Kleine und mittlere UnternehmenMarketing

Alles, was Sie über PCI DSS-Compliance wissen müssen

Eine der größten Herausforderungen für kleine Unternehmen ist der verantwortungsvolle, sichere Umgang mit Kundendaten und Zahlungsvorgängen.

Die ordnungsgemäße Handhabung ist eine geschäftliche Anforderung, und wenn die Bemühungen unzureichend sind, laufen Sie Gefahr, private Informationen preiszugeben, falls Ihre Zahlungssysteme von Online-Kriminellen verletzt werden.

Um Unternehmen dabei zu helfen, Risiken im Bereich Datenschutz und -sicherheit zu reduzieren, hat die Zahlungsbranche das Payment Card Industry Security Standards Council (auch bekannt als PCI SSC oder PCI Council) gegründet und das Regelwerk "Payment Card Industry Data Security Standard" (PCI DSS) entwickelt.

Hier finden Sie alles, was Sie über PCI DSS-Compliance wissen müssen.

Was ist PCI Compliance?

PCI DSS-Compliance, oder kürzer PCI-Compliance, ist der Prozess der Einhaltung bestimmter Sicherheitsstandards, die dem Schutz von Kundendaten und der Eindämmung der Risiken von Betrug und Datenschutzverletzungen dienen. Diese Standards helfen Unternehmen bei der sicheren Abwicklung und Handhabung von Kreditkartentransaktionen und Finanzdaten.

Anforderungen in Zusammenhang mit der PCI-Compliance

Händler müssen gemäß den PCI-Sicherheitsstandards insgesamt 12 PCI DSS-Anforderungen erfüllen. Dazu gehört unter anderem:

  1. Installieren und Aufrechterhalten einer Firewall-Konfiguration zum Schutz der Daten von Karteninhabenden

    Richten Sie Firewalls und Router-Standards ein, mit denen Regeln für die Genehmigung und Ablehnung von Zugriff auf Ihre Systeme festgelegt werden. Diese Firewall-Konfigurationen sollten zweimal jährlich auf etwaige fehlerhafte Zugriffsregeln überprüft werden, da diese Schwachstellen für Ihre Kreditkartendaten bedeuten könnten.

  2. Keine Verwendung der vom Hersteller bereitgestellten Standardeinstellungen für Systempasswörter und andere Sicherheitsparameter

    Ändern Sie die von Ihren Systemen genutzten Standardpasswörter. Pflegen Sie außerdem einen sicheren Bestand aller Ihrer Systeme, Passwörter und Konfigurationsverfahren. Diese Vorgehensweise muss jedes Mal eingehalten werden, wenn ein neues System in die IT-Infrastruktur eingeführt wird.

  3. Schützen der gespeicherten Daten von Karteninhabenden

    Dies ist die wichtigste Anforderung: Alle Daten von Karteninhabenden müssen anhand von in der Branche gängigen Algorithmen gespeichert und verschlüsselt werden. Außerdem sind die PCI-Standards beim Verschlüsseln von Hauptkontonummern zu befolgen. So können etwa nur die ersten sechs oder die letzten vier Ziffern angezeigt werden.

  4. Verschlüsselung der Daten von Karteninhabenden bei der Übertragung innerhalb offener oder öffentlicher Netzwerke

    Sichern Sie Kartendaten bei ihrer Übertragung über offene oder öffentliche Netzwerke wie das Internet, Bluetooth oder das Global System for Mobile Communication (GSM). Außerdem müssen Sie wissen, wohin Sie die Kartendaten senden und woher sie stammen.

    Das Verschlüsseln der Daten von Karteninhabenden mithilfe einer sicheren Version von Übertragungsprotokollen wie Transport Layer Security (TLS) und Secure Socket Shell (SSH) kann Daten vor Kompromittierung schützen.

  5. Schützen von Systemen vor Malware und regelmäßiges Aktualisieren von Antiviren-Software

    Sämtliche Geräte – PCs, Laptops und Mobilgeräte –, über die Mitarbeitende lokal und remote auf das System zugreifen, müssen mit einer Antiviren-Software ausgestattet sein.

  6. Entwicklung und Pflege sicherer Systeme und Anwendungen

    Führen Sie regelmäßig System-Updates durch und beheben Sie etwaige Schwachstellen zeitnah. Das gilt für alle Systeme in der Kartendatenumgebung, z.B.:

    • Betriebssysteme
    • Firewalls, Router, Switches
    • Anwendungssoftware
    • Datenbanken
    • Bezahlterminals
  7. Einschränken des digitalen Zugriffs auf Daten von Karteninhabenden

    Informationen zu Karteninhabenden dürfen nur nach dem „Need-to-know“-Prinzip weitergegeben werden. Erstellen Sie eine Liste der befugten und unbefugten Personen. Das können Mitarbeitende und Stakeholder sein. Aktualisieren Sie entsprechend deren Zugriffsberechtigungen.

  8. Erstellen eindeutiger Zugriffs-IDs und -Passwörter

    Legen Sie für alle befugten Personen eindeutige IDs und Passwörter fest. So werden Personen mit Zugriffsrechten in die Verantwortung gezogen, was das Reagieren auf Probleme wie Datenverstöße einfacher macht.

  9. Einschränken des physischen Zugangs zu Daten von Karteninhabenden

    Die PCI-Datenschutzstandards geben vor, dass die physischen Daten von Karteninhabenden an einem sicheren Ort aufzubewahren sind, etwa in einem abschließbaren Raum oder Lagerbereich, zu dem nur Befugte Zutritt haben.

  10. Einrichtung und Pflege von Zugriffsprotokollen

    Jedes Mal, wenn auf Daten von Karteninhabenden zugegriffen wird, sollte dieses Ereignis protokolliert werden. Die Zugriffsprotokolle sollten außerdem konsequent geprüft werden, damit Auffälligkeiten oder Gefahren für die Datensicherheit erkannt werden.

  11. Durchführen von Sicherheits- und Schwachstellentests

    Führen Sie häufig Sicherheitstests und Schwachstellen-Scans durch, um Angriffspunkte in Ihren Prozessen und Systemen zu erkennen.

  12. Dokumentieren von Richtlinien und Verfahren

    Pflegen Sie aktuelle Aufzeichnungen zu allen Richtlinien, Verfahren, Zugriffsprotokollen, Systemen und Software, die für die PCI DSS-Compliance relevant sind. Bei einem PCI-Audit oder -Assessment etwa wird auf das Vorhandensein von beispielsweise Mitarbeiterleitfäden, Richtlinien und Verfahren, Lieferantenvereinbarungen und Datenschutz-Notfallplänen geachtet.

Die verschiedenen PCI-Compliance-Stufen

Es gibt vier verschiedene PCI-Compliance-Stufen, von denen jede mit bestimmten Anforderungen verbunden ist. Ihre PCI-Händlerstufe hängt in großen Teilen vom Volumen der von Ihrem Unternehmen jährlich verarbeiteten Kreditkartentransaktionen ab.

Dies sind die vier PCC DSS-Händlerstufen:

Compliance-Stufe 1

PCI-Stufe 1 gilt für Organisationen, die innerhalb von 12 Monaten mehr als 6 Millionen Visa- oder Mastercard-Transaktionen oder mehr als 2,5 Millionen American Express-Transaktionen verarbeiten. Diese Stufe gilt auch für Händler, bei denen eine Datenschutzverletzung aufgetreten ist.

Händler der Stufe 1 müssen jährlich einen Compliance-Bericht (ROC) durch einen qualifizierten Sicherheitsgutachter (QSA) vorlegen, einen vierteljährlichen Netzwerk-Scan durch einen zugelassenen Scan-Anbieter (ASV) durchführen lassen und ein AOC-Formular (Bescheinigung der Compliance) für Vor-Ort-Bewertungen ausfüllen.

Compliance-Stufe 2

PCI-Stufe 2 gilt für Organisationen, die jedes Jahr zwischen 1 und 6 Millionen Transaktionen verarbeiten.

PCI-Anforderungen der DSS-Stufe 2 umfassen: Ausfüllen eines jährlichen Fragebogens zur Selbsteinschätzung (SAQ), einen vierteljährlichen Netzwerk-Scan durch einen ASV und ein AOC-Formular.

Compliance-Stufe 3

PCI-Stufe 3 gilt für Händler, die 20.000–1 Million Online-Transaktionen verarbeiten, und für Organisationen, die jährlich weniger als 1 Million Transaktionen insgesamt verarbeiten.

Die Anforderungen für PCI-Stufe 3 sind mit denen für Stufe 2 identisch: Durchführung eines jährlichen SAQ, eines vierteljährlichen Netzwerk-Scans durch einen ASV und eines AOC-Formulars.

Compliance-Stufe 4

PCI-Stufe 4 gilt für Organisationen, die jährlich weniger als 20.000 Online-Transaktionen oder bis zu 1 Million Transaktionen insgesamt verarbeiten.

Die Anforderungen für PCI-Compliance-Stufe 4 sind mit denen für Stufe 2 und 3 identisch: Abschluss eines jährlichen SAQ, eines vierteljährlichen Netzwerk-Scans durch einen ASV und eines AOC-Formulars.

Vorteile der PCI-Compliance

PCI-Compliance bietet Unternehmen, die Kreditkartentransaktionen verarbeiten, viele Vorteile. Zu den größten Vorteilen von PCI-Compliance gehören:

  • Die Daten von Karteninhabenden werden geschützt, was das Vertrauen der Kundschaft stärkt.
  • Ihr Unternehmen wird vor Diebstahl, Datenschutzverletzungen und Betrug geschützt
  • Datenspeicherung und -handhabung werden optimiert
  • Sie vermeiden hohe Bußgelder für PCI-Compliance-Verstöße

Bereit für mehr Sicherheit in Ihrem Unternehmen? Nutzen Sie diese sechs Tipps für optimierten Schutz.

So hilft PayPal bei der PCI-Compliance

Mit PayPal an ihrer Seite fällt es Unternehmen leichter, PCI-Compliance zu erreichen und die Datensicherheit zu verbessern. Wenn Sie PayPal zum Verarbeiten von Kartenzahlungen nutzen, landen die sensiblen Daten Ihrer Kundschaft erst gar nicht auf den Servern Ihres Unternehmens – was den mit PCI DSS-Compliance verbundenen Aufwand für Sie reduziert.

War dieser Inhalt hilfreich?

Mehr Informationen und Tipps

Füllen Sie das Formular aus, um hilfreiche Informationen und praktische Tipps für Ihr Unternehmen zu erhalten. Zusätzlich erfahren Sie mehr von anderen Händler:innen, die PayPal nutzen, um sie beim Erreichen ihrer Geschäftsziele zu unterstützen.

*Pflichtfelder.

Wenn Sie Cookies akzeptieren, verwenden wir diese, um Ihre Erfahrung zu verbessern und anzupassen und unseren Partnern zu ermöglichen, Ihnen personalisierte PayPal-Anzeigen zu zeigen, wenn Sie andere Websites besuchen. Cookies verwalten und mehr erfahren