Sie sind hier: Home » Recht » Deutschland » Standards und Regeln

PCI: Regelwerk im Zahlungsverkehr


Payment Card Industry Data Security Standard (PCI DSS): Einhaltung der PCI-Regeln wird in der Regel in Abhängigkeit vom Umsatzvolumen des Unternehmens überprüft
Große Händler oder Dienstleister müssen ihr Rechnernetz mittels eines externen Sicherheitsscans vierteljährlich prüfen lassen


(19.06.07) - Der Payment Card Industry Data Security Standard, üblicherweise abgekürzt mit PCI, ist ein Regelwerk im Zahlungsverkehr, das sich auf die Abwicklung von Kreditkartentransaktionen bezieht und von allen wichtigen Kreditkartenorganisationen unterstützt wird. Die aktuelle Version des PCI-DSS ist: V1.1. vom September 2006.

Handelsunternehmen und Dienstleister, die Kreditkarten-Transaktionen speichern, übermitteln, oder abwickeln, müssen die Regelungen erfüllen. Halten sie sich nicht daran, können Strafgebühren verhängt, Einschränkungen ausgesprochen, oder ihnen letztlich die Akzeptanz von Kreditkarten untersagt werden.

Die Regelungen bestehen aus einer Liste von zwölf Anforderungen an die Rechnernetze der Unternehmen:

  • Installation und Pflege einer Firewall zum Schutz der Daten
  • Ändern von Kennwörtern und anderen Sicherheitseinstellungen nach der Werksauslieferung
  • Schutz der gespeicherten Daten von Kreditkarteninhabern
  • Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern in öffentlichen Rechnernetzen
  • Einsatz und regelmäßiger Update von Virenschutzprogrammen
  • Entwicklung und Pflege sicherer Systeme und Anwendungen
  • Einschränken von Datenzugriffen auf das Notwendige
  • Zuteilen einer eindeutigen Benutzerkennung für jede Person mit Rechnerzugang
  • Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern
  • Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern
  • Regelmäßige Prüfungen aller Sicherheitssysteme und -prozesse
  • Einführen und Einhalten von Richtlinien in Bezug auf Informationssicherheit

PCI basiert auf dem Visa-Account-Information-Security-Programm (AIS und dessen Schwesterprogramm CISP), dem MasterCard-Site-Data-Protection-Programm (SDP), der American Express Security Operating Policy (DSOP), der Discover Information Security and Compliance (DISC) und den JCB-Sicherheitsregeln.

Text auszugsweise entnommen aus Wikipedia, der freien Enzyklopädie.

Aufbau des PCI Security Standards Council
Aufbau des PCI Security Standards Council Initiiert von führenden Kreditkartenunternehmen (Visa, MasterCard, American Express, Discover), Bild: PCI Security Standards Council


Die Einhaltung der Regeln wird in der Regel in Abhängigkeit vom Umsatzvolumen des Unternehmens überprüft:

>>
Händler oder Dienstleister, die mehr als 6.000.000 Kreditkartentransaktionen pro Jahr abwickeln, oder bereits einem Angriff erlagen, von einem anderen Kartenunternehmen als "Level 1" eingestuft wurden, bei dem Kartendaten kompromittiert wurden, müssen ihr Rechnernetz vierteljährlich mittels eines externen Sicherheitsscans durch einen von Mastercard zugelassenen Scanvendor (ASV) prüfen lassen und zusätzlich einmal im Jahr eine Begehung vor Ort (Audit) durch ein unabhängiges, von VISA zugelassenes Unternehmen (QSA) oder eigens dazu ernannten Sicherheitsbeauftragten durchführen lassen.

>> Händler oder Dienstleister, die zwischen 20.000 und 6.000.000 Kreditkartentransaktionen pro Jahr abwickeln, müssen ihr Rechnernetz ebenfalls mittels eines externen Sicherheitsscans durch einen von Mastercard zugelassenen Scanvendor (ASV) vierteljährlich prüfen lassen und zusätzlich einmal im Jahr einen PCI-Fragebogen ausfüllen.

>> Händler oder Dienstleister, die weniger als 20.000 Kreditkartentransaktionen im Jahr abwickeln, müssen zwar die Regelungen erfüllen, eine Prüfung wird empfohlen, ist jedoch nicht obligatorisch.

Konkretes Beispiel:
Was bedeuten die PCI-Datenschutz-Standards für "Visa-Vertragsunternehmen?

1.
Händler und Service Provider sind aufgefordert, die "PCI Data Security Standards" bei der Verarbeitung von Karten- und Transaktionsdaten einzuhalten. Konkret bedeutet dies, dass sie einen Zertifizierungsprozess durchlaufen müssen, der durch ein von Visa und MasterCard autorisiertes Unternehmen ausgeführt wird.
2. Die Programme von Visa (Account Information Security – AIS) und MasterCard (Site Data Protection – SDP) bleiben weiterhin bestehen. Die PCI-Datenschutz-Standards umfassen jedoch die Prüfungsanforderungen beider Programme, so dass aufgrund der gemeinsamen, einheitlichen Standards, ein Händler oder Service Provider den Zertifizierungsprozess nur einmal absolvieren muss und nicht getrennt für beide Kartensysteme.
3. Über Art und Umfang des Zertifizierungsablaufs entscheiden u.a. die monatliche Anzahl der Transaktionen sowie die Transaktionsart (Standardtransaktion, E-Commerce oder Telefon/Versandhandel (Mail/Phone Order)).

Was können Visa-Händler tun, um mit dem Zertifizierungsprozess zu beginnen und sicherzustellen, dass sie die PCI-Datenschutz-Standards erfüllen?

Es wird folgende Vorgehensweise vorgeschlagen:
Abrufen weiterer Details (in englischer Sprache) zum "Account Information Security Programme" unter dem Link
www.visaeurope.com/acceptingvisa/ais.jsp
sowie Herunterladen des Leitfadens "PCI Data Security Standards Guide".

>> Vertragsunternehmen, einschließlich das in Zahlungstransaktionen involvierte Personal, sollten sich mit den PCI-Datenschutz-Standards vertraut machen und diese im Unternehmen umsetzen.
>> Kontaktaufnahme mit der Händlerbank, um weitere Details im Zusammenhang mit dem Zertifizierungsprozess zu besprechen. Durchführung / Vorbereitung der oben skizzierten Maßnahmen - in Abhängigkeit vom Transaktionsvolumen.
>> Einleitung von Korrekturmaßnahmen im Zusammenhang mit möglicherweise identifizierten Sicherheitslücken oder Schwachstellen.

Wenn die PCI-Datenschutz-Standards erfüllt sind, sicherstellen, dass diese auch weiterhin eingehalten werden. Unterstützung bei weiteren Fragen zu dieser Thematik sowie zur Zertifizierung erhalten Visa Vertragsunternehmen direkt von ihrer jeweiligen Visa Händlerbank – mit der sie einen Vertrag zur Akzeptanz von Visa-Karten abgeschlossen haben.

Weitere Informationen:
PCI Security Standards Council
Account Information Security Programme (Visa Europe)
PCI DDS: Hohe Sicherheitshürden für Webshops

(Quellen: Wikipedia.de, Visa: ra)


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Standards und Regeln

  • Einführung von Smart Grid-Anwendungen

    IEEE, der weltweit größte Verband zur Förderung von Technologien, gibt bekannt, dass der Standard IEEE P1901.2T-2013 für Niedrigfrequenz-Powerline-Kommunikation (PLC) unter 500 kHz für Smart Grid-Anwendungen erfolgreich die erste Freigaberunde abgeschlossen hat. Nach seiner endgültigen Genehmigung soll der Standard eine neue Generation der PLC-Technologie für Übertragungsfrequenzen von weniger als 500 kHz spezifizieren. Damit ist er für eine Vielzahl existierender sowie neu entstehender Smart Grid-Anwendungen relevant.

  • MES-Kennzahlen eindeutig definiert

    Mit der ISO/DIS 22400-2 steht ab sofort eine internationale, gültige Leitlinie für die Definition, Beschreibung und Interpretation von MES-Kennzahlen zur Verfügung. Die Entwurfsfassung der Norm beinhaltet 34 Key Performance Indicators (KPI) aus den Bereichen Produktion, Qualität, Instandhaltung und Lager/Logistik für Unternehmen aus der diskreten Fertigung, der Prozessindustrie sowie der hybriden Fertigung. Hinzu kommt ein relationales Wirkmodell, das über eine Kennzahlenmatrix und Beziehungsdiagramme die Abhängigkeiten zwischen den KPI und ihren Faktoren untereinander inhaltlich und organisatorisch beschreibt.

  • Netzanbindung dezentraler Energiesysteme

    Die IEEE Standards Association (IEEE-SA) gibt die Freigabe des Standards "1547.4" bekannt. "IEEE 1547.4" bezeichnet einen neuen Leitfaden für die Entwicklung, den Betrieb sowie die Integration dezentraler Energieressourcen und Insellösungen, mit Elektrizitätssystemen.

  • Entscheidung in der Standardisierungspolitik

    Ein aktueller EU-Verordnungsentwurf zur Europäischen Normung sieht eine Sonderregelung für den ITK-Sektor vor. Demnach sollen künftig auch Standards von nicht-staatlich anerkannten Normungsorganisationen in das europäische Normungssystem übernommen werden können. Damit werden öffentliche Ausschreibungen von ITK-Produkten und -Dienstleistungen einfacher und transparenter.

  • Vertrauenswürdige digitale Langzeitspeicherung

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 1. März 2011 auf seiner Homepage die - mit Hilfe einer zusammen mit dem BSI und dem VOI-Verband Organisations- und Informationssysteme e.V. initiierten Arbeitsgruppe unter Moderation von Herrn Prof. Hackel (Physikalisch-Technische Bundesanstalt - PTB) - grundlegend überarbeitete Version 1.1 der Technischen Richtlinie 03125 "Beweiswerterhaltung kryptographisch signierter Dokumente (TR-ESOR)" – vormals TR-VELS (Vertrauenswürdige elektronische Langzeitspeicherung) veröffentlicht.