden Sie keine Standardpasswörter von Anbietern als Passwort für Ihr System: Die Gewohnheit, einfache, vom Anbieter bereitgestellte Passwörter für Cloud-Tools, Software oder Software-as-a-Service (SaaS)-Anwendungen zu verwenden, ist leider weit verbreitet. Der PCI DSS verlangt, dass Unternehmen eindeutige Passwörter und Benutzernamen verwenden und von den Standard-Sicherheitsparametern abrücken.
  3. Schützen Sie gespeicherte Daten von Karteninhabern: Sorgen Sie für die Verschlüsselung von Daten, die auf einem Server gespeichert sind, z. B. von der Kassen-Software oder durch PCI-konformes File-Sharing und E-Mail.
  4. Verschlüsseln Sie die Übertragung von Karteninhaber-Daten über offene, öffentliche Netzwerke: Verschlüsseln Sie die Daten bei der Übertragung zwischen Geräten und Servern in Netzwerken, in denen sie gelesen werden können.
  5. Verwenden Sie Antiviren-Software und aktualisieren Sie diese regelmäßig: Systeme auf denen Kunden- oder Kreditdaten gespeichert sind, müssen mit aktueller Antiviren-/Antimalware-Software ausgestattet sein.
  6. Entwickeln und pflegen Sie sichere Systeme und Anwendungen: Dies ist eine weitreichende Anforderung. Im Allgemeinen bezieht sich diese Vorgabe auf die Verwendung und Entwicklung sicherer Software für die Verarbeitung von Kreditinformationen, die gegebenenfalls erforderliche Überprüfung von Systemen und Codes, die Einhaltung von Sicherheitsrichtlinien für System-Upgrades und -Änderungen sowie die Umsetzung von Sicherheitsmaßnahmen zur Abwehr gängiger Angriffe.
  7. Schränken Sie den Zugriff auf Daten von Karteninhabern je nach geschäftlicher Notwendigkeit ein: Kurz gesagt geht es darum, den Zugriff auf Kreditdaten auf der Grundlage von Rollen innerhalb des Unternehmens zu blockieren. Die Minimierung des Informationszugriffs minimiert das Potenzial für Diebstahl oder versehentliche Offenlegung.
  8. Weisen Sie jeder Person mit Zugang zu einem Rechner eine eindeutige ID zu: Ein Unternehmen sollte allen registrierten Benutzern eindeutige IDs zuweisen, um die Nachverfolgung und die Nachweisbarkeit aller Benutzeraktionen zu unterstützen. Außerdem wird so die Integrität des Systems und der darin stattfindenden Vorgänge sichergestellt.
  9. Schränken Sie den physischen Zugang zu Daten von Karteninhabern ein: Führen Sie Sicherheitskontrollen für den Zugang zu Rechenzentren, Workstations oder anderen Geräten durch, auf denen Daten von Karteninhabern gespeichert sind. Dazu können Kameras und Tastaturzugang zu Servern oder eine Multi-Faktor-Authentifizierung und Verschlüsselung auf Laptops mit Netzwerkzugang gehören.
  10. Verfolgen und überwachen Sie alle Zugriffe auf Netzwerkressourcen und Daten von Karteninhabern: Führen Sie eine regelmäßige und kontinuierliche Netzwerküberwachung durch, um Benutzerereignisse, Systemzugriffsereignisse und alle Interaktionen mit Daten von Karteninhabern zu verfolgen.
  11. Testen Sie regelmäßig Sicherheitssysteme und -prozesse: Führen Sie standardisierte und regelmäßige Schwachstellen-Scans (in kürzeren Iterationen) sowie Penetrationstests durch.
  12. Führen Sie eine Richtlinie ein, die die Informationssicherheit für Mitarbeiter und Auftragnehmer regelt: Verankern Sie Sicherheitsrichtlinien, Verfahren, Governance-Anforderungen und Sicherheitsmaßnahmen in der offiziellen Unternehmensdokumentation.

Was sind die einzelnen Bestandteile dieser PCI DSS-Anforderungen?

Das PCI Security Standards Council schreibt PCI DSS Reporting Levels vor, die auf dem Volumen der Zahlungsabwicklungen von Händlern basieren:

  • Level 4: Unternehmen mit weniger als 20.000 Kreditkartentransaktionen pro Jahr
  • Level 3: Unternehmen mit 20.000 bis zu 1 Mio. Kreditkartentransaktionen pro Jahr
  • Level 2: Unternehmen mit 1 bis 6 Mio. Kreditkartentransaktionen pro Jahr
  • Level 1: Unternehmen mit mehr als 6 Mio. Kreditkartentransaktionen pro Jahr

Je nach Level eines Unternehmens können sich die Compliance-Anforderungen ändern:

  • Unternehmen der Level 2 bis 4 müssen einen Self-Assessment Questionnaire (SAQ) ausfüllen. Dabei handelt es sich um eine Selbsteinschätzung anhand eines vom Security Standards Council herausgegebenen geführten Fragebogens. Der SAQ hilft den Unternehmen, ihre Sicherheitslage zu verstehen und Änderungen vorzunehmen, um die Anforderungen zu erfüllen.
  • Unternehmen mit dem Level 1 müssen zusätzlich zu ihrem SAQ einen jährlichen Compliance-Bericht (Report on Compliance, ROC) ausfüllen, der aus einem Audit durch einen externen Sicherheitsgutachter (Qualified Security Assessor, QSA) besteht. Unter der Annahme, dass Änderungen vorgenommen wurden, um die Anforderungen zu erfüllen, muss das Unternehmen eine formelle Compliance-Bescheinigung (Formal Attestation of Compliance, AOC) ausfüllen. Schließlich muss das Unternehmen mit einem zugelassenen Scanning-Anbieter (Approved Scanning Vendor, ASV) zusammenarbeiten, um mindestens alle 90 Tage ein regelmäßiges Schwachstellen-Scanning durchzuführen.

Nach Abschluss des SAQ, des ROC, des QSA und des AOC und der Zusammenarbeit mit einem ASV legt das Unternehmen die Dokumentation seiner akquirierenden Bank (die das Händlerkonto verwaltet) vor, um die Compliance nachzuweisen.

Jedes Unternehmen, das Kreditkartenzahlungen verarbeitet, muss den PCI DSS einhalten, selbst wenn es einen Drittanbieter oder Cloud-Zahlungsdienstleister einsetzt. Auch wenn ein Drittanbieter die Zahlungen abwickelt, fließen diese Informationen fast immer durch die Systeme des Unternehmens.

Akzeptieren Sie Zahlungen von Kreditkartenkunden problemlos unter Einhaltung des PCI DSS

Auch wenn der PCI DSS nicht auf staatlicher Ebene durchgesetzt wird, kann kein Unternehmen ein Zahlungsabwicklungs- oder Einzelhandelssystem betreiben, ohne dessen Anforderungen zu erfüllen. Die Strafen sind hoch, und die Kreditkartennetzwerke können es schwierig, wenn nicht gar unmöglich machen, Geschäfte zu tätigen, wenn Sie die Sicherheitsstandards nicht erfüllen.

Wenn Sie mehr über die Kiteworks-Plattform erfahren möchten und darüber, wie sie den PCI-konformen Managed File Transfer unterstützen kann, vereinbaren Sie mit uns eine kostenlose, individuell auf Ihre Bedürfnisse zugeschnittene Demo.

 

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Teilen
Twittern
Teilen
Explore Kiteworks