PCI

Der Payment Card Industry Data Security Standard (kurz PCI) ist ein Regelwerk im Zahlungsverkehr, das sich auf die Abwicklung von Kreditkartentransaktionen bezieht und in allen wichtigen Kreditkartenorganisationen (Visa, MasterCard, American Express, JCB) zum Standard gehört. Unternemen, die Kreditkarten-Transaktionen speichern, übermitteln, oder abwickeln, müssen die Regelungen erfüllen. Halten sie sich nicht daran, können Strafgebühren verhängt, Einschränkungen ausgesprochen, oder ihnen letztlich die Akzeptanz von Kreditkarten untersagt werden.

Die Regelungen bestehen aus einer Liste von zwölf Anforderungen an die Rechnernetze der Unternehmen:

  1. Installation und Pflege einer Firewall zum Schutz der Daten
  2. Ändern von Kennwörtern und anderen Sicherheitseinstellungen nach der Werksauslieferung
  3. Schutz der gespeicherten Daten von Kreditkarteninhabern
  4. Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern in öffentlichen Rechnernetzen
  5. Einsatz und regelmäßiger Update von Virenschutzprogrammen
  6. Entwicklung und Pflege sicherer Systeme und Anwendungen
  7. Einschränken von Datenzugriffen auf das Notwendige
  8. Zuteilen einer eindeutigen Benutzerkennung für jede Person mit Rechnerzugang
  9. Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern
  10. Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern
  11. Regelmäßige Prüfungen aller Sicherheitssysteme und -prozesse
  12. Einführen und Einhalten von Richtlinien in Bezug auf Informationssicherheit

Die Einhaltung der Regeln wird üblicherweise in Abhängigkeit vom Umsatzvolumen des Unternehmens überprüft:

  • Händler oder Dienstleister, die mehr als 6 Mio. Kreditkartentransaktionen pro Jahr abwickeln müssen ihr vierteljährlich mittels eines externen Sicherheitsscans durch einen zugelassenen Scanvendor prüfen lassen und zusätzlich einmal im Jahr durch ein Audit durch von einem unabhängigen Unternehmen.
  • Händler oder Dienstleister, die zwischen 20.000 und 6 Mio. Kreditkartentransaktionen pro Jahr abwickeln, müssen Ihr Rechnernetz ebenfalls mittels eines externen Sicherheitsscans durch einen zugelassenen Scanvendor vierteljährlich prüfen lassen und zusätzlich einmal im Jahr einen PCI- Fragebogen ausfüllen.
  • Händler oder Dienstleister, die weniger als 20.000 Kreditkartentransaktionen im Jahr abwickeln, müssen zwar die Regelungen erfüllen, eine Prüfung ist aber nicht obligatorisch, wird jedoch empfohlen.