Ein Leitfaden zur Einhaltung des PCI DSS
Veröffentlicht am: 16 Sep. 2020
Zuletzt geändert am: 24 Juli 2025
Wenn Ihr Unternehmen für die Abwicklung von Kreditkartenzahlungen verantwortlich ist, dann ist die Einhaltung des PCI DSS ein wesentlicher Bestandteil des Schutzes der Zahlungskartendaten Ihrer Kunden und des Schutzes Ihres eigenen Unternehmens vor den verheerenden Folgen einer Datenverletzung.
Die bedauerliche Realität ist, dass der Kreditkartenbetrug weiter zunimmt. Laut dem Consumer Sentinel Network der Federal Trade Commission sind die Meldungen über Kreditkartenbetrug zwischen Q1 2019 und Q1 2020 um 104% gestiegen.
Der Schutz der Daten von Karteninhabern war noch nie so wichtig wie heute. PCI DSS legt die Grundlagen für die Einhaltung der strengen Sicherheitsmaßnahmen, die zum Schutz dieser sensiblen Daten erforderlich sind. Unser Leitfaden zur Einhaltung von PCI DSS erklärt, wie PCI DSS funktioniert, für wen er gilt und welche Schritte Sie unternehmen müssen, um ihn einzuhalten.
Was ist PCI DSS?
Der Payment Card Industry Data Security Standard (PCI DSS) ist eine Reihe von Sicherheitsstandards, die das Risiko von Kreditkartenbetrug verringern und die Sicherheit von Zahlungskartendaten erhöhen sollen. Er wurde 2004 von den vier großen Kreditkartenunternehmen Visa, Mastercard, Discover und American Express gegründet. PCI DSS hat sich im Laufe der Jahre weiterentwickelt und wird nun vom PCI Security Standards Council (PCI SSC) geregelt . Das PCI SSC definiert und verwaltet die Standards, während die Einhaltung der Standards von den einzelnen Kreditkartenunternehmen durchgesetzt wird.
Wer ist von PCI DSS betroffen?
PCI DSS gilt für jedes Unternehmen, das Karteninhaberdaten speichert, verarbeitet oder überträgt. Um die für die einzelnen Unternehmen geltenden Compliance-Anforderungen zu bestimmen, hat der PCI SCC ein vierstufiges System entwickelt, das die Unternehmen je nach Größe der Transaktionen und des Risikos klassifiziert.
Level 1 – Händler, die jährlich mehr als 6 Millionen Transaktionen verarbeiten oder bei denen es in der Vergangenheit zu Datenkompromittierungen gekommen ist.
Level 2 – Händler, die jährlich zwischen 1 und 6 Millionen Transaktionen verarbeiten.
Stufe 3 – Händler, die jährlich zwischen 20.000 und 1 Million Transaktionen verarbeiten.
Level 4 – Händler, die weniger als 20.000 Transaktionen pro Jahr verarbeiten.
Trotz der Schaffung mehrerer Ebenen bleiben die Anforderungen für alle Händler und Dienstleister, quer durch alle Branchen, die gleichen.
Wie könnten die Daten von Karteninhabern kompromittiert werden?
Um Zugang zu sensiblen Karteninhaberdaten zu erhalten, werden Cyberkriminelle versuchen, Sicherheitslücken in Ihren Betriebssystemen und Geräten auszunutzen. Dies könnte geschehen durch:
- Kartenleser
- Verkaufsstellensystem
- Datenbank des Zahlungssystems
- Speicher-Netzwerke
- Online-Portale
- Drahtloses Netzwerk
- Papieraufzeichnungen
Was sind die 12 Anforderungen der PCI DSS Compliance?
PCI DSS enthält 12 Anforderungen zum Schutz von Karteninhaberdaten und zur Vermeidung von Datenschutzverletzungen. Diese Standards gelten nicht nur für Händler, sondern auch für alle anderen Unternehmen, die Karteninhaberdaten speichern, verarbeiten oder übermitteln.
1. Installieren und pflegen Sie eine Firewall-Konfiguration zum Schutz von Karteninhaberdaten
Eine Firewall ist ein Netzwerksicherheitsgerät, das den ein- und ausgehenden Netzwerkverkehr überwacht und auf der Grundlage einer Reihe von Sicherheitsregeln entscheidet, ob bestimmter Datenverkehr blockiert werden soll. Sie ist Ihre erste Verteidigungslinie gegen Sicherheitsbedrohungen und sollte regelmäßig getestet, verwaltet und aktualisiert werden.
2. Verwenden Sie keine vom Hersteller vorgegebenen Standardwerte für Systemkennwörter und andere Sicherheitsparameter.
Cyberkriminelle verwenden häufig Standardkennwörter und -einstellungen, um Systeme zu kompromittieren. Es ist wichtig, dass Sie alle Standard-Anmeldedaten sofort ändern, bevor Sie neue Systeme in Ihr Netzwerk einführen.
3. Schutz der gespeicherten Karteninhaberdaten
Der Schutz von Karteninhaberdaten, ob in physischer oder digitaler Form, ist für die Einhaltung des PCI DSS von entscheidender Bedeutung. Cyberkriminelle haben es häufig auf gespeicherte Karteninhaberdaten abgesehen und nutzen diese dann für betrügerische Transaktionen. Wo Karteninhaberdaten gespeichert werden müssen, sollten Sie sicherstellen, dass die richtigen Sicherheitsmaßnahmen getroffen werden, um die verschiedenen rechtlichen und regulatorischen Anforderungen zu erfüllen.
4. Verschlüsselte Übertragung von Karteninhaberdaten über offene, öffentliche Netzwerke
Wenn Karteninhaberdaten über leicht zugängliche Netzwerke übertragen werden, können Cyberkriminelle versuchen, die Daten abzufangen. Um sicherzustellen, dass die Daten sicher sind, müssen sie mit starker Kryptographie und Sicherheitsprotokollen wie Secure Shell (SHH), IPSec und Transport Layer Security (TLS) verschlüsselt werden .
5. Verwenden und aktualisieren Sie regelmäßig Antiviren-Software
Auf allen kritischen Geschäftssystemen sollte eine Antiviren-Software installiert werden, um zu verhindern, dass Malware in Ihr Netzwerk eingeschleust wird. Dies trägt zum Schutz der Daten von Karteninhabern bei und bietet einen verbesserten Schutz vor neu erstellten Viren.
6. Entwickeln und pflegen Sie sichere Systeme und Anwendungen
Cyberkriminelle nutzen häufig Schwachstellen in Ihrem System aus, um sich Zugang zu sensiblen Karteninhaberdaten zu verschaffen. Die Netzwerkhersteller veröffentlichen regelmäßig Patches, um Sicherheitslücken zu schließen. Es ist daher wichtig, dass Sie diese Patches sofort nach ihrer Veröffentlichung anwenden. Patches sind wichtig, um Ihre Systeme auf dem neuesten Stand, stabil und sicher vor Malware und anderen Bedrohungen zu halten.
7. Beschränken Sie den Zugriff auf Karteninhaberdaten auf das, was Sie wissen müssen.
Der Zugriff auf die Daten von Karteninhabern sollte nur auf einer Need-to-know-Basis gewährt werden. Mitarbeiterfehler sind nach wie vor die Hauptursache für alle Datenschutzverletzungen. Daher sollten strenge Zugangskontrollen eingerichtet werden, um sicherzustellen, dass nur die Mitarbeiter, die Transaktionen durchführen müssen, Zugang erhalten.
8. Identifizieren und authentifizieren Sie den Zugriff auf Systemkomponenten
Jedem Mitarbeiter, der Zugang zu sensiblen Informationen hat, sollte eine eindeutige ID zugewiesen werden. So können Sie verfolgen, wer wann auf bestimmte Systeme zugreift.
9. Beschränken Sie den physischen Zugang zu Karteninhaberdaten
Der physische Zugang zu Computersystemen, die Karteninhaberdaten enthalten, sollte auf autorisierte Mitarbeiter beschränkt werden. Dadurch wird verhindert, dass unbefugte Personen physisch auf die Systeme zugreifen oder Kopien von sensiblen Daten anfertigen.
10. Verfolgen und überwachen Sie alle Zugriffe auf Netzwerkressourcen und Karteninhaberdaten
Der Zugriff auf Netzwerkressourcen und Karteninhaberdaten sollte genau überwacht werden, und alle Aktivitäten sollten protokolliert werden. Dieser Prüfpfad kann helfen, böswilliges Verhalten zu erkennen und einen Verstoß zu identifizieren.
11. Testen Sie regelmäßig Sicherheitssysteme und -prozesse
Da ständig neue Schwachstellen auftauchen, ist es wichtig, Ihre Systeme und Prozesse regelmäßig zu testen, um die Sicherheit aufrechtzuerhalten. PCI DSS empfiehlt außerdem regelmäßige Penetrationstests und den Einsatz von Systemen zur Erkennung und Verhinderung von Eindringlingen, um die Sicherheit von Karteninhaberdaten zu gewährleisten.
12. Pflegen Sie eine Richtlinie, die die Informationssicherheit für alle Mitarbeiter behandelt
Eine strenge, PCI DSS-konforme Sicherheitsrichtlinie sollte im gesamten Unternehmen eingeführt werden. Dies wird dazu beitragen, einen Standard für die Erwartungen an Ihre Mitarbeiter zu setzen und die Notwendigkeit der Datensicherheit in Ihrem Unternehmen zu verdeutlichen.
Warum ist die Einhaltung des PCI DSS so wichtig?
Die Einhaltung der PCI DSS-Anforderungen ist von entscheidender Bedeutung, wenn Sie in der Lage sein wollen, Kartentransaktionen zu verarbeiten, Karteninhaberdaten zu schützen und das Risiko eines kostspieligen Verstoßes zu verringern. PCI DSS ist zwar keine gesetzliche Vorschrift, aber nach der DSGVO gelten Kreditkartendaten als personenbezogene Daten, was bedeutet, dass Sie gesetzlich verpflichtet sind, diese Daten sicher aufzubewahren.
Was passiert, wenn Sie nicht mit dem PCI DSS konform sind?
Die Nichteinhaltung des PCI DSS kann zu schwerwiegenden Sicherheitsvorfällen führen, wie z.B. der Verletzung oder dem Diebstahl von Karteninhaberdaten. Eine Datenpanne kann Ihrem Unternehmen irreparablen Schaden zufügen. Zusätzlich zu den lähmenden Geldstrafen kann es für Ihr Unternehmen weitere Konsequenzen haben, wenn es nicht in der Lage ist, sensible Karteninhaberdaten zu schützen. Dazu gehören:
- Erhöhtes Risiko der Kompromittierung von Zahlungskartendaten
- Geldstrafen und Bußgelder
- Entschädigungskosten
- Verlust des Verbrauchervertrauens
- Schädigung des Rufs der Marke
- Rechtliche Schritte – Kosten, Vergleiche und Urteile
- Arbeitsplatzverluste
- Beendigung der Fähigkeit, Zahlungskarten zu verarbeiten
- Das Geschäft aufgeben
Fazit
Cyberkriminelle machen sich die Zunahme digitaler Transaktionen zunutze und nutzen Schwachstellen in Systemen aus, um sich Zugang zu sensiblen Karteninhaberdaten zu verschaffen. Um diese betrügerischen Aktivitäten zu bekämpfen, ist es wichtig, dass Ihr Unternehmen PCI DSS-konform ist und alle notwendigen Schritte unternimmt, um Zahlungstransaktionen zu sichern und Kundendaten zu schützen.
Um das Bewusstsein für Cybersicherheit in Ihrem Unternehmen zu verbessern und das Risiko eines kostspieligen Datenverstoßes zu verringern, haben wir eine unverzichtbare Ressource für die Umsetzung einer Verhaltensänderung und die Schaffung einer Kultur des Cyber-Bewusstseins geschaffen.
In diesem Leitfaden „Cybersicherheitsbewusstsein für Dummies“ erfahren Sie:
-Wie Sie eine Kampagne zur Sensibilisierung für Cyber-Risiken umsetzen.
-Wie Sie die Dynamik, das Engagement und die Aufmerksamkeit Ihrer Mitarbeiter für Cybersicherheitsbedrohungen aufrechterhalten.
-10 bewährte Verfahren zur Sensibilisierung für Cybersicherheit.
Klicken Sie hier, um Ihr Handbuch Cyber Security Awareness For Dummies aufzurufen.