PCI DSS

Der Payment Card Industry Data Security Standard, kurz PCI DSS, ist ein Regelwerk zur Sicherung von Daten beim elektronischen Zahlungsverkehr.

Die führenden Kreditkartenorganisationen MasterCard, VISA und American Express sind in der Einhaltung dieser Regeln, die zwölf Anforderungen umfasst, sehr penibel. Die Rechenzentren der Händler, die die Transaktionen verwalten, werden in regelmäßigen Abständen (zw. 3 und 12 Monaten) überprüft, wobei Verstöße und Mängel empfindlich sanktioniert werden, bis hin zum Verlust der Zertifizierung.

Die 12 Anforderungen sind:

  • Installation und Pflege einer Firewall zum Schutz der Daten
  • Ändern von Kennwörtern und anderen Sicherheitseinstellungen nach der Werksauslieferung
  • Schutz der gespeicherten Daten von Kreditkarteninhabern
  • Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern in öffentlichen Rechnernetzen
  • Einsatz und regelmäßiges Update von Virenschutzprogrammen
  • Entwicklung und Pflege sicherer Systeme und Anwendungen
  • Einschränken von Datenzugriffen auf das Notwendige
  • Zuteilen einer eindeutigen Benutzerkennung für jede Person mit Rechnerzugang
  • Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern
  • Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern
  • Regelmäßige Prüfungen aller Sicherheitssysteme und -prozesse
  • Einführen und Einhalten von Richtlinien in Bezug auf Informationssicherheit

weiterführende Links:
PCI Security Standards (https://www.pcisecuritystandards.org/security_standards/)