Eine der größten Herausforderungen für kleine Unternehmen ist der verantwortungsvolle, sichere Umgang mit Kundendaten und Zahlungsvorgängen.
Die ordnungsgemäße Handhabung ist eine geschäftliche Anforderung, und wenn die Bemühungen unzureichend sind, laufen Sie Gefahr, private Informationen preiszugeben, falls Ihre Zahlungssysteme von Online-Kriminellen verletzt werden.
Um Unternehmen dabei zu helfen, Risiken im Bereich Datenschutz und -sicherheit zu reduzieren, hat die Zahlungsbranche das Payment Card Industry Security Standards Council (auch bekannt als PCI SSC oder PCI Council) gegründet und das Regelwerk "Payment Card Industry Data Security Standard" (PCI DSS) entwickelt.
Hier finden Sie alles, was Sie über PCI DSS-Compliance wissen müssen.
PCI DSS-Compliance, oder kürzer PCI-Compliance, ist der Prozess der Einhaltung bestimmter Sicherheitsstandards, die dem Schutz von Kundendaten und der Eindämmung der Risiken von Betrug und Datenschutzverletzungen dienen. Diese Standards helfen Unternehmen bei der sicheren Abwicklung und Handhabung von Kreditkartentransaktionen und Finanzdaten.
Händler müssen gemäß den PCI-Sicherheitsstandards insgesamt 12 PCI DSS-Anforderungen erfüllen. Dazu gehört unter anderem:
Richten Sie Firewalls und Router-Standards ein, mit denen Regeln für die Genehmigung und Ablehnung von Zugriff auf Ihre Systeme festgelegt werden. Diese Firewall-Konfigurationen sollten zweimal jährlich auf etwaige fehlerhafte Zugriffsregeln überprüft werden, da diese Schwachstellen für Ihre Kreditkartendaten bedeuten könnten.
Ändern Sie die von Ihren Systemen genutzten Standardpasswörter. Pflegen Sie außerdem einen sicheren Bestand aller Ihrer Systeme, Passwörter und Konfigurationsverfahren. Diese Vorgehensweise muss jedes Mal eingehalten werden, wenn ein neues System in die IT-Infrastruktur eingeführt wird.
Dies ist die wichtigste Anforderung: Alle Daten von Karteninhabenden müssen anhand von in der Branche gängigen Algorithmen gespeichert und verschlüsselt werden. Außerdem sind die PCI-Standards beim Verschlüsseln von Hauptkontonummern zu befolgen. So können etwa nur die ersten sechs oder die letzten vier Ziffern angezeigt werden.
Sichern Sie Kartendaten bei ihrer Übertragung über offene oder öffentliche Netzwerke wie das Internet, Bluetooth oder das Global System for Mobile Communication (GSM). Außerdem müssen Sie wissen, wohin Sie die Kartendaten senden und woher sie stammen.
Das Verschlüsseln der Daten von Karteninhabenden mithilfe einer sicheren Version von Übertragungsprotokollen wie Transport Layer Security (TLS) und Secure Socket Shell (SSH) kann Daten vor Kompromittierung schützen.
Sämtliche Geräte – PCs, Laptops und Mobilgeräte –, über die Mitarbeitende lokal und remote auf das System zugreifen, müssen mit einer Antiviren-Software ausgestattet sein.
Führen Sie regelmäßig System-Updates durch und beheben Sie etwaige Schwachstellen zeitnah. Das gilt für alle Systeme in der Kartendatenumgebung, z.B.:
Informationen zu Karteninhabenden dürfen nur nach dem „Need-to-know“-Prinzip weitergegeben werden. Erstellen Sie eine Liste der befugten und unbefugten Personen. Das können Mitarbeitende und Stakeholder sein. Aktualisieren Sie entsprechend deren Zugriffsberechtigungen.
Legen Sie für alle befugten Personen eindeutige IDs und Passwörter fest. So werden Personen mit Zugriffsrechten in die Verantwortung gezogen, was das Reagieren auf Probleme wie Datenverstöße einfacher macht.
Die PCI-Datenschutzstandards geben vor, dass die physischen Daten von Karteninhabenden an einem sicheren Ort aufzubewahren sind, etwa in einem abschließbaren Raum oder Lagerbereich, zu dem nur Befugte Zutritt haben.
Jedes Mal, wenn auf Daten von Karteninhabenden zugegriffen wird, sollte dieses Ereignis protokolliert werden. Die Zugriffsprotokolle sollten außerdem konsequent geprüft werden, damit Auffälligkeiten oder Gefahren für die Datensicherheit erkannt werden.
Führen Sie häufig Sicherheitstests und Schwachstellen-Scans durch, um Angriffspunkte in Ihren Prozessen und Systemen zu erkennen.
Pflegen Sie aktuelle Aufzeichnungen zu allen Richtlinien, Verfahren, Zugriffsprotokollen, Systemen und Software, die für die PCI DSS-Compliance relevant sind. Bei einem PCI-Audit oder -Assessment etwa wird auf das Vorhandensein von beispielsweise Mitarbeiterleitfäden, Richtlinien und Verfahren, Lieferantenvereinbarungen und Datenschutz-Notfallplänen geachtet.
Es gibt vier verschiedene PCI-Compliance-Stufen, von denen jede mit bestimmten Anforderungen verbunden ist. Ihre PCI-Händlerstufe hängt in großen Teilen vom Volumen der von Ihrem Unternehmen jährlich verarbeiteten Kreditkartentransaktionen ab.
Dies sind die vier PCC DSS-Händlerstufen:
PCI-Stufe 1 gilt für Organisationen, die innerhalb von 12 Monaten mehr als 6 Millionen Visa- oder Mastercard-Transaktionen oder mehr als 2,5 Millionen American Express-Transaktionen verarbeiten. Diese Stufe gilt auch für Händler, bei denen eine Datenschutzverletzung aufgetreten ist.
Händler der Stufe 1 müssen jährlich einen Compliance-Bericht (ROC) durch einen qualifizierten Sicherheitsgutachter (QSA) vorlegen, einen vierteljährlichen Netzwerk-Scan durch einen zugelassenen Scan-Anbieter (ASV) durchführen lassen und ein AOC-Formular (Bescheinigung der Compliance) für Vor-Ort-Bewertungen ausfüllen.
PCI-Stufe 2 gilt für Organisationen, die jedes Jahr zwischen 1 und 6 Millionen Transaktionen verarbeiten.
PCI-Anforderungen der DSS-Stufe 2 umfassen: Ausfüllen eines jährlichen Fragebogens zur Selbsteinschätzung (SAQ), einen vierteljährlichen Netzwerk-Scan durch einen ASV und ein AOC-Formular.
PCI-Stufe 3 gilt für Händler, die 20.000–1 Million Online-Transaktionen verarbeiten, und für Organisationen, die jährlich weniger als 1 Million Transaktionen insgesamt verarbeiten.
Die Anforderungen für PCI-Stufe 3 sind mit denen für Stufe 2 identisch: Durchführung eines jährlichen SAQ, eines vierteljährlichen Netzwerk-Scans durch einen ASV und eines AOC-Formulars.
PCI-Stufe 4 gilt für Organisationen, die jährlich weniger als 20.000 Online-Transaktionen oder bis zu 1 Million Transaktionen insgesamt verarbeiten.
Die Anforderungen für PCI-Compliance-Stufe 4 sind mit denen für Stufe 2 und 3 identisch: Abschluss eines jährlichen SAQ, eines vierteljährlichen Netzwerk-Scans durch einen ASV und eines AOC-Formulars.
PCI-Compliance bietet Unternehmen, die Kreditkartentransaktionen verarbeiten, viele Vorteile. Zu den größten Vorteilen von PCI-Compliance gehören:
Bereit für mehr Sicherheit in Ihrem Unternehmen? Nutzen Sie diese sechs Tipps für optimierten Schutz.
Mit PayPal an ihrer Seite fällt es Unternehmen leichter, PCI-Compliance zu erreichen und die Datensicherheit zu verbessern. Wenn Sie PayPal zum Verarbeiten von Kartenzahlungen nutzen, landen die sensiblen Daten Ihrer Kundschaft erst gar nicht auf den Servern Ihres Unternehmens – was den mit PCI DSS-Compliance verbundenen Aufwand für Sie reduziert.
Füllen Sie das Formular aus, um hilfreiche Informationen und praktische Tipps für Ihr Unternehmen zu erhalten. Zusätzlich erfahren Sie mehr von anderen Händler:innen, die PayPal nutzen, um sie beim Erreichen ihrer Geschäftsziele zu unterstützen.
Wenn Sie Cookies akzeptieren, verwenden wir diese, um Ihre Erfahrung zu verbessern und anzupassen und unseren Partnern zu ermöglichen, Ihnen personalisierte PayPal-Anzeigen zu zeigen, wenn Sie andere Websites besuchen. Cookies verwalten und mehr erfahren