PCI DSS

PCI DSS (Payment Card Industry Data Security Standard) ist ein internationaler Sicherheitsstandard, der verbindliche Anforderungen an alle Unternehmen stellt, die Kreditkarten- oder Debitkartendaten speichern, verarbeiten oder übertragen. Er wurde von den großen Kartennetzwerken Visa, Mastercard, American Express, Discover und JCB gemeinsam entwickelt.

Die wichtigsten Anforderungen

PCI DSS umfasst zwölf grundlegende Sicherheitsanforderungen, die sich in sechs Bereiche gliedern:

• Sichere Netzwerke: Firewalls und geschützte Systemkonfigurationen
• Schutz von Kartendaten: Verschlüsselte Speicherung und Übertragung
• Schwachstellenmanagement: Regelmäßige Updates und Virenschutz
• Zugangskontrolle: Zugriff auf Kartendaten nur bei Bedarf
• Netzwerküberwachung: Protokollierung aller Zugriffe auf Kartendaten
• Sicherheitsrichtlinien: Dokumentierte Prozesse und regelmäßige Tests

Compliance-Level

Je nach jährlichem Transaktionsvolumen gelten unterschiedliche Anforderungen:

• Level 1: Über 6 Millionen Transaktionen pro Jahr, externes Audit erforderlich
• Level 2: 1 bis 6 Millionen Transaktionen, Selbstbewertung mit erweitertem Fragebogen
• Level 3: 20.000 bis 1 Million E-Commerce-Transaktionen, vereinfachte Selbstbewertung
• Level 4: Unter 20.000 E-Commerce- oder unter 1 Million sonstige Transaktionen

Die meisten kleinen und mittleren Händler fallen in Level 3 oder 4.

Vereinfachung durch moderne Terminals

Wenn du ein modernes Kartenterminal mit P2PE (Point-to-Point Encryption) nutzt, werden Kartendaten direkt im Gerät verschlüsselt und nie unverschlüsselt an dein System übertragen. Das reduziert deinen PCI-DSS-Aufwand erheblich, da du selbst keine sensiblen Kartendaten verarbeitest. Auch moderne Payment Gateways übernehmen die sichere Datenverarbeitung und erleichtern dir damit die Einhaltung der PCI-DSS-Vorgaben. Gerade für den EMV-Chip basierte Zahlungen bieten aktuelle Terminals ein hohes Maß an integrierter Sicherheit.