PCI DSS Compliance

Der Mindeststandard PCI DSS (Payment Card Industry Data Securits Standard) wurde geschaffen um die Sicherheit von Verbraucherdaten und das Vertrauen in Zahlungssysteme zu verbessern und durch seine Etablierung kriminelle Machenschaften bei der Kreditkartenzahlung im Internet einzudämmen.

Als weltweit anerkannter Standard gilt der Payment Card Industry Data Security Standard für alle Unternehmen und Organisationen, die Karteninhaberinformationen und oder Authentifizierungsdaten

• speichern
• übermitteln oder
• abwickeln.

Der PCI-DSS wird von allen wichtigen Kreditkartenorganisationen unterstützt. Obwohl der Standard gesetzlich nicht vorgeschrieben ist, haben alle Länder Regelungen zum Umgang mit Daten von Karteninhabern etabliert. Das konforme Verhalten zu diesen Regelungen kann weltweit mit dem Nachweis der PCI-DSS Compliance belegt werden. Für Unternehmen die nicht nach dem Payment Card Industry Data Standard arbeiten kann dies zu erheblichen Geldstrafen führen.

Dabei umfasst die PCI-DSS Compliance drei wesentliche Themenfelder:

• Sicherer Umgang mit sensiblen Kundendaten beim Sammeln und übertragen
• Sichere Speicherung von Daten nach den 12 Sicherheitsdomänen des PCI-Standards
• Jährliche Überprüfung der Einhaltung der notwendigen Sicherheitskontrollen

Die 12 PCI-DSS Sicherheitsdomänen im Überblick:

1. Installation und Pflege einer Firewall
2. Keine Standardeinstellungen für Psswörter und andere Sicherheitsparameter
3. Schutz der gespeicherten Karteninhaberdaten
4. Verschlüsselung der Daten der Karteninhaber bei der Übertragung über offene bzw. öffentliche Netzwerke
5. Verwendung und kontinuierliches Update von Antivirensoftware
6. Entwickeln und warten von sicheren Systemen und Anwendungen
7. Beschränkung des Zugriffs auf Kreditkarteninhaberdaten nach geschäftlichen Notwendigkeiten
8. Zuweisung einer eindeutigen ID für jede Person mit Computerzugriff
9. Einschränkung des physischen Zugangs zu Karteninhaberdaten
10. Verfolgung und Überwachung aller Zugriffe auf Netzwerkressourcen und Daten von Kreditkarteninhabern
11. Regelmäßige Tests der Sicherheitssysteme und -prozessen
12. Erstellung und Pflege einer Informationssicherheitsrichtlinie

Da diese Anforderungen im Detail äußerst komplex sind, kann eine PCI-Compliance-Checkliste der wichtigsten Anforderungen hilfreich für eine erste Einführung in PCI-DSS sein.

Weitaus komfortabler und nachhaltiger lässt sich die PCI-Compliance softwaregestützt über ein integriertes Managementsystem wie QSEC umsetzen.

Die IMS Software QSEC ermöglicht nicht nur die komfortable Umsetzung des Datenschutzes nach EU DSGVO, der ISO 27001 oder des IT-Grundschutzes, sondern auch das exakte Arbeiten nach den Bedingungen vieler weiterer Standards, wie z.B. auch des PCI-DSS. QSEC führt methodisch durch alle Anforderungen und unterstützt zeit- und ressourcensparend bei der Umsetzung der PCI-DSS Compliance.